E-ing-Authentisierung cnlab security ag, obere bahnhofstr. 32b, CH-8640 rapperswil-jona esther.haenggi@cnlab.ch
Streichliste Vertragsnummer + streichen 2/18
Matrixkarte (itan) en: - Coopbank - Raiffeisen - etc. Position Vertragsnummer + Position 3/18
mtan ( per SMS) en: - Schwyzer Kantonalbank - Zürcher Kantonalbank - St.Galler Kantonalbank - Credit Suisse - etc. Transaktionsabhängigkeit möglich mtan Vertragsnummer + Information des Kunden über Transaktion mtan mtan mtan 4/18
Mobile ID en: - PostFinance Swisscom PIN-Schutz der Mobile ID-Funktion möglich Vertragsnummer + Kein Abtippen Information des Kunden über Transaktion Transaktionsabhängigkeit möglich ok «Login»? ok, Signatur Login! ok 5/18
Challenge/-Tools en: - UBS - PostFinance Transaktionsabhängigkeit möglich Vertragsnummer + PIN-Schutz der Karte möglich Challenge Challenge Challenge 6/18
PhotoTAN en: - Raiffeisen - Zuger Kantonalbank - Urner Kantonalbank - Appenzeller Kantonalbank - Commerzbank (D) - etc. Vertragsnummer + Transaktionsabhängigkeit möglich Foto PhotoTAN Kein Abtippen 7/18
Flicker en: - VP (FL) - Sparkasse (D) Transaktionsabhängigkeit möglich Kein Abtippen Vertragsnummer + Flicker PIN-Schutz der Karte möglich Flicker 8/18
Dynamisches Beispiel: - RSAsecurID - Vasco DIGIPASS en: - Coutts - Sarasin - Vontobel Vertragsnummer + 9/18
Zertifikat + gehärteter Beispiele: - CLX.Sentinel - Kobil midentity en: - St. Galler Kantonalbank - Luzerner Kantonalbank USB-Stick PIN PIN ist gehärtet Zertifikat Vertragsnummer Überprüft Zertifikat 10/18
Verbundenes C/R-Token mit Zertifikat (Proxy) en: - UBS Beispiel: - IBM ZTIC Vertragsnummer, PIN Vertragsnummer, PIN SSL-Verbindungsaufbau mit Client-Zertifikat Überprüft Zertifikat ok «Login?», Transaktionsdaten 11/18
Verbundenes C/R-Token mit Zertifikat (2 Verbindungen) Beispiel: - IBM ZTIC en: - Zürcher Kantonalbank Vertragsnummer + Überprüft Zertifikat Transaktion Transaktion ok 12/18
Verbundenes C/R-Token mit Zertifikat + gehärteter Beispiele: - CLX.SentinelDisplay - Kobil midentity visual en: - Julius Bär PIN Challenge Vertragsnummer ist gehärtet Zertifikat Überprüft Zertifikat ok Challenge 13/18
Gehärtete App mit Zertifikat, mit 1 Gerät oder Smartphone möglich en: - keine bekannt Beispiel: - Kobil AST Vertragsnummer Überprüfung Zertifikat 14/18
Gehärtete App mit Zertifikat, mit 2 Geräten Beispiel: - Kobil AST Mögliche Gerätekombinationen: - - Smartphone - Smartphone Smartphone - etc. en: - Migros (im Aufbau) Login auf beiden Geräten Information des Kunden über Transaktion Kein Abtippen 2 ok 1 Vertragsnummer Vertragsnummer Überprüfung Zertifikat Challenge Überprüfung Zertifikat 15/18
Transaktion Login + Lesezugang Streichliste / Matrixkarte mtan (SMS) Mobile ID Challenge- Token PhotoTAN / Flicker Dynamisches Zertifikat (auf Smartcard) + gehärteter SSL-Zertifikat (auf Smartcard) + C/R Token: Proxy Zertifikat (auf Smartcard) + C/R Token: 2 Verbindungen Zertifikat (auf Smartcard) + C/R Token + gehärteter Gehärtete App mit Zertifikat 1 Gerät Gehärtete App mit Zertifikat 2 Geräte Vergleich des Potenzials Diebstahl Credentials Phishing passiv Man-in-the-Middle Trojaner Session hijack Session riding Man-in-the-Middle Trojaner 16/18
2. Stufe 1. Stufe Sicherheit mit einfachem Login und Transaktionsbestätigung Authentisierung des Kunden z.b. durch Login Kontoübersicht + plausible Transaktionen Login Kontodaten plausible Transaktionen Zusätzliche Autorisierung z.b. durch per SMS Transaktion alle Transaktionen + wichtige Änderungen Transaktionsautorisierung 17/18
Transaktion Login + Lesezugang + Gerätebindung mit Bindungscookie + Gerätebindung mit SSL-Zertifikat Transaktionsunabhängige Signatur Transaktionsabhängige Signatur Vergleich der Verfahren mit einfachem Login und Transaktionsbestätigung Diebstahl Credentials Phishing Man-in-the-Middle Trojaner Session hijack Session riding Man-in-the-Middle Trojaner 18/18
Danke Christian Birchler christian.birchler@cnlab.ch +41 55 214 33 40 Esther Hänggi esther.haenggi@cnlab.ch +41 55 214 33 36 Thomas Lüthi thomas.luethi@cnlab.ch +41 55 214 33 41 Paul Schöbi paul.schoebi@cnlab.ch +41 55 214 33 33 René Vogt rene.vogt@cnlab.ch +41 55 214 33 31 19/18