Autorizace v internetovém bankovnictví

Petr Krčmář 24. 8. 2006

V souvislosti s kauzou vykradení účtů klientů Komerční banky začínáme s novým seriálkem, který se bude zabývat bezpečností internetového bankovnictví. Dnes se budeme zabývat způsoby autorizace uživatelů a popíšeme si, jaký mají vliv na celkovou bezpečnost internetového bankovnictví.

Důvodem pro přípravu tohoto seriálu byla především aktuální kauza okolo problémů elektronického bankovnictví Komerční banky. Zároveň ale považujeme za užitečné informovat čtenáře a potencionální uživatele elektronického bankovnictví o aktuálních metodách zabezpečení. Máte přece právo vědět, jak jsou na tom vaše peníze.

Další informace o kauze Komerční banky naleznete v dnešním článku Komerční banka: Vykradení účtů potvrzeno! na našem sesterském serveru Měšec.cz.

Autorizace v první linii

Bezpečnost elektronického bankovnictví se skládá z mnoha součástí, jako je šifrování přenosu, potvrzování jednotlivých operací a také autorizace klientů. S poslední jmenovanou se pravděpodobně každý uživatel setká hned na začátku. Proto se jí v našem seriálu budeme věnovat jako první.

Autorizace je klíčovou částí komunikace s bankou, protože se jedná o jedinou překážku mezi uživatelem (ať už oprávněným nebo neoprávněným) a bankovním účtem. Není divu, že proto existuje celá řada postupů, jak autorizaci zvládat.

Všechny běžné metody, které nabízejí české banky, si proto uvedeme i s krátkým popisem a přidáme si informace ohledně výhod a nevýhod každého takového postupu.

Uživatelské jméno a heslo

Obecně nejznámější a nejběžnější způsob autorizace uživatele. K potvrzení identity stačí znát uživatelské jméno a heslo klienta. Výhodou je snadná implementace tohoto autorizačního procesu a jeho nenáročnost na samotného uživatele. Bohužel autorizační údaje se mění jen zřídka a proto je možno je získat velmi jednoduše. Ve chvíli, kdy se nám podaří tyto údaje získat, ať už odposlechem nebo je vyloudíme z uživatele, máme neomezený přístup. Spolehlivost autorizace je navíc velmi závislá na zvoleném hesle.

Certifikát

Další možností je použití certifikátu, který vám vystaví váš bankovní ústav. Certifikát pak používá bankovní aplikace pro ověření totožnosti jeho držitele. Po technické stránce se jedná o běžný soubor, který může být uložen na libovolném médiu. Uživatelé si své certifikáty obvykle ukládají na běžné diskety nebo USB disky. Velmi často se bohužel můžeme setkat s certifikáty uloženými na pevném disku, odkud je možno je pohodlně zkopírovat. Jakmile dojde k odcizení certifikátu a příslušných privátních klíčů, je možno opět získat přístup k bankovnímu účtu původního majitele. Nejbezpečnější je proto umístění certifikátu na čipovou kartu, jejíž čtečku pak musí mít uživatel připojenu ke svému počítači.

Akademie Root.cz

logoV rámci Akademie Root.cz připravujeme odborná školení a semináře určené nejen profesionálům, ale všem, kteří chtějí posílit své teoretické i praktické znalostí v oblasti IT. Školení vedou zkušení lektoři s mnohaletou praxí v oboru. Chcete-li rozšířit své obzory a zlepšit svou kvalifikaci, jsou naše školení tou správnou volbou.

Autorizační kalkulátor

Autorizační kalkulátor je elektronické zařízení, které dokáže generovat jednorázová hesla pro přístup k bankovní aplikaci. Tato zařízení bývají synchronizována se systémy banky tak, aby obě strany generovaly stejné klíče. Ty pak uživatel opisuje do aplikace a ověřuje tak svou totožnost jednoduše tím, že dokáže, že je majitelem příslušného kalkulátoru. Generovaná hesla mívají obvykle návaznost na operace, které jsou pomocí klíče generovány a uživatel je tak nucen do kalkulátoru uvádět informace jako je číslo účtu, částka se kterou je manipulováno a podobně. Z tohoto důvodu je velmi obtížné podvrhnout uživateli falešné formuláře k potvrzení, protože pokud nejsou na obou stranách zadány stejné údaje, klíče jsou neplatné. Jedná se o jednu z nejbezpečnějších metod autorizace uživatele.

Autorizace pomocí SMS

Jiná metoda generování jednorázových hesel. Proti autorizačnímu kalkulátoru je při ní ale uživatel přímo komunikuje s bankovním systémem s pomocí mobilního telefonu. Banka při požadavcích o autorizaci zašle klientovi SMS s potvrzovacím kódem, který je potřeba opsat zpět do aplikace. Jedná se o velmi bezpečnou metodu, která má ovšem také svá omezení. Součástí SMS bývá často také informace o tom, k čemu se konkrétní kód vztahuje. Pokud uživatel tyto informace nekontroluje, je poměrně snadné mu podvrhnout falešnou webovou stránku a provést úplně jiný krok než ten, který uživatel očekává. Některé banky navíc žádné podrobné informace ve zprávách nezasílají, takže je není podle čeho ověřit.

Dvě tváře autorizace

Na samotnou autorizaci musíme pohlížet ze dvou různých úhlů. Každý uživatel se musí autorizovat při samotném vstupu do bankovní aplikace, ale později musí znovu potvrzovat každou prováděnou operaci.

Obvykle se v obou případech jedná o stejnou metodu, ale ne vždy tomu tak je. Některé banky používají pro prvotní autorizaci uživatelské jméno a heslo a následně pro potvrzování transakcí vyžadují certifikáty nebo jiný způsob autorizace.

widgety

Většina českých bank nabízí několik možností autorizace uživatele, případně dovoluje tyto metody kombinovat. V následujících tabulkách si shrneme, které způsoby autorizace jsou konkrétními ústavy používány.

Autorizace vstupu na účet
Jméno a heslo Certifikát Čipová karta SMS kódy Kalkulátor
BAWAG Bank ano
Citibank ano
Česká spořitelna ano ano ano
ČSOB ano ano ano ano
eBanka ano ano ano
GE Money Bank ano ano
HVB Bank ano
Komerční banka ano ano
Poštovní spořitelna ano ano ano ano
Raiffeisenbank ano
Volksbank ano
WSPK ano ano
Živnostenská banka ano ano
Autorizace jednotlivých transakcí
Certifikát Čipová karta SMS kódy Kalkulátor
BAWAG Bank ano
Citibank
Česká spořitelna ano ano ano
ČSOB ano ano ano
eBanka ano ano ano
GE Money Bank ano
HVB Bank ano
Komerční banka ano ano ano
Poštovní spořitelna ano ano ano
Raiffeisenbank ano ano
Volksbank ano
WSPK ano ano
Živnostenská banka ano

Závěrem

Z předchozího textu si můžete udělat obrázek ohledně toho, jak je na tom která banka a jaké jsou možnosti zabezpečení jejich účtů. Způsoby autorizace by rozhodně neměly uniknout žádnému klientovi, který se právě rozhoduje, kam uloží své úspory. V příštím článku se podíváme na další bezpečnostní hledisko, kterým je šifrování přenášených dat.

Anketa

Používáte elektronické bankovnictví?

Našli jste v článku chybu?
DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

DigiZone.cz: DVB-T2 ověřeno: ČRa doplňují seznam

DVB-T2 ověřeno: ČRa doplňují seznam

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel