Autorizace v internetovém bankovnictví

Petr Krčmář 24. 8. 2006

V souvislosti s kauzou vykradení účtů klientů Komerční banky začínáme s novým seriálkem, který se bude zabývat bezpečností internetového bankovnictví. Dnes se budeme zabývat způsoby autorizace uživatelů a popíšeme si, jaký mají vliv na celkovou bezpečnost internetového bankovnictví.

Důvodem pro přípravu tohoto seriálu byla především aktuální kauza okolo problémů elektronického bankovnictví Komerční banky. Zároveň ale považujeme za užitečné informovat čtenáře a potencionální uživatele elektronického bankovnictví o aktuálních metodách zabezpečení. Máte přece právo vědět, jak jsou na tom vaše peníze.

Další informace o kauze Komerční banky naleznete v dnešním článku Komerční banka: Vykradení účtů potvrzeno! na našem sesterském serveru Měšec.cz.

Autorizace v první linii

Bezpečnost elektronického bankovnictví se skládá z mnoha součástí, jako je šifrování přenosu, potvrzování jednotlivých operací a také autorizace klientů. S poslední jmenovanou se pravděpodobně každý uživatel setká hned na začátku. Proto se jí v našem seriálu budeme věnovat jako první.

Autorizace je klíčovou částí komunikace s bankou, protože se jedná o jedinou překážku mezi uživatelem (ať už oprávněným nebo neoprávněným) a bankovním účtem. Není divu, že proto existuje celá řada postupů, jak autorizaci zvládat.

Všechny běžné metody, které nabízejí české banky, si proto uvedeme i s krátkým popisem a přidáme si informace ohledně výhod a nevýhod každého takového postupu.

Uživatelské jméno a heslo

Obecně nejznámější a nejběžnější způsob autorizace uživatele. K potvrzení identity stačí znát uživatelské jméno a heslo klienta. Výhodou je snadná implementace tohoto autorizačního procesu a jeho nenáročnost na samotného uživatele. Bohužel autorizační údaje se mění jen zřídka a proto je možno je získat velmi jednoduše. Ve chvíli, kdy se nám podaří tyto údaje získat, ať už odposlechem nebo je vyloudíme z uživatele, máme neomezený přístup. Spolehlivost autorizace je navíc velmi závislá na zvoleném hesle.

Certifikát

Další možností je použití certifikátu, který vám vystaví váš bankovní ústav. Certifikát pak používá bankovní aplikace pro ověření totožnosti jeho držitele. Po technické stránce se jedná o běžný soubor, který může být uložen na libovolném médiu. Uživatelé si své certifikáty obvykle ukládají na běžné diskety nebo USB disky. Velmi často se bohužel můžeme setkat s certifikáty uloženými na pevném disku, odkud je možno je pohodlně zkopírovat. Jakmile dojde k odcizení certifikátu a příslušných privátních klíčů, je možno opět získat přístup k bankovnímu účtu původního majitele. Nejbezpečnější je proto umístění certifikátu na čipovou kartu, jejíž čtečku pak musí mít uživatel připojenu ke svému počítači.

Akademie Root.cz

logoV rámci Akademie Root.cz připravujeme odborná školení a semináře určené nejen profesionálům, ale všem, kteří chtějí posílit své teoretické i praktické znalostí v oblasti IT. Školení vedou zkušení lektoři s mnohaletou praxí v oboru. Chcete-li rozšířit své obzory a zlepšit svou kvalifikaci, jsou naše školení tou správnou volbou.

Autorizační kalkulátor

Autorizační kalkulátor je elektronické zařízení, které dokáže generovat jednorázová hesla pro přístup k bankovní aplikaci. Tato zařízení bývají synchronizována se systémy banky tak, aby obě strany generovaly stejné klíče. Ty pak uživatel opisuje do aplikace a ověřuje tak svou totožnost jednoduše tím, že dokáže, že je majitelem příslušného kalkulátoru. Generovaná hesla mívají obvykle návaznost na operace, které jsou pomocí klíče generovány a uživatel je tak nucen do kalkulátoru uvádět informace jako je číslo účtu, částka se kterou je manipulováno a podobně. Z tohoto důvodu je velmi obtížné podvrhnout uživateli falešné formuláře k potvrzení, protože pokud nejsou na obou stranách zadány stejné údaje, klíče jsou neplatné. Jedná se o jednu z nejbezpečnějších metod autorizace uživatele.

Autorizace pomocí SMS

Jiná metoda generování jednorázových hesel. Proti autorizačnímu kalkulátoru je při ní ale uživatel přímo komunikuje s bankovním systémem s pomocí mobilního telefonu. Banka při požadavcích o autorizaci zašle klientovi SMS s potvrzovacím kódem, který je potřeba opsat zpět do aplikace. Jedná se o velmi bezpečnou metodu, která má ovšem také svá omezení. Součástí SMS bývá často také informace o tom, k čemu se konkrétní kód vztahuje. Pokud uživatel tyto informace nekontroluje, je poměrně snadné mu podvrhnout falešnou webovou stránku a provést úplně jiný krok než ten, který uživatel očekává. Některé banky navíc žádné podrobné informace ve zprávách nezasílají, takže je není podle čeho ověřit.

Dvě tváře autorizace

Na samotnou autorizaci musíme pohlížet ze dvou různých úhlů. Každý uživatel se musí autorizovat při samotném vstupu do bankovní aplikace, ale později musí znovu potvrzovat každou prováděnou operaci.

Obvykle se v obou případech jedná o stejnou metodu, ale ne vždy tomu tak je. Některé banky používají pro prvotní autorizaci uživatelské jméno a heslo a následně pro potvrzování transakcí vyžadují certifikáty nebo jiný způsob autorizace.

Většina českých bank nabízí několik možností autorizace uživatele, případně dovoluje tyto metody kombinovat. V následujících tabulkách si shrneme, které způsoby autorizace jsou konkrétními ústavy používány.

Autorizace vstupu na účet
Jméno a heslo Certifikát Čipová karta SMS kódy Kalkulátor
BAWAG Bank ano
Citibank ano
Česká spořitelna ano ano ano
ČSOB ano ano ano ano
eBanka ano ano ano
GE Money Bank ano ano
HVB Bank ano
Komerční banka ano ano
Poštovní spořitelna ano ano ano ano
Raiffeisenbank ano
Volksbank ano
WSPK ano ano
Živnostenská banka ano ano
Autorizace jednotlivých transakcí
Certifikát Čipová karta SMS kódy Kalkulátor
BAWAG Bank ano
Citibank
Česká spořitelna ano ano ano
ČSOB ano ano ano
eBanka ano ano ano
GE Money Bank ano
HVB Bank ano
Komerční banka ano ano ano
Poštovní spořitelna ano ano ano
Raiffeisenbank ano ano
Volksbank ano
WSPK ano ano
Živnostenská banka ano

Závěrem

Z předchozího textu si můžete udělat obrázek ohledně toho, jak je na tom která banka a jaké jsou možnosti zabezpečení jejich účtů. Způsoby autorizace by rozhodně neměly uniknout žádnému klientovi, který se právě rozhoduje, kam uloží své úspory. V příštím článku se podíváme na další bezpečnostní hledisko, kterým je šifrování přenášených dat.

Anketa

Používáte elektronické bankovnictví?

Našli jste v článku chybu?
120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

Podnikatel.cz: Zůstat na Heurece je čiré bláznovství

Zůstat na Heurece je čiré bláznovství

DigiZone.cz: Recenze: TechniSat DigitRadio 2GO

Recenze: TechniSat DigitRadio 2GO

DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně

Vitalia.cz: Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

Margit Slimáková nesnáší rajskou, Petr Fořt pizzu

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

DigiZone.cz: Dabingové ceny znají letošní nominace

Dabingové ceny znají letošní nominace

DigiZone.cz: Kanály Novy na Slovensku oficiálně?

Kanály Novy na Slovensku oficiálně?

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

Vitalia.cz: 7 receptur z pohanky. Svědčí zdraví

7 receptur z pohanky. Svědčí zdraví

DigiZone.cz: HbbTV KinoSvět: už jede na dalších TV

HbbTV KinoSvět: už jede na dalších TV

120na80.cz: Krémy, nebo spreje na opalování?

Krémy, nebo spreje na opalování?

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Chce s trdelníky ovládnout Asii. Poznejte ho

Chce s trdelníky ovládnout Asii. Poznejte ho