professionals view of e-banking security and risk analysis
DESCRIPTION
Analysis of Results of a survey launched by ENISA and the APWG.EU to IT security professionals of the financial sector, to get their view of the security and risks associated to the use of different authentication methods for the citizens accessing e-Banking services on-line.TRANSCRIPT
Liderazgo, confianza y compromiso social
1Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
A Professional View on eBanking Authentication: Challenges and Recommendations
Jorge Aguilà, Jetzabel M. Serna-Olvera, Manel Medina,
Andreas Sfakianakis, Luis Ángel Fernández
Liderazgo, confianza y compromiso social
2Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Outline
• Introduction• State-of-the-art• Threats• e-Banking Authentication• Results Analysis• Challenges & Recommendations• Future directions
Liderazgo, confianza y compromiso social
3Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Introduction: eIDAS Project
• Identify the authentication mechanisms used in the eFinance applications
• Categorise the authentication mechanisms based on the perception of users and security professionals.
• Validate recommendations about the most suitable authentication mechanisms to be used, based on the risk of the operation, its strength, usability and other parameters.
Liderazgo, confianza y compromiso social
4Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Contributors: Merchant Risk Council, Secure Retail Payments, EU Financial Services Information Sharing and Analysis Center, European Central Bank, European Payments Council, and Financial Services User Group.
Introduction: Participants
Liderazgo, confianza y compromiso social
5Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
State-of-the-art• Previous works have focused on identifying:
• Challenges, issues e-banking security [1],[2],[3]
• Threats, taxonomy of attacks, and security models [4], [5].
• An assessment of e-banking authentication methods has been provided by authors of [6]
• Similar to our study [7] analyzed the eIDAS used by major banks in English speaking countries <done by mere observation>
Liderazgo, confianza y compromiso social
6Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Threats
Liderazgo, confianza y compromiso social
7Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
E-Banking Authentication: Identification andAuthentication Systems (eIDAS) Selection
Username / Password
OTP
Biometrics
eSignature
Context authenticationMobile e-banking app
Liderazgo, confianza y compromiso social
8Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
E-Banking Authentication: Operation types
• Operation 1 & 2: “Low Risk” Read access (personal data, account details)
• Operation 3: Medium Risk (Trusted) Transactions
• Operation 4: High Risk (Untrusted) Transactions
Liderazgo, confianza y compromiso social
9Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
E-Banking Authentication: User segments
1) Retail: personal banking or consumer banking, aimed at regular customers making low amount transactions.2) Private: personal banking with special needs, i.e.customers making large amount transactions.3) Corporate/Business: aimed at companies / enterprises.4) Investor: aimed at users managing investment tools.
Liderazgo, confianza y compromiso social
10Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Results Analysis: Current practices
Liderazgo, confianza y compromiso social
11Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Results Analysis: Perceived Strength, Usability and Cost
Liderazgo, confianza y compromiso social
12Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Results Analysis: Risk Reduction Benefits
Liderazgo, confianza y compromiso social
13Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Results Analysis: Risk Reduction Benefits
Liderazgo, confianza y compromiso social
14Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Results Analysis: Adequacy of eIDAS Selection Criteria
Medium Strength High Strength
Liderazgo, confianza y compromiso social
15Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
• Implementation of robust transaction monitoring mechanisms:– context management– transaction limits , log-in attempts, time-out etc.– device identification and device health (dynamic) monitoring– anomaly detection (user behaviour, historical profile)
• Secure banking application development: – mobile OS security weakness & – deep analyse mobile attack vectors– data security (persistency, access control)
• Secure banking application distribution– Use only reputable sites to download apps, – Ensure that apps are tested for security
Recommendations
Liderazgo, confianza y compromiso social
16Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
• Customer awareness/education• Use of multifactor/multichannel authentication for
riskiest operations (see recom. Authent. Chains)– authentication mechanisms should be mutually independent, one
not-replicable and one not-reusable• Transaction signing: specific OTP for SMS & Mobile• Device/browser/mApplication registration• Implementation of context-based authentication
– Use eIDAS tailored to user profile, segment and to the operation or transaction risk
• Device security validation (static analysis)
Recommendations
Liderazgo, confianza y compromiso social
17Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Looking to the future ….
• Mobile banking will increasingly be exploited by cyber-criminals
• Extension of current online fraud tools and controls to the mobile channel
• Migration from pure two-factor authentication to transaction signing.
Liderazgo, confianza y compromiso social
18Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Looking to the future ….
• Development of new authentication mechanisms– Context-based OTP (Wen-Bin Hsieh, 2011)
– Biometrics –based OTP (OTP- Facial & Voice - You Joung Ham, 2012)
– QR codes (Jaideep Murkute, 2013): TAN/Image TAN
• Authentication in the Cloud (Risk-based)
• e-Signature (new EU Regulation)
Liderazgo, confianza y compromiso social
19Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
[1] M. R. Nami, “E-Banking: Issues and Challenges”, in 10th ACIS International Conference on Software Engineering, Artificial Intelligences, Networking and Parallel/Distributed Computing, 2009.[2] C. K. Dimitriadis, “Analyzing the Security of Internet Banking Authentication Mechanisms”, Information Systems Control Journal, 2007.[3] L. Peotta, M. D. Holtz, B. M. David, F. G. Deus and R. T. d. S. Jr, “A Formal Classification of Internet Banking Attacks and Vulnerabilities”, International Journal of Computer Science & Information Technology, pp. 186-196, 2011.[4] A. Fatima, “E-Banking Security Issues Is There A Solution in Biometrics?”, Journal of Internet Banking and Commerce, August 2011, vol. 16, no.2, vol. 16, no. 2, 2011.[5] A. Hiltgen, T. Krampand and T. Weigold, “Secure Internet Banking Authentication”, IEEE Security & Privacy, 2006.[6] R. Chouhan and V. S. Rathore, “e-Banking Security and Authentication
Liderazgo, confianza y compromiso social
20Documento de uso exclusivamente interno. © ”la Caixa”.Todos los derechos reservados. En particular, se prohíbe su reproducción
y comunicación o acceso a terceros no autorizados.
9507 seguretat 12/04/2023
Thank you!!
Questions?
[email protected]@bdigital.org