erdosipetermate.hu

  • A betűméret növelése
  • Alapértelmezett betűméret
  • A betűméret csökkentése

Bankolás és digitális aláírás - hogyan tovább?

A pénzvilág már korán felfigyelt a digitális aláírásnak a kedvező tulajdonságaira, mely szerint a digitális aláírás egyrészről képes jelezni az adatfolyam szándékolatlan megváltozását , másrészről - ha a titkos kulcs csak és kizárólag egy fizikai eszközön van elhelyezve - akkor a fizikai eszköz nélkül nem lehetséges tranzakciókat kezdeményezni. Ezért réges-régen használnak a tranzakcióknál digitális aláírást egyes pénzintézetek a sértetlenség biztosítására, de ügyfél-szintre ez nem akart még eddig elterjedni.

Annak ellenére sem, hogy a nagy kártyatársaságok - látván a technológia megjelenését - a mágnescsíkos kártyák használatából adódó csalásokat már nem szeretnék megtéríteni, hiszen a chipkártyás bankkártyáknál a csalás lehetősége sokkal kisebb. Tegyük fel a kérdést, hogy miért? A válaszok megértéséhez azt kell csak tudni, hogy

a) a kártyán és csak ott fizikailag van egy titkos kulcs, aminek használata PIN-kóddal védett,

b) a bankkártya elvesztése, ellopása esetén felfüggeszthető, aminek következtében a pénzügyi felelősség csökkenthető,

c) ha ellopják a bankkártya vizuális, látható adatait - figyelem: ADATAIT - egy adatbázisból, a titkos kulcshoz akkor sem lehet hozzáférni. A titkos kulcsot még a PIN-kód birtokában sem lehet kiolvasni a kártyáról, csak HASZNÁLNI lehet a kártyán (ez óriási különbség, mivel így még a tulajdonos sem ismerheti meg a saját titkos kulcsát, csupán azt használhatja a helyes PIN-kód birtokában).

Ennek ismeretében gondoljuk végig, hogy mi kell egy olyan jogosulatlan pénzügyi tranzakció végrehajtásához, melynek kárkövetkezményét a kártyabirtokos fizeti?

1. a kártya a maga fizikai mivoltában,

2. a kártyához tartozó PIN-kód az ügyféltől megszerezve (hiszen az ügyfél nem felelhet a PIN-kódjának banki tárolásáért),

3. a(z internet)banki felület jelszavai, amin keresztül a bank elfogadja a tranzakciót, vagy esetleg megfelelő fizikai okmányok (ha fiókban próbálkozik az elkövető),

3. és az, hogy a tulajdonos ne függessze fel a kártya használatát, azaz érvényes legyen (illetve vizsgálják az elfogadáskor az érvényességet).

Ezeknek az adatoknak, eszközöknek az együttes ellopása - többmilliós tételben - igen nehéznek látszik, nagyságrendekkel nehezebbnek, mint az adatbázisokban tárolt kártyaadatok, számok, PIN-kódok, validációs kódok megszerzése. Persze annak, hogy működjön a személyi szintű digitális aláírás, vannak további műszaki feltételei (amelyek a tanúsítványok, titkos kulcsok életciklusához kapcsolódnak), és legalább olyan tudatossággal kell az ellopást, elvesztést bejelentetni a kártyabirtokosok által, mint most a bankkártyák esetében. A digitális aláírás használata pedig - akik már használtak ilyet, tudják - nem bonyolultabb, mint a chipkártyás bankkártya használata, azzal teljesen megegyező módon történik. A tulajdonosnak a PIN-kódot kell csupán megadnia a kiválasztott tranzakció aláírásához - az informatikai rendszerek a többit elvégzik automatikusan.

Ebben az esetben a kártyaadatokkal a bűnözők nem sokra mennek, mert hiányzik nekik a titkos kulcs, a PIN-kóddal pedig kártya nélkül megint nem mennek semmire. Kétségtelen, hogy a csalás fizikai eszközhöz kötése a kártyabirtokos személy fizikai fenyegetettségét erősíti, amit pedig a közterületekre és zsarolásnak kitett munkakörökben dolgozók mozgásterébe kihelyezett megfigyelő kamerák megfelelő használata csökkenthet.

Hogy mi lesz a jövő, erre a kérdésre a biztonsági szakemberek együttes gondolkodása adhat szakmai választ, mindenesetre a tanúsítvány-alapú bankolás vagyonvédelmi szempontból az ügyfelek számára biztonságosabbnak látszik.

Módosítás dátuma: 2010. május 21. péntek, 13:14