Mobilbanksikkerhed og -usability med fokus på signon

Mobilbanksikkerhed og -usability med fokus på signon Speciale ved Roskilde Universitetscenter, Datalogi September 2008 Af: Christina Rudkjøbing og Martin Schultz Vejleder: Niels Jørgensen Offentlig version

Tak til: BEC for venligt samarbejde (www.bec.dk) Compaya for at stille sms-gateway til rådighed (www.compaya.dk) Dette dokument er en let modificeret version af den originale specialerapport, der er fortrolig. Bilag 6 er ikke tilgængelig i denne version. Speciale ved Roskilde Universitetscenter September 2008 - II -

Abstract In this master s thesis we have made a proposal for a two-factor sign-on solution for mobile banking (called STS) and then investigated how it would be possible to implement such a solution in order to achieve a desired level of security and usability. This has resulted in the implementation of a mobile banking prototype. Finally we have tested this prototype as well as compared it to another two-factor sign-on solution. We became interested in the subject as we felt we lacked this kind of service from our own banking solutions and would like to do routine banking operations on the go, for example checking our balance or doing small transactions. Therefore we have created STS, which is a web-based online banking solution for mobile phones, based on using the phone s inherent capabilities for text messaging in order to eliminate the need for users to carry additional security tokens or sheets with one-time passwords (OTP). Our solution sends a one-time password to the user in form of a text message which contains a link to the bank s website. The user will gain access to their online bank by opening the link in their phone s browser, where they can then sign-on using their username and password just like in a regular online bank. In order to achieve an acceptable level of security the solution needs two-factor authentication, in our case the link and the personal password of the user. The link is based on the URL of the mobile bank together with a randomly generated password that is connected to the username and replaces the normal OTP token. The point is that the bank knows the user s phone number and that it is very difficult to receive text messages meant for another phone. The prototype was created with the purpose of usability testing our solution with real users and comparing it to a more traditional two-factor sign-on solution, using one-time passwords. We tested the prototype with both the STS solution and a traditional sign-on method. According to our test, and in accordance with the relevant theory we have studied, we can conclude that the STS approach is easier than traditional solutions for casual users with a security comparable to existing online banking solutions. However, the security aspect requires more testing before STS can be a viable solution. Speciale ved Roskilde Universitetscenter September 2008 - III -

Speciale ved Roskilde Universitetscenter September 2008 - IV -

1 INDLEDNING...1 1.1 PROBLEMFORMULERING...4 1.2 LÆSEVEJLEDNING...4 2 METODE...7 2.1 SAMARBEJDE MED BEC...8 3 DESIGNFORSLAG TIL AUTENTIFICERING I EN MOBILBANK...10 3.1 TO-FAKTOR SIKKERHED I DESIGNFORSLAGET...11 3.2 STS I FORHOLD TIL EKSISTERENDE TO-FAKTOR LØSNINGER...13 4 SIKKERHED...14 4.1 SIKKERHEDSPRINCIPPER...14 4.2 AUTENTIFICERING I NETBANKER...16 4.3 SIKKERHEDSTRUSLER MOD NETBANKER...23 4.4 GSM-SIKKERHEDSMODEL...27 4.5 SIKKERHEDSTRUSLER MOD MOBILTELEFONER...30 4.6 MULIGE TRUSLER MOD STS-MODELLEN...32 5 USABILITY...37 5.1 DEFINITION AF USABILITY...37 5.2 GYLDNE REGLER FOR INTERFACEDESIGN...39 5.3 MOBILE USABILITY...42 5.4 MÅLGRUPPE...49 6 USABLE SECURITY...51 6.1 DEFINITION AF USABLE SECURITY...51 6.2 TEORETISK SIKKERHED VERSUS SIKKERHED I PRAKSIS...53 6.3 OPNÅELSE AF USABLE SECURITY...54 6.4 USABLE SECURITY I MOBILBANK-PROTOTYPEN...55 7 PROTOTYPE...57 7.1 FUNKTIONER I MOBILBANKEN...58 7.2 PROTOTYPENS BRUGERGRÆNSEFLADE...68 7.3 PROTOTYPENS TEKNISKE STRUKTUR...74 8 BRUGERTEST...80 8.1 TESTMETODE...82 8.2 BRUGERTEST AF MOBILBANK-PROTOTYPEN...84 8.3 RESULTATER OG KONKLUSIONER FRA BRUGERTEST AF PROTOTYPEN...89 9 MOBILBANK-PROTOTYPEN OG BEC S FREMTIDIGE SATSNINGER...101 9.1 NY OFFICIEL DIGITAL SIGNATUR...102 10 KONKLUSION...104 11 LITTERATURLISTE...108 12 LISTE OVER BILAG...113 Speciale ved Roskilde Universitetscenter September 2008 - V -

Speciale ved Roskilde Universitetscenter September 2008 - VI -

1 Indledning I Danmark har det efterhånden længe været almindeligt for banker at tilbyde deres kunder at lave bankforretninger via netbank. Også muligheden for at ordne sine bankforretninger via mobiltelefonen eksisterer, men netbank via mobiltelefoners browsere er endnu ikke slået igennem på samme vis som pc-baserede netbanker. Vi antager, at der er mange forskellige grunde til dette. Nogle relaterer til brugervenligheden af systemerne, mens andre grunde er mere teknisk funderede. Sidstnævnte gælder blandt andet mulighederne for at transmittere data over mobile netværk, der først inden for de senere år har nået en hastighed, der gør det acceptabelt at surfe på nettet via mobiltelefonen. En anden årsag er de begrænsede ressourcer på selve telefonerne, såsom manglende skærmplads og besværlige input-muligheder. Men også mobiltelefonerne har udviklet sig, og mange har for eksempel langt større skærm end tidligere. Ud over disse tekniske hindringer er der en lang række sikkerhedsmæssige problemstillinger, der kræver genovervejelse i forhold til traditionelle netbanksløsninger, før browserbaserede mobilbanker kan slå igennem. Der findes dog rundt omkring i verden allerede en række forskellige løsninger til at tilgå sine bankoplysninger via mobiltelefonen. De kan være baseret på eksempelvis sms, mobilens webbrowser eller et java-program installeret på telefonen. De tre nævnte tilgange har hver sine fordele og ulemper i forhold til sikkerhed og brugervenlighed, der sjældent går hånd i hånd. Udfordringen er altså at skabe et system, hvor systemet både er sikkert og nemt at bruge: Der skal skabes usable security et begreb, Whitten & Tygar i deres studie af krypteringsprogrammet PGP 5.0 som nogle af de første brugte til at beskrive de forhold, der gør sig gældende, når der skal designes brugervenlige systemer med fokus på sikkerhed (Whitten & Tygar 2000). Se afsnit 6 for en uddybning af hvordan vi forstår begrebet usable security. Før det kan diskuteres, hvad der skaber usable security, er det dog nødvendigt med en gennemgang af traditionel sikkerhed og usability i dette speciale særligt relateret til netbank på mobiltelefonen. Der hører flere ting ind under sikkerhed i en mobil netbank, heriblandt sikring af datakommunikationen mellem mobilkunde og bank samt sikring af, at det er den rigtige mobil, der initierer kommunikationen. Dertil kommer sikkerheden lokalt på mobiltelefonen. Hvis mobiltelefonen bliver stjålet, og der for eksempel er installeret en Java-applikation, der giver adgang til kundens bankoplysninger, så bør der stadig kræves id og password for at kunne logge ind. I dette speciale vil vi primært rette fokus mod vores eget designforslag til, hvordan man kan implementere et sikkert og brugervenligt system til at autentificere brugere, der vil logge på en Speciale ved Roskilde Universitetscenter September 2008-1 -

browserbaseret mobilbank. Dette designforslag kalder vi for Sms-baseret To-faktor Signon (STS), og vi vil i resten af specialet referere til denne betegnelse, når vi omtaler vores specifikke signonmodel. STS forsøger at udnytte de muligheder, mobiltelefonen giver, og vil blive uddybet i afsnit 3. En relevant overvejelse, man bør gøre sig, inden man begynder at bruge ressourcer på at udvikle en netbank til mobiltelefonen, er, hvorvidt der overhovedet er et behov for mobile bankløsninger? Ifølge en undersøgelse, foretaget af konsulenthuset Celent (2007), vil 35 procent af alle husstande, der bruger almindelig netbank via en pc, benytte sig af mobile netbankløsninger i 2010, hvor tallet i 2007 var på blot 1 procent. Og i en undersøgelse blandt danske netbankkunder foretaget i august 2007 blev det konkluderet, at 22 procent ville benytte en mobil netbank, hvis de fik muligheden (BEC 2007b: 7). Undersøgelsen viser desuden, at jo yngre brugeren er, des mere åben er personen over for at bruge mobile netbanker. I Danmark er det begrænset, hvad der på nuværende tidspunkt eksisterer af browserbaserede mobilbanker. Vi har undersøgt udbuddet fra de forskellige danske banker og er kommet frem til, at det i Danmark pt. kun er Danske Bank, der tilbyder kunderne at benytte en mobil netbank. BEC, hvis systemer benyttes af 71 danske banker og sparekasser, har tidligere har tilbudt en løsning via WAP, men denne blev nedlagt 15. januar 2006, fordi der var et meget begrænset antal brugere. BEC s WAP-løsning havde dog meget begrænsede funktioner, og det var eksempelvis ikke muligt at overføre penge til eksterne konti. Danske Banks aktuelle løsning er browserbaseret og baserer sig på brugen af et såkaldt ActivCard (se afsnit 4.2.2), der ligner en lommeregner, og det er kun lidt større end et kreditkort. Ved signon i Danske Mobilbank indtaster brugeren ud over sit cpr-nummer en engangskode (OTP) fra et ActivCard, og derfor skal man altså besidde det fysiske ActivCard, der ligeledes kræver en pinkode for at blive aktiveret, for at kunne logge på. Danske Bank har et alternativ, der er baseret på printede engangskoder, som kunden selv kan printe fra den pc-baserede netbank. Her kræves kun adgang til disse engangskoder og brugerens cpr-nummer for at logge på, mens der ikke kræves et fast password, som det er tilfældet for at kunne læse en engangskode produceret af ActivCard et. En signon-model, som af flere danske it-medier er blevet kritiseret for, at den ikke er sikker nok (Simonsen 2008 & Pedersen 2008). En variant af ovenstående er det netop annoncerede DanID, der er en afløser for den tidligere officielle danske digitale signatur. DanID, der bliver leveret af PBS, er ikke taget i brug endnu, men ser ud til at blive en løsning med engangskoder på et stykke papir på størrelse med et kreditkort (PBS 2008). Denne løsning kan gøre det nemmere for bankerne at tilbyde browserbaserede mobilbanker, fordi de ikke selv skal investere ressourcer til at udvikle en sikker signon-model. Den vil dog næppe være det springende punkt, da for eksempel Jyske Bank længe har kørt med en Speciale ved Roskilde Universitetscenter September 2008-2 -

netbankløsning baseret på samme principper uden også at lancere en mobilbank efter samme model. Da vi ser muligheden for, at DanID bliver defacto-standarden for signon på netbanker (se også afsnit 9.1) er vi meget nysgerrige over for, om denne type signon giver større brugervenlighed, og derfor vil vi i dette speciale diskutere denne løsningsmodel i forhold til STS. Netbanker via mobiltelefonen er altså ikke specielt udbredt i Danmark i øjeblikket, men det er dog muligt for bankkunder at tilgå deres bankinformationer via mobiltelefonen. Løsninger til at bruge banken via sms er således mere udbredte: De fleste banker tilbyder at sende kunderne bankoplysninger via sms, for eksempel saldo, lige som det ofte er muligt at overføre penge mellem egne konti. Betalinger af regninger og andre mere avancerede opgaver kan kunderne dog ikke bruge sms-løsningerne til. Bankløsninger via sms er ikke blevet den store succes, hvilket vi umiddelbart antager skyldes, at de dels ikke har været brugervenlige at anvende, og dels at bankkunderne ikke har kunnet lave alle de bankforretninger, de gerne ville. Ideen til dette speciale udsprang meget direkte af, at vi selv godt kunne tænke os mange af de samme muligheder, som netbankerne tilbyder, men via mobiltelefonen i stedet som et supplement til vores eksisterende netbanker. Vi ville finde det praktisk at kunne lave små bankforretninger, når vi var ude forskellige steder og ikke lige havde adgang til en computer. Man kunne tænke sig et eksempel, hvor vi lige havde lånt nogle penge af en ven til eksempelvis frokost, og her kunne det være rart at være i stand til at overføre penge til vennens konto med det samme i stedet for at skulle huske det når man kom hjem. Vi ser mange grunde til, at netbank via mobiltelefonen ikke er blevet udbredt i Danmark, selv om de er det flere steder i udlandet, for eksempel Korea (Ihlwan 2004). Det kan både være brugerne, der ikke har været klar, bankerne, der ikke har villet prioritere feltet eller simpelthen, at teknikken ikke har været moden endnu, som nævnt ovenfor. I forbindelse med ovenstående overvejelser har vi derfor udviklet STS: En konkret ide til, hvordan man til en browserbaseret mobilbank kan lave et autentificeringssystem, der både er sikkert nok og brugervenligt nok, så folk får lyst til at anvende mobilbankløsningen. Vi vil i dette speciale udforske STS nærmere, og vi vil udvikle en prototype baseret på dette designforslag. Denne prototype vil vi teste blandt en række brugere for at blive i stand til at tage stilling til de teorier om brugervenlighed, som danner baggrund for prototypens konkrete design. Ovenstående overvejelser leder os frem til følgende problemformulering: Speciale ved Roskilde Universitetscenter September 2008-3 -

1.1 Problemformulering Hvordan er sikkerheden og brugervenligheden i en signon-model til mobilbank, der bruger Smsbaseret To-faktor Signon (STS), og er denne løsning mere brugervenlig end en traditionel signon-model baseret på engangskoder? Hvordan skal en mobilbank designes for at være så brugervenlig som mulig? Det vil sige, at vi først og fremmest gerne vil undersøge sikkerheden og brugervenligheden i vores konkrete designforslag, kaldet STS, og derefter vil vi sammenligne brugervenligheden i STS med en mere traditionell signon model baseret på engangskoder. For at kunne lave disse tests vil vi være nødt til at udvikle to forskellige prototyper, der gør brug af henholdvis STS og engangskoder til signon, således at vi kan sammenligne de to signon-modeller. Samtidig vil vi også gerne diskutere og afprøve, hvordan selve funktionerne i en browserbaseret mobilbank skal designes, så brugerne både kan finde ud af at anvende dem og synes om det. 1.2 Læsevejledning Dette speciale er inddelt i en række kapitler, der har til formål at gennemgå alle de aspekter inden for sikkerhed og usability, der har betydning for browserbaserede mobilbanker. I det følgende vil vi kort opsummere indholdet af disse kapitler for at give et overblik over specialets teoretiske og praktiske indhold. For at sikre korrekt forståelse her og i resten af dette speciale er der dog to begreber, det vil være relevant først at definere og adskille fra hinanden: Netbank vs. mobilbank: Når vi benytter begrebet netbank, henviser vi altid til de almindelige, pcbaserede netbanker, som brugerne interagerer med ved hjælp af en browser på en PC. Mobilbank er derimod det begreb, vi har valgt at bruge, når vi taler om netbank via mobiltelefonen, det vil sige en browserbaseret mobilbank. Vi henviser således ikke til at kunne lave sine bankforretninger på mobilen via installerede applikationer eller sms, når begrebet mobilbank bruges, medmindre det specifikt er nævnt. En komplet liste over særlige begreber brugt i dette speciale kan ses i bilag 1. Med ovenstående begreber på plads kan vi gå videre til at give et overblik over teori og praksis i dette speciale: Speciale ved Roskilde Universitetscenter September 2008-4 -

Afsnit 2: Metode Den metodiske tilgang til dette speciale er opdelt i tre hovedområder: 1) En indsamling af teori omkring vores emneområde, 2) konstruktion af en fungerende prototype, og 3) brugertests af den konstruerede prototype. I afsnit 2 beskriver vi metoden i detaljer og forklarer, hvordan denne leder os frem til en konklusion på vores problemformulering. Afsnit 3: Designforslag til autentificering i en mobilbank Vi gennemgår her i detaljer konceptet bag det designforslag til autentificering i en mobilbank, kaldet STS, der danner grund for dette speciale. Resten af specialet forholder sig til dette specifikke designforslag og er derfor opbygget med dette for øje. Afsnit 4: Sikkerhed I dette afsnit forholder vi os til sikkerhed i forbindelse med netbanker og mobilbanker. Vi diskuterer først sikkerhed på et mere generelt plan, og derefter vil vi komme yderligere ind på sikkerhed specifikt i forhold til mobilbanker. Vi gennemgår generelle sikkerhedsprincipper og modeller for sikker autentificering, herunder enkelt-faktor autentificering og to-faktor autentificering. Derefter gennemgår vi sikkerhedstrusler mod netbanker og mobilbanker, herunder sårbarheder i GSMnetværket. Endeligt vurderer vi, hvilke mulige sikkerhedstrusler STS-modellen er sårbar over for. Afsnit 5: Usability Dette afsnit handler om usability i forhold til webapplikationer og i særdeleshed mobile webapplikationer. Vi definerer begrebet usability og gennemgår forskellige regler for webinterfacedesign, målrettet mobile enheder. Endeligt diskuterer vi, hvem målgruppen for en mobilbank kunne være. Afsnit 6: Usable Security Dette afsnit samler de to områder sikkerhed og usability og diskuterer, hvordan man opnår såkaldt usable security. Vi konstaterer, at der er en forskel på teoretisk sikkerhed og sikkerhed i praksis, som i stor grad kan relateres til, om der er opnået usable security. Endeligt diskuterer vi, hvordan vi forsøger at opnå usable security i mobilbank-prototypen. Speciale ved Roskilde Universitetscenter September 2008-5 -

Afsnit 7: Prototype Dette afsnit beskriver opbygningen af en mobilbank-prototype baseret på det designforslag, der præsenteres i afsnit 3. Vi starter med at analysere, hvilke funktioner vi bør medtage i prototypen baseret på bankernes og brugernes ønsker. Det gør vi blandt andet ved at gennemføre en undersøgelse blandt potentielle brugere for at få et fingerpeg om, hvorvidt den tænkte målgruppe er interesseret i en mobilbank, og i givet fald hvilke funktioner der ønskes. Vi afslutter kapitlet med at præsentere prototypens brugergrænseflade samt prototypens tekniske struktur. Afsnit 8: Brugertest Det sidste skridt, inden vi kan besvare problemformuleringen, er afvikling af en brugertest. Dette afsnit omhandler således brugertest af den konstruerede prototype, der blev beskrevet i afsnit 7. Vi starter med at gennemgå relevant teori om brugertests, hvorefter vi præsenterer resultaterne af brugertesten af den udviklede prototype. Afsnit 9: STS-modellen og BEC s fremtidige satsninger Vi forholder vores designforslag til BEC og diskuterer, hvilke forhold BEC bør være opmærksom på, hvis virksomheden beslutter at afsætte ressourcer til udviklingen af en mobilbank. Vi vurderer blandt andet, at designforslaget præsenteret i dette speciale vil være forholdsvist nemt at integrere i BEC s eksisterende systemer, men samtidig er der nogle forhold, man skal være opmærksom på; ét af dem er, at der er en ny officiel dansk digital signatur på vej, som PBS står bag. Afsnit 10: Konklusion Her runder vi specialet af og opsamler vores delkonklusioner for at besvare vores problemformulering. Speciale ved Roskilde Universitetscenter September 2008-6 -

2 Metode Vores tilgang til dette speciale vil være fordelt på tre områder: 1) En indsamling af teori omkring vores emneområde, 2) konstruktion af en fungerende prototype, og 3) brugertests af den konstruerede prototype. Indsamling af teori omkring vores emneområde er nødvendigt for at gøre os i stand til at foretage de overvejelser, der skal til, for at vi kan konstruere en fungerende prototype, der implementerer principper fra både sikkerhed og brugervenlighed for dermed at finde den gyldne mellemvej; den, vi kalder for usable security. Sikkerhedsovervejelserne vil især komme til at omhandle signon det vil sige at logge på mobilbanken idet der er nogle udfordringer i at implementere to-faktor autentificering, der må betegnes som den minimale grad af sikkerhed i såvel en almindelig netbank som en mobilbank. Den endelige prototype benyttes som udgangspunktet for en række brugertests, der har til formål at bidrage med konklusioner, vi kan bruge til at evaluere brugervenligheden i prototypen. Vi er nødt til at konstruere prototypen til vores tests, da der ikke umiddelbart findes noget lignende, som vi kan evaluere med i stedet (her tænker vi specifikt på signon-modellen). Evalueringen baseres både på konklusionerne fra vores samlede teoriapparat samt de foretagne brugertests. Vores indledende teoriafsnit samler en række teorier og konklusioner om usability, herunder traditionel web-usability og mobil web-usability, samt om sikkerhed, herunder særligt i forhold til netbanker. Disse to områder danner grundpillerne i vores speciales teoretiske fundament. Teorien skal både give os retningslinjer for konstruktionen af vores designforslag og for vores afprøvning af prototypen i form af brugertests. Som det uddybes i afsnit 3 baserer vi signon-modellen i mobilbankprototypen på en kombination af sms og telefonernes mobile webbrowser. Det betyder i praksis, at selve mobilbanken er webbaseret, men at signon tilføjes en sms-funktion af hensyn til sikkerheden i løsningen. Vi har valgt at basere vores udvikling på ASP.NET, der er en del af Microsofts.NET-platform. ASP.NET har som princip at adskille HTML-koden fra den underliggende kode, der i vores tilfælde er skrevet i C#. Ved at bruge Microsofts udviklingsmiljø Visual Studio giver ASP.NET desuden mulighed for at skabe meget funktionelle websteder meget hurtigt, hvorfor det er ideelt til vores formål, hvor det ikke er selve koden, der er i fokus, men derimod den endelige applikation. I praksis vil test af de første prototyper blive udført af os, mens selve brugertesten først vil finde sted, når implementeringen af prototypen er nået så langt, at alle de planlagte funktioner er implementeret. Brugertesten har primært til formål at evaluere brugervenligheden i prototypen, Speciale ved Roskilde Universitetscenter September 2008-7 -

både signon og funktioner, mens de løbende tests, vi selv laver, primært har til formål at finde fejl i koden. Vi vil følge en Extreme Programming (XP) inspireret udviklingsform, der gør os i stand til at reflektere kritisk over vores design, mens det er i gang, hvilket vil gøre os i stand til hurtigt at reagere på nye problemstillinger, der måtte opstå, inden vi udfører de reelle brugertests. Vi mener, at når vi implementerer en fungerende prototype, vil vi kunne få et langt større indblik i de reelle udfordringer, brugerne oplever, fremfor hvis vi blot udførte tests med mockups eller lignende horisontale prototyper uden fuldt implementerede funktioner (se afsnit 7 for en uddybning af de forskellige tilgange til prototyper). Dette fordi vi vil kunne teste brugernes interaktion med mobilbanken frem for blot at spørge dem, om de kan lide et statisk designforslag. Vi vurderer, at især signon-delen i STS er noget nær umulig at teste brugervenligheden af med statiske mockups, da vi tester funktionalitet, som brugerne ikke har stiftet bekendtskab med tidligere og derfor vil have svært ved at forestille sig. Endeligt vil vi, ud over at implementere en prototype, der gør brug af sms til autentificeringen, implementere en prototype, der gør brug af engangskoder, også kaldet OTP (se afsnit 4.1.1). Denne prototype skal simulere autentificeringsmodeller, der gør brug af OTP-tokens (såsom Danske Banks ActivCard) og engangskoder trykt på papir (som Jyske Bank praktiserer i sin netbank). Denne ekstra prototype vil gøre det muligt at reflektere yderligere over konsekvenserne af vores designforslag, idet OTP-prototypen vil kunne testes i brugertesten på lige fod med STS-prototypen. Det vil kunne give værdifulde informationer om, hvad brugerne opfatter som den nemmeste måde at logge på en mobilbank. Ud fra resultaterne af brugertesten vil vi diskutere, om de elementer og funktioner i prototypen, som vi har identificeret i og udvalgt på baggrund af vores teori, har vist sig som kvalificerede valg, og om vores sammenhængende designforslag, i form af prototypen, skitserer en mulig tilgang til design af en mobilbank. Denne fremgangsmåde skal kvalificere vores designforslag, således at det både får et velfunderet teoretisk og praktisk grundlag. 2.1 Samarbejde med BEC I forbindelse med vores speciale har vi etableret et samarbejde med BEC i Roskilde. BEC er en forening af 71 pengeinstitutter og har primært specialiseret sig i udvikling og drift af brancheløsninger til den finansielle sektor. Vi anvender samarbejdet med BEC til at få konkretiseret vores designforslag, ved at de kan fungere som en reel aftager som vi kan bruge til at træffe Speciale ved Roskilde Universitetscenter September 2008-8 -

designbeslutninger ud fra. Samtidig gør vi brug af de erfaringer og overvejelser omkring mobile bankløsninger, som BEC er i besiddelse af. Størstedelen af Danmarks lokale banker, sparekasser og andelskasser benytter BEC s systemer, herunder netbank og sms-bank. Og da en af dette speciales forfattere, Christina Rudkjøbing, er ansat i BEC, var det derfor meget nærliggende at spørge BEC, om virksomheden var interesserede i at fungere som sparringspartner i forbindelse med dette speciale. Gennem samtaler foretaget med BEC har vi fundet frem til, at den signon-sikkerhedsmodel, som vi skitserer i dette speciale, vil kunne indarbejdes i BEC s eksisterende systemer på en forholdsvis enkel måde; BEC har i forvejen en sms-service, hvor man kunne integrere sms-signon til en mobilbank med denne. Her er brugeren allerede oprettet med sit mobilnummer, og man kunne blot tilføje et ekstra keyword til sms-service, som i stedet for at sende eksempelvis en saldooversigt via sms sendte et engangslink, der giver adgang til mobilbanken. BEC medvirker gennem sin rolle som samarbejdspartner i dette speciale til at give os indblik i, hvilke former for funktionalitet bankerne ser som det væsentligste i virksomhedens nuværende netbank, samt hvilke funktioner BEC ville se som essentielle i en mobil udgave af netbanken (se afsnit 7.1.1). Vi vil analysere, hvad der vil være mest hensigtsmæssigt i forhold til BEC og virksomhedens eksisterende netbanksmodel, hvis der skal udvikles en mobilbank, hvor der både skal fokuseres på sikkerhed og brugervenlighed. Analysen skal også tage stilling til designet af funktionerne i mobilbanken. Baseret på ovennævnte analyse vil vi derfor udvikle et forslag til en brugergrænseflade, som vi kan udføre brugertests på, samtidig med at STS- og OTP-signon testes. Speciale ved Roskilde Universitetscenter September 2008-9 -

3 Designforslag til autentificering i en mobilbank Dette speciale tager udgangspunkt i en specifik ide til, hvordan man kan udnytte mobiltelefonens muligheder bedst i forbindelse med udvikling af en mobilbank, der både skal være sikker og brugervenlig. Vi har i litteraturen fundet et eksempel på, hvordan mobiltelefonen kan udnyttes til at sikre to-faktor autentificering (se afsnit 4.2.3) ved signon på en pc-baseret netbank (Nagel 2007), men vi har vurderet, at dette ikke har kunnet eksporteres direkte til en mobilbank. Og ingen steder har vi fundet eksempler på mobilbanker, der gør brug af to-faktor autentificering kun ved at udnytte mobiltelefonens muligheder det vil sige uden ekstra elementer som for eksempel en OTP-token (se afsnit 4.1.1) eller et OTP-genererende program på telefonen. Vi har derfor selv udviklet et forslag til, hvordan man kan udnytte mobiltelefonen som det element, der sikrer to-faktor autentificering i signon til en mobilbank ved at udnytte mobiltelefonens mulighed for at sende og modtage sms. Dette designforslag kalder vi, som tidligere nævnt, for Smsbaseret To-faktor Signon (STS). Designforslaget koncentrerer sig om autentificering af brugeren; det vil sige sikring af brugerens identitet i forbindelse med signon og godkendelse af transaktioner. Brug af to-faktor autentificering sikrer dette ved at bruge en form for engangskoder, også kaldet OTP-koder, der sendes via sms til brugeren. Så udnytter man telefondelen, der er en naturlig del ved en mobilbank, og dermed slipper brugeren for at skulle bære rundt på en separat OTP-token eller et papir med engangskoder. Dette vil gøre det nemmere for brugerne at logge på mobilbanken, når de ønsker det, da de ikke vil skulle huske deres OTP-token eller kodekort i stedet kan de blot bruge deres mobiltelefon. Risikoen for, at de mister kodegeneratoren bliver også mindre, da de ikke skal bære rundt på en ekstra fysisk ting, de kan miste. Ideen er, at brugerens mobilnummer er kendt af banken, samtidigt med at det ikke praktisk er muligt at få en telefon til at modtage beskeder for andre end dens eget nummer, medmindre det originale simkort er blevet kopieret. GSM-standarden er dog konstrueret til at forhindre, at mere end ét simkort med samme identifikationsinformation kan være på nettet samtidigt. Dermed gør man det svært for en angriber med fysisk adgang til kortet at klone det, da kortet kun kan bruges, når den rigtige bruger ikke anvender det (se også afsnit 4.4). I STS starter brugeren signon-processen med at sende en sms indeholdende sit brugernummer til bankens sms-gateway (fra et mobilnummer, der i bankens systemer er koblet til det indtastede Speciale ved Roskilde Universitetscenter September 2008-10 -

brugernummer). Derefter vil banken sende en sms indeholdende et link med en engangskode retur til det godkendte nummer. Indholdet i sms en kunne lyde som følgende: Du kan logge på Mobilbanken ved at klikke på dette link: https://mobilbanken.dk/login.aspx?ses=5d5d1f14c8704e935a87ad78fc535bea Dette link med engangskoden udgør den unikke kode, som en OTP-token (for eksempel Danske Banks ActivCard) bruges til i andre signon-modeller. Når brugeren følger dette link i sin telefons indbyggede webbrowser, vil han/hun skulle logge ind med sit almindelige brugernavn og adgangskode. Den unikke kode i linket vil være bundet til dette brugernavn, således at det kun er det brugernavn, der sendte sms-beskeden, der kan logge ind. Og signon skal ske inden for et tidsinterval, hvor engangslinket er gyldigt, for eksempel 15 minutter. Signon-forløbet i STS er illustreret i figur 1 på næste side. Dermed er der to dele, eller faktorer, i sikkerheden; engangskoden/-linket, der kun kan bestilles fra og modtages af det godkendte mobilnummer, samt det almindelige brugernavn og password. Når brugeren skal godkende de transaktioner, han/hun har oprettet, foregår det på næsten samme måde: Når en transaktion er oprettet vil brugeren blive bedt om at godkende den eller udskyde godkendelsen til senere. Når brugeren vælger at godkende sine transaktioner, sender banken en sms indeholdende et godkendelseslink til det registrerede mobilnummer. Denne sms beder brugeren om at logge ind for at godkende sine transaktioner, og når brugeren følger linket, skal han/hun autentificere sig med password igen. Når brugeren er logget ind igen, får han/hun vist en liste over sine ubekræftede transaktioner, som så enten kan godkendes eller afvises. 3.1 To-faktor sikkerhed i designforslaget Det, der gør STS til en to-faktor-løsning, er selve mobiltelefonen (ellere rettere simkortet), der kombinerer en noget du har -enhed sammen med noget du ved (password). Det kræver adgang til mobiltelefonen at kunne modtage de sms-beskeder, som der kræves for at logge ind på mobilbanken. Har man ikke adgang til telefonen for at modtage sms-beskeden, og/eller kan man ikke passwordet til mobilbanken, kan man ikke logge ind. Selv om man skulle besidde telefonen, skal man stadig også være i besiddelse af password. Man skal altså besidde begge faktorer for at kunne fortage et succesfuldt signon. Mobiltelefonen erstatter i STS-modellen derfor en traditionel OTP-token, såsom et printet kodekort eller et ActivCard. Speciale ved Roskilde Universitetscenter September 2008-11 -

Speciale ved Roskilde Universitetscenter September 2008-12 -

3.2 STS i forhold til eksisterende to-faktor løsninger Der er en række forskellige former for to-faktor autentificering i brug hos eksisterende danske netbanker (se afsnit 4.2.2 for uddybning). Den mest udbredte tilgang er brug af en signaturfil, der er placeret på kundens computer. Sammenlignet med denne har STS en lang række fordele. Brugervenlighedsmæssigt er der den fordel, at brugeren ikke skal installere noget på computeren eller telefonen, og derfor er der heller ikke software, der skal vedligeholdes. Sikkerhedsmæssigt er der også nogle fordele: En af truslerne mod løsninger med signaturfiler er, at en uautoriseret person i mange tilfælde kan kopiere den via internettet, hvilket i praksis ikke er en trussel med et simkort (se afsnit 4.4). En anden udbredt løsning til at logge på netbanker er, som tidligere nævnt, engangskoder via kodekort eller OTP-tokens. Her er fordelene ved STS, at den er mere brugervenlig, idet brugeren ikke skal huske at medbringe en ekstra ting, men kan nøjes med sin mobiltelefon, hvilket tillige er billigere for banken, der ikke skal bruge ressourcer på at administrere OTP-tokens. Ulempen er, at hvis telefonen bliver inficeret med malware, vil angriberen kontrollere både kodegeneratoren samt den enhed, der foretager transaktionerne. Det vil kunne gøre det en smule nemmere at misbruge mobilbanken, end hvis kodegeneratoren var en separat enhed. Dette er dog ikke et sikkerhedsmæssigt problem, der kan forårsage, at brugere og banker ikke vil bruge STS-modellen, da alle kendte netbanksløsninger er sårbare, hvis en angriber først har fået kontrol med den enhed, som transaktionerne udføres på. Det skal også sammenlignes med, at Danske Bank tillige har en løsning til deres mobilbank, som nævnt i problemfeltet, hvor en angriber kan nøjes med at stjæle de printede engangskoder og brugerens cpr-nummer, som ofte begge vil være at finde i brugerens pengepung. Hvis Danske Bank mener, dette er et acceptabelt sikkerhedsniveau, bør STS også kunne accepteres i banksektoren, da det giver sikkerhed på et langt højere niveau. Vi ser STS som et (for banken) billigere alternativ til to-faktor autentifikation end OTP-tokens, og som et simplere alternativ til nøglefiler uden dog at ofre sikkerheden for slutbrugeren eller banken. Speciale ved Roskilde Universitetscenter September 2008-13 -

4 Sikkerhed I de foregående afsnit har vi præsenteret vores designforslag, STS, der bruger sms til at gøre signon på en mobilbank sikkert gennem to-faktor autentificering. I de følgende afsnit vil vi diskutere sikkerhed på et overordnet plan, og derefter vil vi komme yderligere ind på sikkerhed relateret til mobilbanker. Akkurat som sikkerhed er en central del i en browserbaseret netbank, bør det også være det i en browserbaseret mobilbank. 4.1 Sikkerhedsprincipper Der er syv sikkerhedsprincipper, der generelt opfattes som grundlaget for en god sikkerhedsløsning; autentificering, autorisation, integritet, tilgængelighed, fortrolighed, revidering/evaluering og uafviselighed (Ramachandran 2002: 52). Heraf er særligt fire principper vigtige i sammenhæng med dette speciale, og vi vil derfor gennemgå disse i det nedenstående: Autentificering: Dette er processen, hvor det bestemmes, om en påstået identitet er gyldig. Det vil sige, at man sikrer sig, at det er den rigtige person, der får adgang til systemet. Netop autentificering er af særlig høj vigtighed for webbaserede bankløsninger, herunder både eksisterende netbanker og vores bud på en mobilbank. Hvis ikke man kan sikre, at det er den rigtige person, der bruger en netbank eller mobilbank, bliver systemet stort set ubrugeligt. Vi vil diskutere autentificering yderligere i afsnit 4.2. Integritet: Med integritet menes der, at det skal forhindres, at uautoriserede personer kan modificere eller destruere data, eller at der sker utilsigtede uheld, der modificerer data. Integritet i data-kommunikation kan for eksempel sikres ved at benytte SSL (Secure Sockets Layer), der gør brug af stærk kryptografi for at sikre autentificering, integritet og fortrolighed (Ramachandran 2002: 183). Fortrolighed: Data skal beskyttes mod at blive vist for uautoriserede brugere eller processer. Dette er af særlig vigtighed for netbanker og mobilbanker, der har med både personfølsomme og meget private data at gøre. I en mobilbank, såvel som i en traditionel netbank, kan denne fortrolighed i stor grad søges sikret gennem brugen af SSL, som nævnt ovenfor. I den udviklede prototype vil vi dog ikke implementere SSL, idet det kan give problemer i forhold til test af brugervenligheden i Speciale ved Roskilde Universitetscenter September 2008-14 -