"Az online bankolás kockázatos és szemmel láthatóan alkalmatlan az interneten keresztüli tranzakciók végrahajtására" – mondta felindultan Bill Caelli professzor, az AO vezető biztonsági szakértője, miután csalók Ausztráliában rengeteg megtévesztő levelet küldtek ki a különböző bankok ügyfeleinek, melyekben arra szólították fel a bankszámla-tulajdonosokat, hogy adják meg a bankszámlához való hozzáféréshez szükséges jelszavukat vagy PIN kódjukat.

Az ausztrál bankárszövetség azonban józanságra intett: "Ez olyan, mintha azt mondanám, hogy ne vezessenek autót, mert az utak nem biztonságosak!". Az ausztrál CERT (Australian Computer Emergency Response Team) szerint összehasonlítva más támadásokkal (például hitelkártyával elkövetett csalások) az ilyen jellegű, megtévesztésből fakadó károk az internetes bankolásnál nem olyan számottevők, ezért az aggodalom az indokoltnál nagyobb, de ettől függetlenül azt tanácsolják, hogy vírusirtó, anti-spam termék és tűzfal használata nélkül az ügyfelek ne használják az internetes bankolás lehetőségét, és semmiképpen se adjanak ki harmadik félnek bizalmas információt.

Az interneten keresztüli távoli hozzáférés (tehát a nem személyesen való megjelenés a bankokban) esetében még fontosabbá válik a felhasználók személyazonosságának tisztázása az esetleges csalások elkerülése végett. A bankok nagy erőfeszítéseket tesznek annak érdekében, hogy az internetes bankolás a lehető legbiztonságosabb legyen, a bankok és az ügyfelek számára a legkevesebb kárral járjon.

Az elektronikus világban a személyazonosság kérdésére a kriptográfia tud megnyugtató választ adni, azonban hiába vannak meg a jó matematikai alapok, a megoldásban még lehetnek biztonsági rések. A legtöbb internetes bankolási lehetőségnél használt SSL révén védett csatorna (a bank szervere és a távoli felhasználó között) és a felhasználói név és jelszó használata emeli a biztonság mértékét, azonban ez még nem oldja meg a titkos jelszó esetleges kikotyogásából fakadó problémákat. A hazai piacon a Kereskedelmi és Hitelbank (K&H) e-bankja elsőként követeli meg intelligens kártya (smart card) használatát. Más bankok a mobiltelefont használják fel, hiszen egy tranzakció hitelesítéséhez az sms-ben érkezett kódot kell beírni.

A számítógépes biztonságtechnikában három különböző módja van a felhasználó azonosításának (identification), hitelesítésének (authentication) és jogosultságai meghatározásának (authorization):

• tudáson alapuló (pl. jelszó, PIN kód),
• birtokon alapuló (pl. intelligens kártya, USB token, mobiltelefon),
• biometrián alapuló (pl. ujjlenyomat, írisz).

A gyakorlatban a háromból kettőt kell egyszerre és egymástól függetlenül alkalmazni. Az "egymástól függetlenül" azt jelenti, hogy az intelligens kártyára (birtok) nincs felragasztva az a papírcetli, amelyre a PIN kódot írták (tudás). Ennek révén a jelszó (pl. SSL kapcsolaton keresztüli bankolásnál) vagy PIN kód megszerzése esetében a csaló, támadó előtt még nem áll nyitva az út, hogy megkaparinthassa a szerencsétlen ügyfél számláján heverő milliókat, mert szükség van még az intelligens kártyára is.

Szabó Áron (BME IK ITSec Csoport – IHM-együttműködés)