Det er kjent at ordninger for tofaktorautentisering i nettbank, hvorav den norske ordningen BankID, er sårbare for en type angrep kjent som «mannen i midten». Sårbarheten er demonstrert av flere: I Norge av professor Kjell Jørgen Hole i Bergen, og i Sveits av Melani, et offentlig institutt for nettsikkerhet.
I oktober 2008 viste IBM en løsning for pålogging og kontroll av nettbankforbindelser som tetter sikkerhetshullet i BankID. Løsningen ble døpt «ZTIC» for «zone trusted information channel». Den er utviklet av IBMs forskningslaboratorium i Zürich, i samarbeid med representanter for det lokale bankvesenet.
Denne uken ble det meldt at den sveitsiske banken UBS har begynt å tilby ZTIC til både private og bedriftskunder, under betegnelsen UBS Access Key.
Morten Garvik, som leder markedsføringen mot bank og finans i IBM Norge, sier til digi.no at han har vist løsningen til potensielle kunder, og at disse har vist en klar interesse. Mer ønsker han ikke å kommentere.
ZTIC består av en enhet som koples til en pc – også Mac – over USB. Den har egen skjerm, og to knapper merket med henholdsvis rødt kryss og grønn hake Ved tilkopling installerer den seg selv, oppretter en forbindelse til nettbanken, og setter i gang påloggingsprosessen. Pålogging er avhengig av et smartkort som stikkes inn i ZTIC. Pc-ens nettleser brukes til å taste inn brukeridentitet og en pin-kode. Påloggingen er avhengig av at man trykker på den grønne hakeknappen på ZTIC.
– Det viktige her er at det der selve enheten som står for påloggingen. Påloggingen er ikke avhengig av noen form for programvare på pc-en, og kan følgelig ikke manipuleres gjennom en nettforbindelse til pc-en, sier Garvik.
Knappene på ZTIC brukes også til å godkjenne hver transaksjon. I utgaven som IBM viste for halvannet år siden, viste ZTIC-skjermen både mottakerens kontonummer og beløp. Elektronikken i ZTIC sørger for at det er den kontoen overføring faktisk vil skje til, som vises. En «mann i midten» kan tenkes å kunne manipulere pc-ens nettleser, men kan ikke skaffe seg tilgang til ZTIC for å forfalske det som vises på sikkerhetspinnen.
I implementasjonen som UBS har valgt, vises bare kontonummeret. Ideen er uansett at dersom kontonummeret på ZTIC-skjermen ikke stemmer overens med kontonummeret på pc-skjermen, er det et tegn på at noen «i midten» har kapret forbindelsen. Da kan – og skal – man nulle transaksjonen ved å trykke på den røde knappen på ZTIC, og umiddelbart varsle banken.
Systemkravene oppgitt for UBS Access Key går i korthet ut på at Windows-brukere trenger enten Internet Explorer eller Firefox, og at Mac-brukere trenger Safari eller Firefox.
UBS tilbyr Access Key gratis til sine bedriftskunder. Private må betale 65 sveitsiske franc, tilsvarende 360 kroner.
Les også:
- [23.03.2010] Flere dataangrep mot finanssektoren
- [15.03.2010] Vil bruke BankID mot offentlig sektor
- [30.10.2008] IBM tetter sikkerhetshullet i BankID
