Internet Info, s.r.o. Lupa Měšec Podnikatel Root Zdroják DigiZone Slunečnice Vitalia TopDrive KupDnes Navrcholu NovýTarif Dobrý web Weblogy Woko Jagg Computer.cz SK: MojeLinky

Hlavní navigace

Root.cz  »  Bezpečnost  »  Bezpečnost českého internetového bankovnictví

Bezpečnost českého internetového bankovnictví

30. 6. 2005 0:00 Petr Krčmář

Finanční server Měšec vydal ve spolupráci se serverem Root studii, která analyzuje zabezpečení internetového bankovnictví v České republice. Protože se jedná o zajímavé téma i pro čtenáře Roota, řekneme si o studii více a představíme si nejzajímavější informace, které obsahuje.

Tweetni to Twitter Jaggni to! Jagg Del.icio.us Delicious

Nálepky:

Internetové bankovnictví jako takové umožňuje velmi rychle a jednoduše pracovat s financemi, ať jste kdekoliv. Protože běžný čtenář Roota je technicky zaměřený a zajímají jej novinky v oblasti IT, má k podobným nástrojům blízko.

O to zajímavější pro vás může být i internetové bankovnictví z hlediska počítačové bezpečnosti. Jednak je to zajímavé téma přímo pro Roota, jednak jde především o vaše peníze.

Na problematiku bezpečnosti lze obecně nahlížet ze dvou stran. Vedle sebe zde stojí technický aspekt a lidský faktor. Oba jdou ruku v ruce, a pokud klopýtá jeden z nich, objevuje se potenciální riziko. Uživatelský přístup je otázkou konkrétní informovanosti a zodpovědnosti. Naopak zabezpečení jako takové je téměř výhradně v rukou banky.

Kompletní studii si můžete stáhnout ve formátu PDF ze serveru IInfo.cz.

Přenos dat a autentizace banky

To je také tématem výzkumu, který probíhal v rámci přípravy celé rozsáhlé studie u třinácti českých bank. Nejprve byla zkoumána bezpečnost přenosu dat a ověření identity ze strany banky. Uživatel musí mít jistotu, že se data, která odesílá, nedostanou do nepravých rukou během přenosu ani na jeho konci.

Po této stránce je vše v pořádku a všechny banky obstály. Všechny používají dostatečně silné šifrování a certifikát vystavený u oficiální certifikační autority. Drtivá většina ústavů využívá služeb autority VeriSign, která je zárukou spolehlivé a bezpečné komunikace.

Prohlížeče

Na straně uživatele je kritickým prvkem obvykle internetový prohlížeč. Jeho bezpečnost je závislá na jeho aktuálnosti a zároveň na reakci výrobce na nově objevené bezpečnostní chyby a problémy.

Byly hodnoceny čtyři nejpoužívanější prohlížeče a bylo zkoumáno, kolik z objevených chyb ještě nebylo opraveno:

  • Internet Explorer 6.x  – 31 z 82
  • Mozilla Firefox 1.x – 7 z 19
  • Opera 8.x – žádná z 5
  • Konqueror 3.x – 1 z 10

Z tohoto hlediska jsou na tom alternativní prohlížeče jednoznačně mnohem lépe než Internet Explorer, jehož bezpečnost (nebo spíš nebezpečnost) je notoricky známá. Problém alternativních prohlížečů je však v podpoře na straně bankovních aplikací. Mnoho bank odmítá akceptovat jiné prohlížeče než ty od Microsoftu. Jediným řešením je přihlédnout k tomu už během výběru banky. Není nic horšího než pak udržovat v počítači druhý systém jen kvůli přístupu k účtu.

Autorizace uživatele

My uživatelé tedy máme bezpečnost dobře zajištěnou a jednotlivé aplikace jsou na tom velmi podobně. Dalším aspektem je autorizace v opačném směru – od zákazníka. Tady se už objevují podstatné rozdíly, kterým je potřeba věnovat náležitou pozornost. V České republice existuje několik možností autorizace bankovního klienta:

Pomocí uživatelského jména a hesla, certifikátu na čipové kartě nebo tokenu, autentizačním kódem zasílaným na mobilní telefon nebo kódem generovaným autentizačním kalkulátorem. Polovina bank pak nabízí výběr z více možností.

V tomto směru není situace tak růžová, jak by měla být. Polovina bank používá jako jedinou možnost ověření totožnosti uživatele prosté přihlášení pomocí jména a hesla. Hrozí tedy velké nebezpečí kompromitace hesla, ať už pouhým „nahlédnutím přes rameno”, nebo napadením systému klientského počítače.

Z tohoto důvodu jsou mnohem vhodnější jednorázová hesla zasílaná pomocí SMS nebo generovaná přímo v autorizačním kalkulátoru, který dostane uživatel od své banky. Jedná se v obou případech o nezávislá zařízení, která nejsou s počítačem nijak propojena, takže nemohou být dálkově zneužita útočníkem. Odposlechnutí přihlášení je v tomto případě k ničemu, protože hesla jsou jednorázová a po prvním použití přestanou platit. Navíc jsou často vázána na konkrétní operaci.

Automatické odhlášení

Dalším tématem, kterým se studie zabývá, je automatické odhlášení uživatele po určité době nečinnosti. Zde je ovšem na místě otázka, kolik škody může napáchat cizí uživatel v cizí bankovní aplikaci. Většina dalších transakcí je totiž obvykle podmíněna novou autorizací klienta.

Rozumný uživatel také nepoužívá internetové bankovnictví na místech, kde by počítač mohlo využívat více lidí. Na domácím a dostatečně chráněném počítači podobné riziko nehrozí. Můžeme parafrázovat známou větu:

Kdo volí pohodlí před bezpečností, nezaslouží si ani jedno.

Závěr

Bezpečnost by měla mít u bank maximální prioritu a měla by být naprostou samozřejmostí. Nejde přeci o nic menšího než o reálné peníze. Bohužel i banky mají jistý podíl na tom, že uživatelé jejich služeb volí méně bezpečné metody ochrany. Ty lepší a účinnější jsou mnohdy zpoplatněny zvláštními poplatky, které mnoho zákazníků odradí.

Závěr zprávy hodnotí jako nejbezpečnější internetové bankovnictví aplikace eBanky a HVB Bank. Obě nabízejí dostatečně silnou autorizaci a další služby, které napomáhají celkové bezpečnosti.

Petr Krčmář

Petr Krčmář

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Vystudoval elektroniku se zaměřením na počítačové systémy, nyní se zabývá médii, především těmi elektronickými.

Školení: GIT správce zdrojových kódů

 

Seznamte se s možnosti systému správy verzí zdrojových kódů GIT, který používají i vývojáři linuxového jádra.

  • Proč správa verzí
  • Architektura GITu
  • GIT v praxi
  • a další

Podrobnější informace o školení a přihláška

Ohodnoťte jako ve škole:
Průměrná známka 3,58
Tweetni to Twitter Jaggni to! Jagg Del.icio.us Delicious

Přehled názorů

bezpecne?
MD 30. 6. 2005 08:33
Nový
IP bezpečnost
manes 30. 6. 2005 09:40
Nový
├ 
 Re: IP bezpečnost
Ondřej Čečák 1. 7. 2005 11:15
Nový
└ 
 Re: IP bezpečnost
SEDA 20. 7. 2005 12:54
Nový
Raifajzna a certifikát
Tomáš Šimek 30. 6. 2005 11:59
Nový
├ 
 Re: Raifajzna a certifikát
Tomáš Šimek 30. 6. 2005 12:02
Nový
│
└ 
 Re: Raifajzna a certifikát
Ondřej Surý 30. 6. 2005 12:46
Nový
│
 
└ 
 Re: Raifajzna a certifikát
Petr Zámečník 30. 6. 2005 17:58
Nový
│
 
 
└ 
 Re: Raifajzna a certifikát
Ondřej Surý 30. 6. 2005 22:46
Nový
├ 
 Re: Raifajzna a certifikát
Petr Zámečník 30. 6. 2005 18:02
Nový
├ 
 Re: Raifajzna a certifikát
MR 1. 7. 2005 14:20
Nový
└ 
 Re: Raifajzna a certifikát
hisaak 2. 7. 2005 15:40
Nový
doporucuju
ivin 30. 6. 2005 12:10
Nový
Čipová karta
anonymní uživatel 30. 6. 2005 12:18
Nový
└ 
 CS & Linux
anonymní uživatel 30. 6. 2005 13:30
Nový
duhy OS
mike 30. 6. 2005 17:11
Nový
├ 
 Re: duhy OS
ATom 30. 6. 2005 22:53
Nový
│
└ 
 Re: duhy OS
Ondřej Čečák 1. 7. 2005 11:21
Nový
└ 
 Re: duhy OS
Ondřej Čečák 1. 7. 2005 11:19
Nový
IE
Trained.Monkey 30. 6. 2005 17:59
Nový
└ 
 Re: IE
Ondřej Čečák 1. 7. 2005 11:23
Nový
čsob
kiwi 1. 7. 2005 08:23
Nový
└ 
 Re: čsob
Ondřej Čečák 1. 7. 2005 11:24
Nový
 
├ 
 Re: čsob
abyssal 1. 7. 2005 15:23
Nový
 
└ 
 Re: čsob
nazir 2. 7. 2005 19:13
Nový
Kolko obycajnych userov klikne OK na neovereny certifikat?
abyssal 1. 7. 2005 21:49
Nový
Přidat názor Zobrazit vše
       

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.

Zasílat nově přidané příspěvky e-mailem