Hlavní navigace

Autorizace v internetovém bankovnictví

Petr Krčmář 24. 8. 2006

V souvislosti s kauzou vykradení účtů klientů Komerční banky začínáme s novým seriálkem, který se bude zabývat bezpečností internetového bankovnictví. Dnes se budeme zabývat způsoby autorizace uživatelů a popíšeme si, jaký mají vliv na celkovou bezpečnost internetového bankovnictví.

Důvodem pro přípravu tohoto seriálu byla především aktuální kauza okolo problémů elektronického bankovnictví Komerční banky. Zároveň ale považujeme za užitečné informovat čtenáře a potencionální uživatele elektronického bankovnictví o aktuálních metodách zabezpečení. Máte přece právo vědět, jak jsou na tom vaše peníze.

Další informace o kauze Komerční banky naleznete v dnešním článku Komerční banka: Vykradení účtů potvrzeno! na našem sesterském serveru Měšec.cz.

Autorizace v první linii

Bezpečnost elektronického bankovnictví se skládá z mnoha součástí, jako je šifrování přenosu, potvrzování jednotlivých operací a také autorizace klientů. S poslední jmenovanou se pravděpodobně každý uživatel setká hned na začátku. Proto se jí v našem seriálu budeme věnovat jako první.

Autorizace je klíčovou částí komunikace s bankou, protože se jedná o jedinou překážku mezi uživatelem (ať už oprávněným nebo neoprávněným) a bankovním účtem. Není divu, že proto existuje celá řada postupů, jak autorizaci zvládat.

Všechny běžné metody, které nabízejí české banky, si proto uvedeme i s krátkým popisem a přidáme si informace ohledně výhod a nevýhod každého takového postupu.

Uživatelské jméno a heslo

Obecně nejznámější a nejběžnější způsob autorizace uživatele. K potvrzení identity stačí znát uživatelské jméno a heslo klienta. Výhodou je snadná implementace tohoto autorizačního procesu a jeho nenáročnost na samotného uživatele. Bohužel autorizační údaje se mění jen zřídka a proto je možno je získat velmi jednoduše. Ve chvíli, kdy se nám podaří tyto údaje získat, ať už odposlechem nebo je vyloudíme z uživatele, máme neomezený přístup. Spolehlivost autorizace je navíc velmi závislá na zvoleném hesle.

Certifikát

Další možností je použití certifikátu, který vám vystaví váš bankovní ústav. Certifikát pak používá bankovní aplikace pro ověření totožnosti jeho držitele. Po technické stránce se jedná o běžný soubor, který může být uložen na libovolném médiu. Uživatelé si své certifikáty obvykle ukládají na běžné diskety nebo USB disky. Velmi často se bohužel můžeme setkat s certifikáty uloženými na pevném disku, odkud je možno je pohodlně zkopírovat. Jakmile dojde k odcizení certifikátu a příslušných privátních klíčů, je možno opět získat přístup k bankovnímu účtu původního majitele. Nejbezpečnější je proto umístění certifikátu na čipovou kartu, jejíž čtečku pak musí mít uživatel připojenu ke svému počítači.

Akademie Root.cz

logoV rámci Akademie Root.cz připravujeme odborná školení a semináře určené nejen profesionálům, ale všem, kteří chtějí posílit své teoretické i praktické znalostí v oblasti IT. Školení vedou zkušení lektoři s mnohaletou praxí v oboru. Chcete-li rozšířit své obzory a zlepšit svou kvalifikaci, jsou naše školení tou správnou volbou.

Autorizační kalkulátor

Autorizační kalkulátor je elektronické zařízení, které dokáže generovat jednorázová hesla pro přístup k bankovní aplikaci. Tato zařízení bývají synchronizována se systémy banky tak, aby obě strany generovaly stejné klíče. Ty pak uživatel opisuje do aplikace a ověřuje tak svou totožnost jednoduše tím, že dokáže, že je majitelem příslušného kalkulátoru. Generovaná hesla mívají obvykle návaznost na operace, které jsou pomocí klíče generovány a uživatel je tak nucen do kalkulátoru uvádět informace jako je číslo účtu, částka se kterou je manipulováno a podobně. Z tohoto důvodu je velmi obtížné podvrhnout uživateli falešné formuláře k potvrzení, protože pokud nejsou na obou stranách zadány stejné údaje, klíče jsou neplatné. Jedná se o jednu z nejbezpečnějších metod autorizace uživatele.

Autorizace pomocí SMS

Jiná metoda generování jednorázových hesel. Proti autorizačnímu kalkulátoru je při ní ale uživatel přímo komunikuje s bankovním systémem s pomocí mobilního telefonu. Banka při požadavcích o autorizaci zašle klientovi SMS s potvrzovacím kódem, který je potřeba opsat zpět do aplikace. Jedná se o velmi bezpečnou metodu, která má ovšem také svá omezení. Součástí SMS bývá často také informace o tom, k čemu se konkrétní kód vztahuje. Pokud uživatel tyto informace nekontroluje, je poměrně snadné mu podvrhnout falešnou webovou stránku a provést úplně jiný krok než ten, který uživatel očekává. Některé banky navíc žádné podrobné informace ve zprávách nezasílají, takže je není podle čeho ověřit.

Dvě tváře autorizace

Na samotnou autorizaci musíme pohlížet ze dvou různých úhlů. Každý uživatel se musí autorizovat při samotném vstupu do bankovní aplikace, ale později musí znovu potvrzovat každou prováděnou operaci.

Obvykle se v obou případech jedná o stejnou metodu, ale ne vždy tomu tak je. Některé banky používají pro prvotní autorizaci uživatelské jméno a heslo a následně pro potvrzování transakcí vyžadují certifikáty nebo jiný způsob autorizace.

Většina českých bank nabízí několik možností autorizace uživatele, případně dovoluje tyto metody kombinovat. V následujících tabulkách si shrneme, které způsoby autorizace jsou konkrétními ústavy používány.

Autorizace vstupu na účet
Jméno a heslo Certifikát Čipová karta SMS kódy Kalkulátor
BAWAG Bank ano
Citibank ano
Česká spořitelna ano ano ano
ČSOB ano ano ano ano
eBanka ano ano ano
GE Money Bank ano ano
HVB Bank ano
Komerční banka ano ano
Poštovní spořitelna ano ano ano ano
Raiffeisenbank ano
Volksbank ano
WSPK ano ano
Živnostenská banka ano ano
Autorizace jednotlivých transakcí
Certifikát Čipová karta SMS kódy Kalkulátor
BAWAG Bank ano
Citibank
Česká spořitelna ano ano ano
ČSOB ano ano ano
eBanka ano ano ano
GE Money Bank ano
HVB Bank ano
Komerční banka ano ano ano
Poštovní spořitelna ano ano ano
Raiffeisenbank ano ano
Volksbank ano
WSPK ano ano
Živnostenská banka ano

Závěrem

Z předchozího textu si můžete udělat obrázek ohledně toho, jak je na tom která banka a jaké jsou možnosti zabezpečení jejich účtů. Způsoby autorizace by rozhodně neměly uniknout žádnému klientovi, který se právě rozhoduje, kam uloží své úspory. V příštím článku se podíváme na další bezpečnostní hledisko, kterým je šifrování přenášených dat.

Anketa

Používáte elektronické bankovnictví?

Našli jste v článku chybu?

25. 8. 2006 9:49

lmd (neregistrovaný)
Mam poznamku k autorovi. Vyznam terminu autentizace a autorizace se lidem v cestine casto plete. Voditkem je, ze pochazeji z anglickych terminu authentication resp. authorization, jejichz vyznam neni zamenny. Konkretne (prevzato ze slovniku):

authentication : validating the authenticity of something or someone

authorization : a power delegated from one person to another

Takze ta banka napred provade vasi autentizaci (tj. overi vasi totoznost) a na zaklade toho Vas autorizuje (t.j. opravni …





24. 8. 2006 6:50

hm (neregistrovaný)
Doporucuji autorovi, aby si ujasnil vyznam pojmu autentizace a autorizace.
Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Nenechte se ošidit, když vám staví dům

Nenechte se ošidit, když vám staví dům

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru