czwartek, Listopad 14

Mamy posiadanie oraz cechę, a co z unikalną wiedzą użytkownika? Wiedza (knowledge) w „oczach” unijnego nadzorcy (EBA)

Google+ Pinterest LinkedIn Tumblr +

Opinia Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie silnego uwierzytelniania (Strong Customer Authentication – SCA) nadal jest szeroko komentowana w sektorze. Ma ona niewątpliwie duże znaczenie dla projektowania nowych usług i produktów oraz tzw. User Experience (zachęcam do przeczytania tego artykułu).  W ostatnim artykule poruszyłem temat „posiadania” (possession) jako elementu SCA, zaś w poprzednich „edycjach” odnosiłem się odpowiednio do „cechy” (inherence) oraz ogólnych „wytycznych” EBA, w tym przede wszystkim dla organów nadzoru. Dzisiaj zajmę się „wiedzą” (knowledge), która budzi chyba najmniejsze kontrowersje, choć nadal pojawiają się pytania odnośnie „unikalności” wiedzy. Tym artykułem zamykam temat opinii EBA w sprawie SCA. Zapraszam!

Wiedzę na potrzeby stosowania silnego uwierzytelniania klienta można zdefiniować jako „coś co wie tylko użytkownik”. Istotne jest tutaj zapewnienie, że takie informacje są w odpowiedni sposób chronione przed ujawnieniem lub nieuprawnionym dostępem. Obowiązek ten dotyczy dostawcy świadczącego usługę płatniczą, który realizuje się poprzez stosowanie odpowiednich zabezpieczeń (w tym np. maskowania indywidualnych danych uwierzytelniających – IDU).

W jaki sposób chronić dane?

EBA unika odpowiedzi na to pytanie w treści samej opinii, natomiast pewne (mamy tutaj „neutralność technologiczną”, a więc sposób realizacji pozostawiono dostawcom) wskazówki możemy znaleźć w QnA EBA oraz w art. 22-27 Rozporządzenia 2018/389 (kluczowe będą art. 22, 23 i 25 ww. Rozporządzenia).

Na pewnym poziomie ogólności można stwierdzić, że obowiązkiem dostawcy jest zapewnienie poufności i integralności IDU (w tym również kodów uwierzytelniających generowanych po prawidłowym uwierzytelnieniu). Innymi słowy, dane które wykorzystywane są do logowania czy dokonywania transakcji (i innych czynności związanych z ryzykiem oszustwa – fraudu) powinny być maskowane i szyfrowane, aby osoba nieuprawniona nie miała do nich dostępu. Ten obowiązek ma również znaczenie w kontekście art. 9 Rozporządzenia 2018/389, a więc niezależności elementów wykorzystywanych na potrzeby SCA (chodzi tutaj o uniemożliwienie wykorzystania jednego elementu do – przykładowo – wykonania transakcji).

Patrząc bardziej szczegółowo, IDU powinny być maskowane podczas ich wyświetlania. EBA w jednym z QnA wskazała, że w żadnym przypadku hasło nie powinno być pokazywane w tzw. plain text (tekst otwarty). Dopuszczalne jest jednak wyświetlanie hasła literka po literce, przy jednoczesnym maskowaniu pozostałych części hasła.

Innym z wymogów jest stosowanie materiałów kryptograficznych do szyfrowania tych danych, a także liczne obowiązki organizacyjno-technologiczne (dokumentowanie procesów, stosowanie zaawansowanych procedur i polityk czy udostępnianie bezpiecznego środowiska).

Wróćmy jednak do opinii

W przypadku „wiedzy” EBA postawiła na kazuistykę wskazując na konkretne przypadki, które kwalifikuje jako ten element SCA. Wiedzą będzie więc hasło (tutaj należy pamiętać, że dostawca usług płatniczych powinien wymusić na użytkowniku stosowanie bardziej „rozbudowanych” haseł, choć czysto teoretycznie i takie składające się z 3 symboli mogłoby by spełniać wymogi SCA – tutaj więcej na ten temat, choć w trochę innym kontekście).

Podobnie PIN, tajne pytania i odpowiedzi, hasła typu passphrase czy określona sekwencja (memorised swiping path), czyli popularny „wężyk” stosowany w smartfonach. Szczególnie ten ostatni element może budzić pewne kontrowersje. Jest to bowiem element łatwy do „złamania”. Kombinacji nie jest zazwyczaj tak wiele (choć nie mówimy tutaj oczywiście dokładnie o przypadku ze smartfonów, bo to powinno być bardziej zaawansowane na potrzeby SCA), a więc dojście do właściwej sekwencji nie musi być wcale trudne. Niemniej jednak EBA uznała, że jest to rozwiązanie, które można wykorzystać dla celów silnego uwierzytelnienia.

Co ważne, na co zwracałem uwagę w tym artykule, jeżeli wykorzystamy hasło do logowania się do naszego systemu bankowości, to na potrzeby wykonania transakcji w ramach tej samej sesji możemy wykorzystać ten jeden element (wiedza) dopełniając go innym, np. „posiadaniem” czy „cechą”.

Znowu ta karta…

Jak pisałem już przy okazji „posiadania”, EBA wskazała, że dane znajdujące się na karcie płatniczej nie będą elementem „wiedzy”. Wyjątkowa sytuacja zajdzie jednak, jeżeli kod CVV nie będzie wytłoczony/wydrukowany na samej karcie płatniczej, ale zostanie przekazany, np. listownie, do użytkownika (w podobny sposób jak niekiedy przekazuje się kody PIN, choć coraz częściej robimy to jednak online). W takiej sytuacji ten kod CVV możemy wykorzystać jako element wiedzy. Taka sama uwaga znajduje zastosowanie do tzw. kart wirtualnych.

KNF stał do tej pory na stanowisku, że dane karty mogą być elementem „posiadania”, natomiast nie wiedzą. Można więc założyć, że podejście do tych danych jako elementu „wiedzy” nie ulegnie zmianie w związku z opinią EBA.

Co jeszcze…

Coś co od dawna było oczywiste, czyli login użytkownika, który nie będzie elementem SCA, ponieważ nie jest de facto unikatowy (e-mail również, ale ze względu na jego „powszechność” i „publiczny” charakter). Z kolei kod jednorazowy (One-Time Password) jest elementem SCA, ale „posiadaniem”, a nie wiedzą (tutaj EBA wyraźnie wskazała, że tym „posiadaniem” jest de facto karta sim z przypisanym numerem telefonu użytkownika bankowości).

Więcej?

Niestety. EBA wskazała tylko na te konkretne przykłady, choć jednocześnie wskazała, że nie jest to lista wyczerpująca wszystkie możliwe warianty. Wydaje się, że aby zaliczyć dany element do „wiedzy” musi on spełniać charakter unikalności w tym sensie, że jest znany tylko użytkownikowi (nie oznacza to jednak, że zawsze tak będzie, bo np. więcej osób może znać odpowiedź na pytanie odnośnie naszej pierwszej miłości czy pierwszej szkoły). Musi to być jednak wiedza na tyle unikatowa, że w zasadzie jest znana tylko nam lub trudna do odgadnięcia.

Istotne są również obowiązki, które ciążą na samych dostawcach, którzy muszą m.in. zapewnić odpowiednie zabezpieczenie tych danych przed nieuprawnionym „odkryciem”. Tutaj znaczenie ma m.in. art. 25 Rozporządzenia 2018/389, który nakłada istotne wymogi w zakresie dostarczania IDU, np. w kontekście przesyłania PINów do kart płatniczych drogą pocztową czy ustalania haseł dostępowych przy użyciu kanałów zdalnych. Wymogi odnoszą się również do kwestii samej aktywacji IDU, w tym poprzez dostęp online.

Koniec?

Wygląda na to, że temat opinii EBA w sprawie SCA został już wyczerpany. Kolejne wątpliwości będą rozwiewany przez unijnego nadzorcę w drodze QnA. W tej chwili czekamy w zasadzie na potwierdzenie tego podejścia przez UKNF. Opinia EBA ma jednak bardzo duże znaczenie dla całego rynku i rozwiewa wiele wątpliwości. Szkoda tylko, że tak późno…

 

 

 

Udostępnij.

Zostaw komentarz