Autorizace v internetovém bankovnictví
V souvislosti s kauzou vykradení účtů klientů Komerční banky začínáme s novým seriálkem, který se bude zabývat bezpečností internetového bankovnictví. Dnes se budeme zabývat způsoby autorizace uživatelů a popíšeme si, jaký mají vliv na celkovou bezpečnost internetového bankovnictví.
Důvodem pro přípravu tohoto seriálu byla především aktuální kauza okolo problémů elektronického bankovnictví Komerční banky. Zároveň ale považujeme za užitečné informovat čtenáře a potencionální uživatele elektronického bankovnictví o aktuálních metodách zabezpečení. Máte přece právo vědět, jak jsou na tom vaše peníze.
Další informace o kauze Komerční banky naleznete v dnešním článku Komerční banka: Vykradení účtů potvrzeno! na našem sesterském serveru Měšec.cz.
Autorizace v první linii
Bezpečnost elektronického bankovnictví se skládá z mnoha součástí, jako je šifrování přenosu, potvrzování jednotlivých operací a také autorizace klientů. S poslední jmenovanou se pravděpodobně každý uživatel setká hned na začátku. Proto se jí v našem seriálu budeme věnovat jako první.
Autorizace je klíčovou částí komunikace s bankou, protože se jedná o jedinou překážku mezi uživatelem (ať už oprávněným nebo neoprávněným) a bankovním účtem. Není divu, že proto existuje celá řada postupů, jak autorizaci zvládat.
Všechny běžné metody, které nabízejí české banky, si proto uvedeme i s krátkým popisem a přidáme si informace ohledně výhod a nevýhod každého takového postupu.
Uživatelské jméno a heslo
Obecně nejznámější a nejběžnější způsob autorizace uživatele. K potvrzení identity stačí znát uživatelské jméno a heslo klienta. Výhodou je snadná implementace tohoto autorizačního procesu a jeho nenáročnost na samotného uživatele. Bohužel autorizační údaje se mění jen zřídka a proto je možno je získat velmi jednoduše. Ve chvíli, kdy se nám podaří tyto údaje získat, ať už odposlechem nebo je vyloudíme z uživatele, máme neomezený přístup. Spolehlivost autorizace je navíc velmi závislá na zvoleném hesle.
Certifikát
Další možností je použití certifikátu, který vám vystaví váš bankovní ústav. Certifikát pak používá bankovní aplikace pro ověření totožnosti jeho držitele. Po technické stránce se jedná o běžný soubor, který může být uložen na libovolném médiu. Uživatelé si své certifikáty obvykle ukládají na běžné diskety nebo USB disky. Velmi často se bohužel můžeme setkat s certifikáty uloženými na pevném disku, odkud je možno je pohodlně zkopírovat. Jakmile dojde k odcizení certifikátu a příslušných privátních klíčů, je možno opět získat přístup k bankovnímu účtu původního majitele. Nejbezpečnější je proto umístění certifikátu na čipovou kartu, jejíž čtečku pak musí mít uživatel připojenu ke svému počítači.
Akademie Root.cz
V rámci Akademie Root.cz připravujeme odborná školení a semináře určené nejen profesionálům, ale všem, kteří chtějí posílit své teoretické i praktické znalostí v oblasti IT. Školení vedou zkušení lektoři s mnohaletou praxí v oboru. Chcete-li rozšířit své obzory a zlepšit svou kvalifikaci, jsou naše školení tou správnou volbou.Autorizační kalkulátor
Autorizační kalkulátor je elektronické zařízení, které dokáže generovat jednorázová hesla pro přístup k bankovní aplikaci. Tato zařízení bývají synchronizována se systémy banky tak, aby obě strany generovaly stejné klíče. Ty pak uživatel opisuje do aplikace a ověřuje tak svou totožnost jednoduše tím, že dokáže, že je majitelem příslušného kalkulátoru. Generovaná hesla mívají obvykle návaznost na operace, které jsou pomocí klíče generovány a uživatel je tak nucen do kalkulátoru uvádět informace jako je číslo účtu, částka se kterou je manipulováno a podobně. Z tohoto důvodu je velmi obtížné podvrhnout uživateli falešné formuláře k potvrzení, protože pokud nejsou na obou stranách zadány stejné údaje, klíče jsou neplatné. Jedná se o jednu z nejbezpečnějších metod autorizace uživatele.
Autorizace pomocí SMS
Jiná metoda generování jednorázových hesel. Proti autorizačnímu kalkulátoru je při ní ale uživatel přímo komunikuje s bankovním systémem s pomocí mobilního telefonu. Banka při požadavcích o autorizaci zašle klientovi SMS s potvrzovacím kódem, který je potřeba opsat zpět do aplikace. Jedná se o velmi bezpečnou metodu, která má ovšem také svá omezení. Součástí SMS bývá často také informace o tom, k čemu se konkrétní kód vztahuje. Pokud uživatel tyto informace nekontroluje, je poměrně snadné mu podvrhnout falešnou webovou stránku a provést úplně jiný krok než ten, který uživatel očekává. Některé banky navíc žádné podrobné informace ve zprávách nezasílají, takže je není podle čeho ověřit.
Dvě tváře autorizace
Na samotnou autorizaci musíme pohlížet ze dvou různých úhlů. Každý uživatel se musí autorizovat při samotném vstupu do bankovní aplikace, ale později musí znovu potvrzovat každou prováděnou operaci.
Obvykle se v obou případech jedná o stejnou metodu, ale ne vždy tomu tak je. Některé banky používají pro prvotní autorizaci uživatelské jméno a heslo a následně pro potvrzování transakcí vyžadují certifikáty nebo jiný způsob autorizace.
Většina českých bank nabízí několik možností autorizace uživatele, případně dovoluje tyto metody kombinovat. V následujících tabulkách si shrneme, které způsoby autorizace jsou konkrétními ústavy používány.
| Jméno a heslo | Certifikát | Čipová karta | SMS kódy | Kalkulátor | |
|---|---|---|---|---|---|
| BAWAG Bank | ano | ||||
| Citibank | ano | ||||
| Česká spořitelna | ano | ano | ano | ||
| ČSOB | ano | ano | ano | ano | |
| eBanka | ano | ano | ano | ||
| GE Money Bank | ano | ano | |||
| HVB Bank | ano | ||||
| Komerční banka | ano | ano | |||
| Poštovní spořitelna | ano | ano | ano | ano | |
| Raiffeisenbank | ano | ||||
| Volksbank | ano | ||||
| WSPK | ano | ano | |||
| Živnostenská banka | ano | ano |
| Certifikát | Čipová karta | SMS kódy | Kalkulátor | |
|---|---|---|---|---|
| BAWAG Bank | ano | |||
| Citibank | ||||
| Česká spořitelna | ano | ano | ano | |
| ČSOB | ano | ano | ano | |
| eBanka | ano | ano | ano | |
| GE Money Bank | ano | |||
| HVB Bank | ano | |||
| Komerční banka | ano | ano | ano | |
| Poštovní spořitelna | ano | ano | ano | |
| Raiffeisenbank | ano | ano | ||
| Volksbank | ano | |||
| WSPK | ano | ano | ||
| Živnostenská banka | ano |
Závěrem
Z předchozího textu si můžete udělat obrázek ohledně toho, jak je na tom která banka a jaké jsou možnosti zabezpečení jejich účtů. Způsoby autorizace by rozhodně neměly uniknout žádnému klientovi, který se právě rozhoduje, kam uloží své úspory. V příštím článku se podíváme na další bezpečnostní hledisko, kterým je šifrování přenášených dat.
Anketa
Používáte elektronické bankovnictví?
Petr Krčmář
Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Vystudoval elektroniku se zaměřením na počítačové systémy, nyní se zabývá médii, především těmi elektronickými.
Související odkazy
Školení: Django framework: Struktura a základy vývoje (nejen) webových aplikací
Django je vyspělý webový framework napsaný v jazyce Python, který podporuje extrémně rychlý vývoj společně s dodržováním principů dobrého návrhu. Snaží se co nejvíce automatizovat a drží se principu DRY (z anglického Don't Repeat Yourself — neopakuj se).
- Instalace potřebného softwaru
- Programování v Pythonu: příkazy, funkce, datové typy, moduly, objekty, výjimky
- Struktura aplikace v Djangu
- Typické záležitosti webových aplikací: Napojení na databázi, zpracování vstupu od uživatele, přihlášení či generování dynamického obsahu.
- Implementace principu MVC: modely, pohledy (views) a šablony
- Seznámení s užitečnými komponenty frameworku Django
- Šikovné praktiky
Podrobnější informace a přihláška
Přehled názorů
Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.
