Untitled Quiz

Questions and Answers

Koja je prednost biometrijskih sistema autentifikacije u odnosu na standardne metode?

• Zahtevaju najmanje vreme za proveru.
• Mogu biti prenosivi.
• Lako se zaboravljaju.
• Značajno su pouzdaniji. (correct)

Koje fiziološke karakteristike se koriste u biometrijskim tehnologijama?

• Zapamćene lozinke.
• Svojstva ličnosti.
• Otisak prsta. (correct)
• Razgovor sa korisnikom.

Šta je karakteristično za višestruke metode autentifikacije?

• Osiguravaju veći nivo sigurnosti. (correct)
• Koriste samo jednu vrstu verifikacije.
• Obavezno koriste biometrijske podatke.
• Nisu pogodna za transakcije sa niskim rizikom.

Koje osobine se odnose na ponašanje korisnika u biometrijskoj autentifikaciji?

Svojeručni potpis. (A)

Koja izjava o tehnikama autentifikacije nije tačna?

Standardne metode su uvek sigurne. (B)

Koji proces korisnik obično prolazi prilikom autentifikacije koristeći asinhroni token?

Unosi odgovor na upit zajedno sa korisničkim imenom ili PIN-om. (B)

Kako sinhroni tokeni generišu jednokratne lozinke?

Kombinovanjem vremena i tajnog ključa. (A)

Koliko često se kod generiše u tipičnom sinhronom tokenu?

Svake 60 sekundi. (C)

Koje informacije korisnik unosi prilikom korišćenja sinhronog tokena?

Vrednost sa token uređaja i PIN. (A)

Šta se koristi za poravnavanje vrednosti u serveru za autentifikaciju?

Sinhronizovano vreme i PIN korisnika. (A)

Koliko cifara obično sadrži kod generisan od sinhronog tokena?

Između 6 i 18 cifara. (B)

Koja je jedna od prednosti korišćenja sinhronih tokena za autentifikaciju?

Zahteva manje koraka za korisnika. (D)

Koji od navedenih metoda se koristi za off-line krađe kredencijala?

Malware napadi (B), Vishing (C)

Šta je potrebno za pristup korisniku nekom bankarskom servisu koristeći token?

Identifikacioni broj tokena. (A)

Koji je cilj phishing napada?

Da se ostvari pristup ličnim podacima korisnika (B)

Koja od navedenih kriminalnih aktivnosti nije povezana sa phishing-om?

Napadi na mrežne protokole (B)

Kako phishing može da se realizuje osim putem e-maila?

Telefonskim pozivima i SMS porukama (A)

Koliko je organizacija postalo žrtva phishing napada u 2022. godini prema izveštaju Egress-a?

92% (A)

Koja je tipična posledica kreiranja lažne stranice u phishing napadu?

Prikupljanje lozinki i kreditnih kartica (D)

Šta je uloga lažnog e-maila u phishing napadu?

Da nagovori korisnika da unese svoje podatke (B)

Koja varijanta phishing-a koristi glasovne pozive?

Vishing (C)

Šta omogućava HTTPS protokol?

Siguran prenos podataka između klijenta i servera (A)

Koja od navedenih tvrdnji o S-HTTP protokolu je tačna?

Omogućuje bezbedan prenos na nivou individualnih poruka (C)

Koja od sledećih karakteristika ne pripada SSL i TLS protokolima?

Povećana brzina prenosa (A)

Kako se SSL protokol implementira u odnosu na TCP sloj?

Kao dodatni sloj iznad podrške za TCP (A)

Koji od sledećih protokola koristi kriptografiju i digitalne sertifikate za autentifikaciju?

SET (B)

Šta je glavni razlog slabe rasprostranjenosti S-HTTP protokola?

Neuspešan marketing (D)

Koje su ključne komponente SSL protokola?

SSL Handshake Layer i pod-slojevi (B)

Koja izjava najbolje opisuje razliku između S-HTTP i HTTPS?

HTTPS obezbeđuje bezbednu vezu za celokupne sesije, dok S-HTTP za pojedinačne poruke (C)

Koja od sledećih strategija nije deo borbe protiv phishing-a?

Implementacija klasičnih sistema zaštite (B)

Kako Computer Vision tehnologija detektuje phishing poruke?

Analizom brendiranih elemenata (A)

Koji od navedenih elemenata može ukazivati na potencijalni phishing napad?

Zamena logotipa sa drugima (D)

Zašto su korisnici sa malo znanja o računarima najviše ugroženi?

Zato što ne znaju prepoznati phishing napade (B)

Koji od sledećih elemenata može ukazivati na legitimnu komunikaciju?

Obraćanje korisniku imenom (B)

Kako korisnici treba da reagiraju kada primete nepravilnosti u gramatici poruka?

Da posumnjaju u moguću prevaru (A)

Šta su spam filteri?

Implementacije koji proveravaju e-poštu (C)

Kako se može prepoznati lažna web adresa?

Manipulacija linkovima (B)

Koja je uloga obuke korisnika u borbi protiv phishing-a?

Podizanje socijalne svesti (D)

Koji se pristup koristi za detekciju phishing napada mimo tradicionalnih metoda?

Computer Vision tehnologija (D)

Koja je primarna uloga sertifikacionog tela u procesu izdavanja digitalnog sertifikata?

Potpisuje zahtev svojim tajnim ključem (A)

Zašto je tajni ključ važno da nikad ne napušta karticu?

Da se obezbedi zaštita privatnosti korisnika (C)

Kako primalac sertifikata može proveriti digitalni potpis sertifikacionog tela?

Korišćenjem njegovog javnog ključa (C)

Šta se događa ako pretraživač ne prepoznaje izdavaoca digitalnog sertifikata?

Dobija se obaveštenje o nepoznatom izdajatelju (A)

Koje informacije sertifikaciona tela obezbeđuju u vezi sa digitalnim sertifikatima?

Listu za opoziv sertifikata (CRL) (D)

Koja istina se odnosi na bezbednosne protokole kao što su SSL i HTTPS?

Oni obezbeđuju enkripciju i sigurnost prilikom prenosa informacija (A)

Koja kompanija nije registrovana za izdavanje digitalnih sertifikata?

Microsoft (A)

Koje informacije se ne proveravaju prilikom upotrebe digitalnog sertifikata?

Informacija o poslednjem pristupanju (A)

Šta je jedan od glavnih ciljeva Zakona o elektronskom potpisu donesenog 2006?

Stvaranje preduslova za obrazovanje sertifikacionih tela (B)

Koji od navedenih protokola se ne koristi za obezbeđivanje veb transakcija?

FTP (B)

Flashcards

Token uređaj

Uređaj koji generiše jednokratne lozinke za autentifikaciju korisnika.

Asinhroni token

Token koji ne zahteva sinhronizaciju vremena između uređaja i servera za generisanje lozinki.

Sinhroni token

Token koji zahteva sinhronizaciju vremena između uređaja i servera za generisanje jednokratnih lozinki.

Generisanje lozinke

Proces stvaranja jednokratnih lozinki za pristup sistemu.

Autentifikacija korisnika

Proces verifikacije identiteta korisnika.

Peto-stepeni proces autentifikacije

Protokol u 5 koraka za potvrdu korisničkog identiteta.

Verifikacija

Potvrđivanje tačnosti podataka ili identiteta.

Jednokratna lozinka

Lozinka koja se koristi samo jednom za pristup sistemu.

Korisničko ime/šifra/PIN

Podaci korisnika korišćeni za autentifikaciju.

Generisanje lozinke

Algoritamsko generisanje lozinke na serveru na osnovu identifikacionog broja tokena.

Verifikacija lozinke

Upoređivanje generisane lozinke sa lozinkom koju je korisnik uneo.

Biometrijske tehnologije

Tehnike autentifikacije zasnovane na fizičkim ili psihološkim karakteristikama korisnika (npr. otisak prsta, prepoznavanje lica).

Fiziološke karakteristike

Biometrijske karakteristike vezane za oblik tela (npr. otisak prsta, prepoznavanje rožnjače oka).

Osobine ponašanja

Biometrijske karakteristike vezane za ponašanje pojedinaca (npr. potpis).

Višestruke metode autentifikacije

Autentifikacija koja se zasniva na više faktora (npr. lozinka i token) za verifikaciju identiteta.

Zaštita podataka za autentifikaciju

Mere bezbednosti za sprečavanje krađe podataka za autentifikaciju.

Krađa finansijskih podataka

Neovlašćeno dobijanje podataka za autentifikaciju (kredencijala).

Phishing

Vrsta prevare u kojoj se koriste lažni mejlovi, SMS ili telefonski pozivi da se korisnici navedu da otkriju svoje lične ili finansijske podatke.

Phishing e-mail

Lažni e-mail koji izgleda kao da je poslat od legitimne organizacije (npr. banke) i traži od korisnika da otkriju svoje podatke.

Lažna stranica (Phishing)

Web stranica koja izgleda kao originalna stranica, ali je zapravo kreirana da ukrade korisničke podatke.

Online krađa kredencijala

Krađa korisničkih imena i lozinki putem malicioznog softvera ili prevara.

Offline krađa kredencijala

Krađa kredencijala putem napada na računar ili navođenjem korisnika da otkriju podatke.

Prevara putem SMS-a (Smishing)

Vrste phishing-a koja se realizuje putem SMS poruka.

Prevara putem glasa (Vishing)

Vrsta phishing-a koja se realizuje putem telefonskih poziva.

Statistika phishing-a

Visok postotak organizacija postaje žrtva napada phishing-a.

Computer Vision tehnologija

Tehnologija koja koristi analizu slika i mašinsko učenje za otkrivanje sumnjivih e-pošta, obično u cilju sprečavanja phishing napada.

Phishing napad

Oblik prevare gde se lažni web sajtovi ili e-pošte koriste za obmanu žrtava kako bi dobile osetljive podatke poput lozinki.

Detekcija phishing-a

Proces otkrivanja i sprečavanja phishing napada.

Obuka korisnika

Obrazovanje korisnika kako bi ih upoznali sa phishing napasima i kako da ih prepoznaju kako bi se smanjio rizik od prevare.

Crne liste sajtova

Spisak poznatih phishing sajtova koji su blokirani kako bi se sprečilo pristupanje korisnika.

Spam filteri

Sistemi koji filtriraju i blokiraju neželjenu e-poštu, uključujući i phishing e-poštu.

Lažiranje brenda

Tehnika prevare gde prevaranti koriste logotipe poznatih kompanija kako bi e-pošte i sajtovi izgledali legitimniji.

Manipulacija linkovima

Prevaranti menjaju URL adrese (linkove) kako bi izgledalo da se korisnik preusmerava na legitimnu stranicu ali u stvari završava na phishing stranici.

Digitalni sertifikat

Dokument koji sadrži javni ključ korisnika, potpisan od sertifikacionog tela (CA).

Sertifikaciono telo (CA)

Organizacija koja izdaje i verifikuje digitalne sertifikate.

Tajni ključ

Ključ za šifrovanje i potpisivanje, koji se čuva tajno od korisnika.

Javni ključ

Ključ koji se javno objavljuje i koristi za dešifrovanje poruka ili verifikaciju potpisa.

CRL (Certificate Revocation List)

Lista opozvanih digitalnih sertifikata.

HTTPS

Bezbedni protokol za prenos podataka preko Interneta.

SSL

Bezbedonosni protokol za šifrovanje komunikacije na transportnom nivou.

Proces izdavanja digitalnog sertifikata

Korak po korak proces izdavanja digitalnog sertifikata.

Validnost sertifikata

Provera da li je sertifikat važeći u datom trenutku; važi li u periodu važenja.

HTTPS protokol

Protokol koji obezbeđuje bezbedan prenos podataka preko veb servisa (WWW) koristeći SSL.

S-HTTP protokol

Protokol koji omogućava bezbedan prenos na nivou pojedinačnih poruka.

SSL/TLS protokoli

Kriptografski protokoli koji obezbeđuju sigurne komunikacije na Internetu (uspostavljanje bezbednog kanala).

SSL Handshake Layer

Pod-sloj SSL protokola zadužen za uspostavu bezbednog kanala.

Bezbednost aplikacija

Zaštita autentičnosti i privatnosti aplikacija.

SET protokol

Protokol koji obezbeđuje bezbednost elektronskih transakcija.

Kriptografija

Nauka koja se bavi šifrovanjem i dešifrovanjem podataka.

Digitalni sertifikati

Dokumenti koji identifikuju vlasnika i ključeve za autentifikaciju.

Study Notes

Elektronsko Bankarstvo: Lekcija 2: Bezbednost transakcija

•  Predmet ove lekcije je bezbednost transakcija na internetu.
•  Glavna prepreka razvoju elektronske trgovine je nedostatak široko prihvaćenog sistema za bezbedna elektronska plaćanja.
•  Postoji strah od davanja finansijskih informacija preko interneta.
•  Obezbeđenje sigurnosti podataka koji se šalju preko interneta je od suštinske važnosti, npr. podaci sa platnih kartica.
•  Rizik od gubitka ili krađe platnih kartica u realnom svetu je često precenjen.
•  Da zaključimo, trenutno ne postoji široko prihvaćen potpuno bezbedni sistem plaćanja preko interneta, što predstavlja veliki korak u evoluciji interneta.

Zahtevi za bezbednost elektronskih transakcija

•  Za bezbednost elektronskih transakcija neophodno je obezbediti privatnost komunikacija, tj., zaštiti tajnost i poverljivost podataka i osetljivih ličnih informacija od namernog i nenamernog otkrivanja.
•  Takođe je neophodno obezbediti integritet podataka, tj. detekciju neovlašćenih izmena podataka u toku prenosa.

Tehnike autentifikacije korisnika

•  Savremeni načini provere identiteta korisnika na internetu su zasnovani na tome što korisnik poznaje, što korisnik ima i što korisnik jeste.
•  Lozinka (password) - Mehanizam za sprečavanje neovlašćenog pristupa informacijama, softveru ili računaru. Sastoji se od niza karaktera i simbola. Efikasna lozinka mora biti dovoljno dugačka i teška za pogađanje, a poželjno je često je menjati. Prilikom unosa, obično se ograničava broj pokušaja i vreme unošenja ispravne lozinke. Statičke lozinke i lozinke za jednokratnu upotrebu (OTP, one time password).
•  (Security) Token ili smart kartica - moguće neovlašćeno korišćenje u slučaju gubitka.
•  Biometrijske karakteristike (otisak prsta, glas, ...) – predstavljaju pouzdaniji sistem kontrole pristupa u poređenju sa lozinkama. Zasnovane na fizičkim ili psihološkim karakteristikama korisnika. Mogućnosti su otporne na falsifikovanje.

Tokeni

•  Fizički uređaji (USB tokeni, smart kartice). USB tokeni su relativno sigurno sredstvo za čuvanje osetljivih podataka, otporni na falsifikovanje i jednostavni za korišćenje. Smart kartice sadrže procesor koji omogućuje skladištenje i obradu podataka, a za njihovo korišćenje je potreban kompatibilan čitač kartica.
•  Tokeni za generisanje lozinke (elektronski uređaji nalik kalkulatorima) - generišu jednokratne lozinke (OTP, one time password). Lozinka traje 60 sekundi kako bi se sprečila zloupotreba.

Asinhroni tokeni za generisanje lozinke

•  Proces autentifikacije se obično izvodi u pet koraka: (1) Autentifikacioni server dodeli zahtev za upit korisniku; (2) Korisnik unosi upit u njegov token uređaj; (3) Token uređaj matematički izračuna tačan odgovor; (4) Korisnik unosi odgovor na upit zajedno sa korisničkim imenom ili šifrom; (5) Servers za autentifikaciju verifikuje odgovor.

Sinhroni tokeni za generisanje lozinke

• Koriste vreme sa sata kao deo algoritma za generisanje koda, koji se periodično menja(npr., kod ima 6 do 8 cifara i generiše se svakih 60 sekundi). • Ovaj kod se prikazuje korisniku i koristi se kao autentifikacioni kod ili u kombinaciji sa korisničkim imenom ili PIN-om radi autentifikacije korisnika. • Zahteva manje koraka za korisnika.

Tokeni za generisanje lozinke (p nastavak)

•  Server kada primi zahtev na osnovu identifikacionog broja tokena, algoritamski generiše lozinku, i poredi je sa unesenom lozinkom. Ako se podudaraju, pristup je dozvoljen.

Biometrijske tehnologije

•  Zasnivaju se na fizičkim ili psihološkim karakteristikama korisnika. Omogućuju prevazilaženje manjkavosti standardnih sistema provere. Biometrijske karakteristike se dele u 2 kategorije: Fiziološke karakteristike (otisak prsta, prepoznavanje rožnjače oka, oblik šake, lica) i Osobine koje se odnose na ponašanje.

Višestruke (Multi-faktorske) metode autentifikacije

•  Korišćenje više faktora za verifikaciju identiteta je značajno pouzdanije od korišćenja samo jedne metode. Korišćenje jedne metode je neadekvatno za visokorizične transakcije. Izbor tehnike zavisi od procene rizika. Primer korišćenja bankomata.

Krađa finansijskih podataka

•  Kako zaštititi podatke za autentifikaciju? / Kako neovlašćeno doći do podataka za autentifikaciju?
•  Off-line i on-line krađe kredencijala. Off-line krađe kredencijala putem malicioznog softvera (virusi, trojanski konji...)

Phishing

•  Lažni e-mailovi, SMS poruke, ili telefonski pozivi za prikupljanje finansijskih podataka.
•   Višing (voice phishing) - pecanje putem glasa i smišing (sms phishing) – pecanje putem SMS-a.
•  Phishing statistika (npr. 92% organizacija je postalo žrtva phishing napada u 2022. godini i povrećanje od 29% od 2021.)

Strategije u borbi protiv Phishing-a

•  Obuka korisnika (za prepoznavanje phishing sajtova), spam filteri, bezbedni sistemi komunikacije, Computer Vision (CV) tehnologije.
• Obuka korisnika (korisni saveti) - Manipulacija linkovima.

Tehnologija enkripcije

•  Kriptografija - nauka koja se bavi metodama čuvanja tajnosti informacija.
•  Enkripcija - proces transformacije običnog teksta ili podataka u šifrovani tekst (nečitljiv za treće strane).
•  Simetrična kriptografija i asimetrična kriptografija.

Pregled protokola za bezbednost na internetu

•  Standardizovani bezbednosni protokoli (npr., S-HTTP/HTTPS, SSL/TLS, S/MIME, SET - Secure Electronic Transaction) - obezbeđuju sigurnu komunikaciju.

Digitalni sertifikat

•  Sistem digitalnog potpisa se oslanja na mogućnost uspostavljanja veze između javnog ključa i njegovog vlasnika.
•  Predstavlja strukturu podataka koji imaju za cilj pouzdano povezivanje javnog ključa sa podacima o nosiocu.
•  Samopotpisani, Kvalifikovani sertifikati, Tehnički identični.
•   Kada se digitalni sertifikat koristi, proverava se njegov rok važnosti i validnost od strane sertifikacionog tela.
• Proces izdavanja digitalnog sertifikata se odvija kako sledeće: (1) Generisanje para ključeva, (2) Kompletiranje zvaničnog zahteva, (3) Predaja zahteva sertifikacionom telu, (4) Potpisivanje dokumenta i (5) Vraćanje sertifikata korisniku.
• Važnosti digitalnih sertifikata u bezbednosnim protokolima na internetu.