Untitled Quiz

Questions and Answers

Koja je prednost biometrijskih sistema autentifikacije u odnosu na standardne metode?

Zahtevaju najmanje vreme za proveru.

Mogu biti prenosivi.

Lako se zaboravljaju.

Značajno su pouzdaniji. (correct)

Koje fiziološke karakteristike se koriste u biometrijskim tehnologijama?

Zapamćene lozinke.

Svojstva ličnosti.

Otisak prsta. (correct)

Razgovor sa korisnikom.

Šta je karakteristično za višestruke metode autentifikacije?

Osiguravaju veći nivo sigurnosti. (correct)

Koriste samo jednu vrstu verifikacije.

Obavezno koriste biometrijske podatke.

Nisu pogodna za transakcije sa niskim rizikom.

Koje osobine se odnose na ponašanje korisnika u biometrijskoj autentifikaciji?

Svojeručni potpis.

Koja izjava o tehnikama autentifikacije nije tačna?

Standardne metode su uvek sigurne.

Koji proces korisnik obično prolazi prilikom autentifikacije koristeći asinhroni token?

Unosi odgovor na upit zajedno sa korisničkim imenom ili PIN-om.

Kako sinhroni tokeni generišu jednokratne lozinke?

Kombinovanjem vremena i tajnog ključa.

Koliko često se kod generiše u tipičnom sinhronom tokenu?

Svake 60 sekundi.

Koje informacije korisnik unosi prilikom korišćenja sinhronog tokena?

Vrednost sa token uređaja i PIN.

Šta se koristi za poravnavanje vrednosti u serveru za autentifikaciju?

Sinhronizovano vreme i PIN korisnika.

Koliko cifara obično sadrži kod generisan od sinhronog tokena?

Između 6 i 18 cifara.

Koja je jedna od prednosti korišćenja sinhronih tokena za autentifikaciju?

Zahteva manje koraka za korisnika.

Koji od navedenih metoda se koristi za off-line krađe kredencijala?

Malware napadi

Šta je potrebno za pristup korisniku nekom bankarskom servisu koristeći token?

Identifikacioni broj tokena.

Koji je cilj phishing napada?

Da se ostvari pristup ličnim podacima korisnika

Koja od navedenih kriminalnih aktivnosti nije povezana sa phishing-om?

Napadi na mrežne protokole

Kako phishing može da se realizuje osim putem e-maila?

Telefonskim pozivima i SMS porukama

Koliko je organizacija postalo žrtva phishing napada u 2022. godini prema izveštaju Egress-a?

92%

Koja je tipična posledica kreiranja lažne stranice u phishing napadu?

Prikupljanje lozinki i kreditnih kartica

Šta je uloga lažnog e-maila u phishing napadu?

Da nagovori korisnika da unese svoje podatke

Koja varijanta phishing-a koristi glasovne pozive?

Vishing

Šta omogućava HTTPS protokol?

Siguran prenos podataka između klijenta i servera

Koja od navedenih tvrdnji o S-HTTP protokolu je tačna?

Omogućuje bezbedan prenos na nivou individualnih poruka

Koja od sledećih karakteristika ne pripada SSL i TLS protokolima?

Povećana brzina prenosa

Kako se SSL protokol implementira u odnosu na TCP sloj?

Kao dodatni sloj iznad podrške za TCP

Koji od sledećih protokola koristi kriptografiju i digitalne sertifikate za autentifikaciju?

SET

Šta je glavni razlog slabe rasprostranjenosti S-HTTP protokola?

Neuspešan marketing

Koje su ključne komponente SSL protokola?

SSL Handshake Layer i pod-slojevi

Koja izjava najbolje opisuje razliku između S-HTTP i HTTPS?

HTTPS obezbeđuje bezbednu vezu za celokupne sesije, dok S-HTTP za pojedinačne poruke

Koja od sledećih strategija nije deo borbe protiv phishing-a?

Implementacija klasičnih sistema zaštite

Kako Computer Vision tehnologija detektuje phishing poruke?

Analizom brendiranih elemenata

Koji od navedenih elemenata može ukazivati na potencijalni phishing napad?

Zamena logotipa sa drugima

Zašto su korisnici sa malo znanja o računarima najviše ugroženi?

Zato što ne znaju prepoznati phishing napade

Koji od sledećih elemenata može ukazivati na legitimnu komunikaciju?

Obraćanje korisniku imenom

Kako korisnici treba da reagiraju kada primete nepravilnosti u gramatici poruka?

Da posumnjaju u moguću prevaru

Šta su spam filteri?

Implementacije koji proveravaju e-poštu

Kako se može prepoznati lažna web adresa?

Manipulacija linkovima

Koja je uloga obuke korisnika u borbi protiv phishing-a?

Podizanje socijalne svesti

Koji se pristup koristi za detekciju phishing napada mimo tradicionalnih metoda?

Computer Vision tehnologija

Koja je primarna uloga sertifikacionog tela u procesu izdavanja digitalnog sertifikata?

Potpisuje zahtev svojim tajnim ključem

Zašto je tajni ključ važno da nikad ne napušta karticu?

Da se obezbedi zaštita privatnosti korisnika

Kako primalac sertifikata može proveriti digitalni potpis sertifikacionog tela?

Korišćenjem njegovog javnog ključa

Šta se događa ako pretraživač ne prepoznaje izdavaoca digitalnog sertifikata?

Dobija se obaveštenje o nepoznatom izdajatelju

Koje informacije sertifikaciona tela obezbeđuju u vezi sa digitalnim sertifikatima?

Listu za opoziv sertifikata (CRL)

Koja istina se odnosi na bezbednosne protokole kao što su SSL i HTTPS?

Oni obezbeđuju enkripciju i sigurnost prilikom prenosa informacija

Koja kompanija nije registrovana za izdavanje digitalnih sertifikata?

Microsoft

Koje informacije se ne proveravaju prilikom upotrebe digitalnog sertifikata?

Informacija o poslednjem pristupanju

Šta je jedan od glavnih ciljeva Zakona o elektronskom potpisu donesenog 2006?

Stvaranje preduslova za obrazovanje sertifikacionih tela

Koji od navedenih protokola se ne koristi za obezbeđivanje veb transakcija?

FTP

Study Notes

Elektronsko Bankarstvo: Lekcija 2: Bezbednost transakcija

•  Predmet ove lekcije je bezbednost transakcija na internetu.
•  Glavna prepreka razvoju elektronske trgovine je nedostatak široko prihvaćenog sistema za bezbedna elektronska plaćanja.
•  Postoji strah od davanja finansijskih informacija preko interneta.
•  Obezbeđenje sigurnosti podataka koji se šalju preko interneta je od suštinske važnosti, npr. podaci sa platnih kartica.
•  Rizik od gubitka ili krađe platnih kartica u realnom svetu je često precenjen.
•  Da zaključimo, trenutno ne postoji široko prihvaćen potpuno bezbedni sistem plaćanja preko interneta, što predstavlja veliki korak u evoluciji interneta.

Zahtevi za bezbednost elektronskih transakcija

•  Za bezbednost elektronskih transakcija neophodno je obezbediti privatnost komunikacija, tj., zaštiti tajnost i poverljivost podataka i osetljivih ličnih informacija od namernog i nenamernog otkrivanja.
•  Takođe je neophodno obezbediti integritet podataka, tj. detekciju neovlašćenih izmena podataka u toku prenosa.

Tehnike autentifikacije korisnika

•  Savremeni načini provere identiteta korisnika na internetu su zasnovani na tome što korisnik poznaje, što korisnik ima i što korisnik jeste.
•  Lozinka (password) - Mehanizam za sprečavanje neovlašćenog pristupa informacijama, softveru ili računaru. Sastoji se od niza karaktera i simbola. Efikasna lozinka mora biti dovoljno dugačka i teška za pogađanje, a poželjno je često je menjati. Prilikom unosa, obično se ograničava broj pokušaja i vreme unošenja ispravne lozinke. Statičke lozinke i lozinke za jednokratnu upotrebu (OTP, one time password).
•  (Security) Token ili smart kartica - moguće neovlašćeno korišćenje u slučaju gubitka.
•  Biometrijske karakteristike (otisak prsta, glas, ...) – predstavljaju pouzdaniji sistem kontrole pristupa u poređenju sa lozinkama. Zasnovane na fizičkim ili psihološkim karakteristikama korisnika. Mogućnosti su otporne na falsifikovanje.

Tokeni

•  Fizički uređaji (USB tokeni, smart kartice). USB tokeni su relativno sigurno sredstvo za čuvanje osetljivih podataka, otporni na falsifikovanje i jednostavni za korišćenje. Smart kartice sadrže procesor koji omogućuje skladištenje i obradu podataka, a za njihovo korišćenje je potreban kompatibilan čitač kartica.
•  Tokeni za generisanje lozinke (elektronski uređaji nalik kalkulatorima) - generišu jednokratne lozinke (OTP, one time password). Lozinka traje 60 sekundi kako bi se sprečila zloupotreba.

Asinhroni tokeni za generisanje lozinke

•  Proces autentifikacije se obično izvodi u pet koraka: (1) Autentifikacioni server dodeli zahtev za upit korisniku; (2) Korisnik unosi upit u njegov token uređaj; (3) Token uređaj matematički izračuna tačan odgovor; (4) Korisnik unosi odgovor na upit zajedno sa korisničkim imenom ili šifrom; (5) Servers za autentifikaciju verifikuje odgovor.

Sinhroni tokeni za generisanje lozinke

• Koriste vreme sa sata kao deo algoritma za generisanje koda, koji se periodično menja(npr., kod ima 6 do 8 cifara i generiše se svakih 60 sekundi). • Ovaj kod se prikazuje korisniku i koristi se kao autentifikacioni kod ili u kombinaciji sa korisničkim imenom ili PIN-om radi autentifikacije korisnika. • Zahteva manje koraka za korisnika.

Tokeni za generisanje lozinke (p nastavak)

•  Server kada primi zahtev na osnovu identifikacionog broja tokena, algoritamski generiše lozinku, i poredi je sa unesenom lozinkom. Ako se podudaraju, pristup je dozvoljen.

Biometrijske tehnologije

•  Zasnivaju se na fizičkim ili psihološkim karakteristikama korisnika. Omogućuju prevazilaženje manjkavosti standardnih sistema provere. Biometrijske karakteristike se dele u 2 kategorije: Fiziološke karakteristike (otisak prsta, prepoznavanje rožnjače oka, oblik šake, lica) i Osobine koje se odnose na ponašanje.

Višestruke (Multi-faktorske) metode autentifikacije

•  Korišćenje više faktora za verifikaciju identiteta je značajno pouzdanije od korišćenja samo jedne metode. Korišćenje jedne metode je neadekvatno za visokorizične transakcije. Izbor tehnike zavisi od procene rizika. Primer korišćenja bankomata.

Krađa finansijskih podataka

•  Kako zaštititi podatke za autentifikaciju? / Kako neovlašćeno doći do podataka za autentifikaciju?
•  Off-line i on-line krađe kredencijala. Off-line krađe kredencijala putem malicioznog softvera (virusi, trojanski konji...)

Phishing

•  Lažni e-mailovi, SMS poruke, ili telefonski pozivi za prikupljanje finansijskih podataka.
•   Višing (voice phishing) - pecanje putem glasa i smišing (sms phishing) – pecanje putem SMS-a.
•  Phishing statistika (npr. 92% organizacija je postalo žrtva phishing napada u 2022. godini i povrećanje od 29% od 2021.)

Strategije u borbi protiv Phishing-a

•  Obuka korisnika (za prepoznavanje phishing sajtova), spam filteri, bezbedni sistemi komunikacije, Computer Vision (CV) tehnologije.
• Obuka korisnika (korisni saveti) - Manipulacija linkovima.

Tehnologija enkripcije

•  Kriptografija - nauka koja se bavi metodama čuvanja tajnosti informacija.
•  Enkripcija - proces transformacije običnog teksta ili podataka u šifrovani tekst (nečitljiv za treće strane).
•  Simetrična kriptografija i asimetrična kriptografija.

Pregled protokola za bezbednost na internetu

•  Standardizovani bezbednosni protokoli (npr., S-HTTP/HTTPS, SSL/TLS, S/MIME, SET - Secure Electronic Transaction) - obezbeđuju sigurnu komunikaciju.

Digitalni sertifikat

•  Sistem digitalnog potpisa se oslanja na mogućnost uspostavljanja veze između javnog ključa i njegovog vlasnika.
•  Predstavlja strukturu podataka koji imaju za cilj pouzdano povezivanje javnog ključa sa podacima o nosiocu.
•  Samopotpisani, Kvalifikovani sertifikati, Tehnički identični.
•   Kada se digitalni sertifikat koristi, proverava se njegov rok važnosti i validnost od strane sertifikacionog tela.
• Proces izdavanja digitalnog sertifikata se odvija kako sledeće: (1) Generisanje para ključeva, (2) Kompletiranje zvaničnog zahteva, (3) Predaja zahteva sertifikacionom telu, (4) Potpisivanje dokumenta i (5) Vraćanje sertifikata korisniku.
• Važnosti digitalnih sertifikata u bezbednosnim protokolima na internetu.