Autorizace v internetovém bankovnictví

Petr Krčmář 24. 8. 2006

V souvislosti s kauzou vykradení účtů klientů Komerční banky začínáme s novým seriálkem, který se bude zabývat bezpečností internetového bankovnictví. Dnes se budeme zabývat způsoby autorizace uživatelů a popíšeme si, jaký mají vliv na celkovou bezpečnost internetového bankovnictví.

Důvodem pro přípravu tohoto seriálu byla především aktuální kauza okolo problémů elektronického bankovnictví Komerční banky. Zároveň ale považujeme za užitečné informovat čtenáře a potencionální uživatele elektronického bankovnictví o aktuálních metodách zabezpečení. Máte přece právo vědět, jak jsou na tom vaše peníze.

Další informace o kauze Komerční banky naleznete v dnešním článku Komerční banka: Vykradení účtů potvrzeno! na našem sesterském serveru Měšec.cz.

Autorizace v první linii

Bezpečnost elektronického bankovnictví se skládá z mnoha součástí, jako je šifrování přenosu, potvrzování jednotlivých operací a také autorizace klientů. S poslední jmenovanou se pravděpodobně každý uživatel setká hned na začátku. Proto se jí v našem seriálu budeme věnovat jako první.

Autorizace je klíčovou částí komunikace s bankou, protože se jedná o jedinou překážku mezi uživatelem (ať už oprávněným nebo neoprávněným) a bankovním účtem. Není divu, že proto existuje celá řada postupů, jak autorizaci zvládat.

Všechny běžné metody, které nabízejí české banky, si proto uvedeme i s krátkým popisem a přidáme si informace ohledně výhod a nevýhod každého takového postupu.

Uživatelské jméno a heslo

Obecně nejznámější a nejběžnější způsob autorizace uživatele. K potvrzení identity stačí znát uživatelské jméno a heslo klienta. Výhodou je snadná implementace tohoto autorizačního procesu a jeho nenáročnost na samotného uživatele. Bohužel autorizační údaje se mění jen zřídka a proto je možno je získat velmi jednoduše. Ve chvíli, kdy se nám podaří tyto údaje získat, ať už odposlechem nebo je vyloudíme z uživatele, máme neomezený přístup. Spolehlivost autorizace je navíc velmi závislá na zvoleném hesle.

Certifikát

Další možností je použití certifikátu, který vám vystaví váš bankovní ústav. Certifikát pak používá bankovní aplikace pro ověření totožnosti jeho držitele. Po technické stránce se jedná o běžný soubor, který může být uložen na libovolném médiu. Uživatelé si své certifikáty obvykle ukládají na běžné diskety nebo USB disky. Velmi často se bohužel můžeme setkat s certifikáty uloženými na pevném disku, odkud je možno je pohodlně zkopírovat. Jakmile dojde k odcizení certifikátu a příslušných privátních klíčů, je možno opět získat přístup k bankovnímu účtu původního majitele. Nejbezpečnější je proto umístění certifikátu na čipovou kartu, jejíž čtečku pak musí mít uživatel připojenu ke svému počítači.

Akademie Root.cz

logoV rámci Akademie Root.cz připravujeme odborná školení a semináře určené nejen profesionálům, ale všem, kteří chtějí posílit své teoretické i praktické znalostí v oblasti IT. Školení vedou zkušení lektoři s mnohaletou praxí v oboru. Chcete-li rozšířit své obzory a zlepšit svou kvalifikaci, jsou naše školení tou správnou volbou.

Autorizační kalkulátor

Autorizační kalkulátor je elektronické zařízení, které dokáže generovat jednorázová hesla pro přístup k bankovní aplikaci. Tato zařízení bývají synchronizována se systémy banky tak, aby obě strany generovaly stejné klíče. Ty pak uživatel opisuje do aplikace a ověřuje tak svou totožnost jednoduše tím, že dokáže, že je majitelem příslušného kalkulátoru. Generovaná hesla mívají obvykle návaznost na operace, které jsou pomocí klíče generovány a uživatel je tak nucen do kalkulátoru uvádět informace jako je číslo účtu, částka se kterou je manipulováno a podobně. Z tohoto důvodu je velmi obtížné podvrhnout uživateli falešné formuláře k potvrzení, protože pokud nejsou na obou stranách zadány stejné údaje, klíče jsou neplatné. Jedná se o jednu z nejbezpečnějších metod autorizace uživatele.

Autorizace pomocí SMS

Jiná metoda generování jednorázových hesel. Proti autorizačnímu kalkulátoru je při ní ale uživatel přímo komunikuje s bankovním systémem s pomocí mobilního telefonu. Banka při požadavcích o autorizaci zašle klientovi SMS s potvrzovacím kódem, který je potřeba opsat zpět do aplikace. Jedná se o velmi bezpečnou metodu, která má ovšem také svá omezení. Součástí SMS bývá často také informace o tom, k čemu se konkrétní kód vztahuje. Pokud uživatel tyto informace nekontroluje, je poměrně snadné mu podvrhnout falešnou webovou stránku a provést úplně jiný krok než ten, který uživatel očekává. Některé banky navíc žádné podrobné informace ve zprávách nezasílají, takže je není podle čeho ověřit.

Dvě tváře autorizace

Na samotnou autorizaci musíme pohlížet ze dvou různých úhlů. Každý uživatel se musí autorizovat při samotném vstupu do bankovní aplikace, ale později musí znovu potvrzovat každou prováděnou operaci.

Obvykle se v obou případech jedná o stejnou metodu, ale ne vždy tomu tak je. Některé banky používají pro prvotní autorizaci uživatelské jméno a heslo a následně pro potvrzování transakcí vyžadují certifikáty nebo jiný způsob autorizace.

Většina českých bank nabízí několik možností autorizace uživatele, případně dovoluje tyto metody kombinovat. V následujících tabulkách si shrneme, které způsoby autorizace jsou konkrétními ústavy používány.

Autorizace vstupu na účet
Jméno a heslo Certifikát Čipová karta SMS kódy Kalkulátor
BAWAG Bank ano
Citibank ano
Česká spořitelna ano ano ano
ČSOB ano ano ano ano
eBanka ano ano ano
GE Money Bank ano ano
HVB Bank ano
Komerční banka ano ano
Poštovní spořitelna ano ano ano ano
Raiffeisenbank ano
Volksbank ano
WSPK ano ano
Živnostenská banka ano ano
Autorizace jednotlivých transakcí
Certifikát Čipová karta SMS kódy Kalkulátor
BAWAG Bank ano
Citibank
Česká spořitelna ano ano ano
ČSOB ano ano ano
eBanka ano ano ano
GE Money Bank ano
HVB Bank ano
Komerční banka ano ano ano
Poštovní spořitelna ano ano ano
Raiffeisenbank ano ano
Volksbank ano
WSPK ano ano
Živnostenská banka ano

Závěrem

Z předchozího textu si můžete udělat obrázek ohledně toho, jak je na tom která banka a jaké jsou možnosti zabezpečení jejich účtů. Způsoby autorizace by rozhodně neměly uniknout žádnému klientovi, který se právě rozhoduje, kam uloží své úspory. V příštím článku se podíváme na další bezpečnostní hledisko, kterým je šifrování přenášených dat.

Anketa

Používáte elektronické bankovnictví?

Našli jste v článku chybu?
Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

Vitalia.cz: Očkování je nutné, říká homeopatka

Očkování je nutné, říká homeopatka

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Vitalia.cz: Musí moudrák opravdu ven?

Musí moudrák opravdu ven?

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny