Názory k článku Autorizace v internetovém bankovnictví

Raiffeisenbank má také SMS kódy.

ŽB kromě digitálních certifikátů používá také jednorázové TAN kódy.

Proc furt vsichni tak suverene tvrdi ze za to muzou uzivatele ? Nejaky ten spyware a keylogery... se jim tam mohl prece dostat bez jejich vedomi diky bugum treba v IE nebo necem takovem na ktery ani nemusi existovat zaplaty. Nasledne zneuziti certifikatu lokalne ulozeneho nekde na disku je snadne.

No a za nezabezpeceny pocitac, nebo pouzivani blbeho softu muze kdo?

Kdo ? Kdo rozhoduje o tom který soft je "blbý" a který "dobrý" ? Používám Windows mám aplikovány všechny záplaty přesto jsou bugy na které nikdo ještě nestihl vydat záplaty... Za to můžu já jako uživatel ? Navíc banka s takovou situací musí počítat. Bezpečnost Autentizace/autorizace certifikátem je v tom případě na úrovni zabezpečení PC a to je velmi málo. Skriptkidies mě roznesou na kopytech i s internetbankingem. Při použití kalkulačky nebo autorizace mobilem už tak snadno zavšivené PC celkovou bezpečnost neovlivní. Zkrátka vina je IMHO jednoznačně na straně bank v tom že vůbec zavedly certifikáty. Myslím si že samy banky jsou si toho vědomy a proto tak ochotně okamžitě nahradí takto vznklé škody zákazníkům a brzo už certifikáty používat nebudou.

A nejlepší je když tě banka ještě nutí používat tyto děravé systémy a app (třeba právě KB jede jedine na IE a Win)

"Používám Windows mám aplikovány všechny záplaty přesto jsou bugy na které nikdo ještě nestihl vydat záplaty... Za to můžu já jako uživatel ?"

Za to muzete, resp. odpovidate spis vy jako spravce.

Typická reakce uživatele Windows. Nechce se mi věřit, že by tenhle systém byl tak špatný, když jej používá (nevím - snad) 90 % uživatelů a už vůbec netvrdím, že by ti uživatelé byli hloupí nebo nešikovní. Ale čím to je, že drtivá většina těhle problémů se zabezpečení vyvstává ze samé podstaty tohoto operačního systému?

"Kdo rozhoduje o tom který soft je "blbý" a který "dobrý" ?"

A proto 99% lidi co tu jsou maji radi free sw/ open source. Prezije jen dobry sw s otevrenymi zdrojovymi kody, ktere mohou byt podrobeny kontrole kymkoliv a kdykoliv.

Kazdopadne ochrana pomoci certifikatu neni spatna, ale nemela by byt jedina a prinasi spise vice nevyhod nez vyhod (ja si treba muzu poslat prikaz z kterehokoliv pocitace pripojeneho k internetu a nemusim si tahat certifikat nekde na flashce). Jsem klientem eBanky, ale myslim, ze KB tam musela mit jeste i bezpecnostni kod (snad ne jen ten certifikat). Pak je to problem uzivatele, ze si heslo ulozi do pameti prohlizece.

Precti si vlakno nize. Protoze jsou to trubci, kteri ani pres upozorneni nedbaji rad, a reknou "banka mi slibila, ze je to bezpecne". I dnesni vraceni penez okradenym svedci o opaku. Proste KB nechce, aby se to rozpitvavalo, ze prisli pozde, s nefunkcnim (nezabezpecenym) systemem bezicim jen na jedne softwarove kombinaci. Takze proto za to muzou uzivatele. Protoze ani v pripade penez nedaji na dobre rady at tahnou o dum dal. Banka se snazit nebude. Minimalne do doby, nez se neco stane. A ze by se to melo stat zrovna na mych penezich, na to si tech penez vazim vice, nez casu straveneho prepisovanim trvalych prikazu. A lharum u kterych to poznam poplatky za vedeni uctu cpat nebudu.

je to skoda, ze nase slova musela byt potvrzena osobni zkusenosti lidi, ktere okradli. Bohuzel ale v pripade mych znamych mohu s cistym svedomim prohlasit "muzete si za to sami" proste jsem vsechny, ktere znam upozornoval na rizika certifikatu v pocitaci. Chcete statistiku? Z minimalne 30 lidi pouze jeden sel hned do te nasi nejmensi (poctem zamestnancu) a druhy po krachu sve stavajici(stejne musel znovu davat trvale prikazy). Ostatni jakoby hrach na stenu hazel. Neco o perlach a svinich. Vim ze nic neni zcela bezpecne, ale pokud uz i ja laik vidim bezpecnostni slabinu, tak utikam co nejdal. Ovsem stado jde za svym prvnim volem.

Ale v pripade KB, nebyl to nahodou phishing?

ja som na pobočke Spořitelny zakázal použitie sběrného boxu

sorry, patrilo do iného vlákna

i kdyby byl, tak při použití jiného systému autorizace - kalkulátor, sms kód, by byl phishing k ničemu, protože zachycený kód je v okamžiku zachycení už neplatný. Podruhé se nedá použít. Takže byste sice věděl všechny kódy, ale všechny by vám byly k ničemu.

a som na pobočke Spořitelny zakázal použitie sběrného boxu

Já taky. Hned co to zavedli.

Jde to zakazat i u CSOB?

Tam ale musi byt podpis dle vzoru a pokud nebude pravy, $$$ bude vracet banka. Napodobit podpis, aby to neslo poznat, neni ulpne trivialni vec. Kdezto napsat progrma na kradeni hesel/certifikatu zvladne cvicena opice se znalosti zakladu systemoveho programovani, pripadne sckript-kiddie, co si spoji par 'ukazek' v jeden programek. Pak uz jen staci rozdistribuovat po netu svuj program a cekat... Tohle se stalo znamemu, shodou okiolnosti pred tydnem u CSOB. Najednou mu prisla na mobil autorizacni SMS pro 60 koliku... Spyware mu pekne ukradl certifikat, pockal si na zadavani hesel, ... A jak to vyresila CSOB ? "Upgradli" mu zdarma zabezpeceni uctu na kartu. Asi hodinu jsem mu pak musel vysvetlovat, ze ve skutenosti je to downgrade - ta karta nevi, kdo ji co posila. Jesli heslo zadava on, ... Napric tomu mu ani nerekli co ma za kartu - jesli z ni certifikat putuje do pameti pocitace nebo podepisuje ta karta na zaklade vstupu. Tak ci tak, podalo se trestni oznameni, on je "upgraded" - a to mu jeste rekli, ze tukartu muze nechat ve ctecce zastrcenou porad... Je to pry safe.

Nevedomost je sladka :)

R.

predpokladam, ze karta ma vlastni klabosnici nespojenou s pocitavem, na ktere se vytukava PIN :-). Jsou smesni. Nejvetsi hruza je ale, ze vysvetlite obchodnici na informacich rizika a zpusob, ta se usmeje, rekne, ze je to vsechno pekne a hezke, ze tomu nerozumi, a ze stejne je to nejvice zabezpecena vec na planete zemi. To je na anesteziologicko resuscitacni oddeleni nejblizsiho zdravotnickeho zarizeni. Proste jak rikal Klaus, prachy nesmrdi(plat). Ani kdyz jsou v pripade te obsluhy informaci podavane lzive informace.

No legrace je v tom, že ten podpis musí být podle podpisového vzoru, aby platbu provedli, ale v zásadě to nic neznamená. Můžete jakoukoliv platbu napadnout a tvrdit, že jste ji nepřikázal. Že je na ní váš podpis je v tu chvíli irrelevantní a případný soud by měl dát za pravdu vám. Tedy pokud nějaký grafolog nepotvrdí na 100%, že to je váš podpis. A to se kupříkladu u mně (lehká forma disgrafie - nikdy se nepodepíšu dvakrát stejně ať chci sebevíc) stát nemůže. A co na to CS? No, ony ty úspory co sběrné boxy přináší hravě pokryjí výdaje za neoprávněné platby. Stejně tak jako investice do lepšího zabezpečení online bankingu přesahuje náklady na náhrady škod. Je to business a banky to mají dobře spočítané. Tenhle falešný pocit bezpečí co šíří jim šetří peníze.

Napriklad na platobnej karte BY MAL BYT iny podpis nez na podpisovom vzore, aby pripadny zlodej karty sa nemohol naucit podpis. Z mojej skusenosti vam to ale vzdy nepovedia, aj ked najdu sa aj taki zamestnanci bank, co na to upozornia.

Raz na mna strasne cumeli, ked som im povedal, ze tie PINy v "strakatej" obalke je mozne precitat urcitym druhom elektromagnetickeho vlnenia bez nechania stopy na obalke (nie ze by to bolo jednoduche, ale ide to, link si uz nespominam).

Koukám, že mít to v Citibank je velmi bezpečný :) To je snad i trestný si tam dát prachy a používat EB...

Doporucuji autorovi, aby si ujasnil vyznam pojmu autentizace a autorizace.

presne tak, v textu se to micha jedna radost...

to bude tim, ze autor zrejme tematu az tak nerozumi.
prijde mi, ze je pouceny laik.

pred plozenim textu by to chtelo neco sestudovat, kdyz uz nemam znalost.
ach jo, jak nam ta uroven stale klesa...

Ano, má v tom zmatek. Ale v tomhle případě tak trochu platí, že důležitý je cíl - upozornit uživatele, že tohle není nejlépe zabezpečená věc na světě, než forma. Na druhou stranu takováhle informace asi nikoho na tomto serveru nepřekvapí.

Je to moc vseobecne, nepresne, povrchne.
Doporucujem nastudovat odbornu literaturu.

V seznamu autorizacnich moznosti chybi v diskusi zmineny system TAN kodu. Jednoduchy, spolehlivy, na technologii nezavisly a odolny vuci nabourani pocitace.

A neodolný proti změně posílaného příkazu

Neni uplne pravda, ze klientsky certifikat staci zkopirovat a ziskate pristup. Standardni klientsky certifikat je chraneny delsim heslem (passphrase) a bez jeho znalosti je na nic. Pokud nekdo toto heslo nepouziva, tak se jedna o spatnou implementaci certifikatu. Mimo to prohlizec muze chranit certifikat dalsim heslem, napr. Mozilla ma k tomu Software Security Device.

jak už se někdo zmínil výše - phishing. Heslo máte pořád stejné, takže ho stačí zachytit a získat certifikát uložený na disku a můžete si na účtu dělat co chcete. Ale už jen dva dny, protože KB mění způsob autorizace.

Pokud někdo dokáže ukrást samotný certifikát chráněný nějakým dalším heslem, nebude pro něj problém si počkat a ochytit keylogerem i to další heslo/pin ... Požívat certifikáty je hazard.

"Myslím si, že splnit oba předpoklady naráz není tak úplně snadné."

Na tohle jsem kdysi slyšel krásnou otázku: kolik komor musí mít revolver, aby hraní ruské rulety s ním bylo dostatečně bezpečné?

a to je prave ten omyl.
certifikat je naprosto verejna vec. ten si muzete stahnout dle libosti.
oc tu bezi je PRIVATNI - tedy soukromy klic.
ten je chranen heslem nebo generovan na cipove karte.
Autor clanku se bude asi divit, ale programy jako Mozilla Suite, Firefox, MISE ukladaji privatni klice a certifikaty v kryptografickem ulozisti prave na pevnem disku (napr v nazoru uvedeny Software Security Device).
(pokud pro pristup k bankovni aplikaci neni pouzivan specialni klient, ktery by pracoval s klici ulozenymi jinak.

Pokud nepouzivate heslo pro ochranu privatniho klice, NEJDE o spatnou implementaci.
asymetricka kryptografie (privatni/verejny klic) NENI zavisla na vasem hesle.
Je to pouze vase vec a mala mira paranoi ;-)

(To ze jsem paranoik jeste neznamena, ze me nesledujou ...)

Bohuzial toto je jedna vec ktoru ludom asi v zivote nevysvetlite. Uz sa to tak raz zauzivalo, bohuzial. To je ako vysvtelit niekomu ze sa nekryptuje ale sifruje :-(.

Nooo.. kdyby ukladani certifikatu takhle skutečně fungovalo, bylo by to o dost bezpečnější. Bohužel co znám lidi s certifikátem, tak ho buď dostanou emailem na svůj freemail (a tam si ho kolikrát i nechají) nebo ho dostanou na disketě, ze které to zkopírují na disk C a tam odtud nainstalují do prohlížeče. Ostatně svého času to takhle bylo napsané i v návodu na instalaci certifikátu pro KB. Takže máte pravdu, certifikát leží v bezpečném úložišti, ale jeho kopie se volně poflakují po disku nebo dokonce po internetu - znám člověka, co se připojí v internetové kavárně, z internetu si stáhne svůj certifikát, udělá si v bance co potřebuje a jde pryč. Bezpečnost sama, ale dosud se mu nic nestalo.

1. ČSOB i Poštovní spořitelna mají úplně stejné možnosti autentizace/autorizace - pro vsup uživatel/heslo a pro operace čipovku s certifikatem pro (nebezpečné) Windows nebo jednorázové SMS kódy pro všechny platformy.

2. Každé řešení je pouze tak bezpečné, jako jeho nejslabší článek. Potenciální nejslabší články jsou:
a) klient blb
b) napadené Windows
c) špatně implementované bankovnictví
d) špatně navržené bankovnictví
A v praxi většinou d) společně s c) implikuje b) (prostě "jiný OS nepodporujeme") a při případných problémech se pak snaží vše svalit na a).

To mi připomnělo svého času "zabezpečení" ČS, kdy byly na mobil zasílány autorizační SMS. Bohužel to pak ale fungovalo tak, že útočník odposlechl uživatelské jméno a heslo, přilogoval se do aplikace, změnil kontaktní telefonní číslo na nějakou svou předplacenou kartu, provedl převod, sám dostal autorizační SMS a bylo vymalováno.

Jinak další perla byla, že svého času bylo v adresovém řádku prohlížeče vidět číslo smlouvy Servis24 (ať žijí cgi scripty). Takže jste se v kavárně někomu nenápadně koukli přes rameno, strčili do mobilu svou předplacenou kartu, zavolali na Servis24 a mohli jste převádět...

Zírám... V Čechách žiadna banka nepoužíva takzvané GRID karty? To je kartička, na ktorej je mriežka napr. so 6x6 políčkami, v každom políčku nejaký krátky kód (napr. 4 číslice). Pri každej operácii potom banka vyžaduje prepísať niektoré konkrétne políčko, čo potenciálny záškodník má šancu zistiť len dlhodobým odposluchom, alebo podvrhnutím stránky. Z hľadiska bezpečnosti by som to zaradil niekde vyššie než certifikát, ale nižšie než SMS-kód.
Na Slovensku tento spôsob používajú minimálne 2 banky.

dik, prave som chcel o tom aj ja pisat :)

Takže je tam 36 možností? A je to vytištěné na papíře? Takže to není problém vyfotit mobilem?

Přijde mi to jako "kalkulačka" chudého muže. O dva/tři řády levnější, o pět řádu méně bezpečné.

Vytlačené je to na plastovej kartičke, aj keď istá nemenovaná banka to už začala tlačiť na obyčajný papier a laminovať, asi pre ušetrenie nákladov. Tak či tak je to ofotiteľné, či už lepším digitálom v mobile, alebo obyčajnou kopírkou.
Je to podľa môjho názoru lepšie než len samotné login/heslo, alebo ešte iný spôsob, ktorý tiež používa jedna Slovenská banka. Ten je obzvlášť debilný - spočíva v tom, že na začiatku človek nadefinuje odpovede na otázky typu "Meno matky za slobodna", "Obľúbený film", a pod., a pri zadávaní príkazu sa ho to potom pýta na niektorý z týchto "diskrétnych" údajov. Na prekonanie takejto ochrany stačí trocha sociálneho inžinierstva, a ten kto ju vymyslel by mal vrátiť výplatu.

Našťastie nie som klientom spomínanej banky. Tamto som videl len cez rameno kolegovi a neveril som vlastným očiam. Občas je takýto spôsob ochrany použitý aj v iných systémoch (napr. atlas.cz - prihlásenie pri zabudnutí hesla), a keď odomňa taký systém vyžaduje jej vyplnenie, tak to vypĺňam štýlom "asgfdahsgdf", keďže nepredpokladám, že to budem chcieť niekedy použiť a vnímam to skôr ako zníženie bezpečnosti než zvýšenie.

Problem je ten dlouhodoby odposlech. Zase na nic. Banka NESMI takto snizovat bezpecnost. Jako ze banka neco posle, a ono se neco jineho vrati. Proste musite mit zarizeni, do ktereho nacpete, sva nahodna data (prikaz) a soucastne je poslete bance, to zarizeni je po sve vlastni autorizaci uzivatele prezvyka, a vrati jinou zmet dat, ktere zkontroluje banka a pokud obe cesty vedly ke stejnemu vysledku je jakastakas nadeje, ze vy jste opravdu vy.

Je to velice levné a tomu odpovídá i efektivita. Je to jistě lepší než jen uživatelské jméno a heslo, ale... ale ne o moc.

1. Jedná se defakto o 36 hesel, z nichž se náhodně požaduje jen jedno. Odposlechnout větší počet hesel tedy chvíli trvá.
2. Je tu možnost zkoušet útok tak dlouho, dokud se mně nezeptá právě na to heslo, které vím.

Z hlediska teorie bezpečnosti tedy o lepší řešení jít nemůže. Pokud vezmeme v úvahu periodu vystavování této kartičky konkrétnímu uživateli, pak je to ještě slabší než heslo a proto, ačkoliv to nepíšete, předpokládám, že se tedy kartička s klasickým heslem kombinují.

Narodeninovy paradox: pri grid karte s 36 polickami a 6 odpocutych "polickach mriezky" je 50% pravdepodobnost, ze na 6 pokusov prihlasenia sa to spyta na jedno z odpocutych policok. Utocnik moze trebars pouzit proxy, zakazdym inu. Aby som nemlzil: pri 6 nahodnych vyberoch z mriezky 36 policok v 50% pripadoch budu dve otazky rovnake.

Ono by bola sranda, keby sa to niekomu stalo zrovna na jeho narodeniny ;-)

Stačí, pokud existuje nenulová pravděpodobnost. Většina systémů totiž funguje tak, že máte možnost několika chybných odpovědí - například tří. Je tam ale obvykle ta designová chyba, že "žádná odpověď" není špatná odpověď. Ozkoušeno svého času na internet bankingu ČS a ze zkušeností s webem obecně předpokládám, že to bude všude obdobné. Prostě se to zeptá na heslo, které neznám, tak zavřu prohlížeč aniž bych odpovídal, pustím ho znovu a jdu zkoušet, jaké to po mně bude chtít tentokrát.

BTW: Na narozeninovém paradoxu se mi nejvíc líbí, že byl již před lety defakto vyvrácen ve svém původním znění. On sice ten princip a efekt v oboru statistiky platí a je snad i dokázaný, ale aplikovat ho právě na narozeniny geograficky, sociograficky a věkově omezené množiny lidí je už obecně přijímáno jako chybná aplikace narozeninového paradoxu :-)

:-)

> Jakmile dojde k odcizení certifikátu, je možno opět získat přístup k bankovnímu účtu původního majitele.

Nikoliv. Je třeba odcizit především soukromý klíč od tohoto certifikátu. Autor článku o el. bankovnictví by si tyto pojmy neměl plést.

Řečeno na ověřeném příkladě mého kolegy - musím si zkopírovat z jeho počítače jeden soubor a zapsat si co píše na výzvu prohlížeče (heslo). K tomu stačí získat na jeho počítači administrátorská práva - obvykle je certifikát někde na disku nebo čipu nechráněný (chyba uživatele, před kterou ho nikdo nevaruje) a keyloger, který čas od času pošle data na nějakou adresu, dnes zmákne každý kdo umí používat google a má alespoň základy nějakého programovacího jazyka.

Jak se které té části správně říká (soubor a zadávaný text) nemá na reálný stav věci žádný vliv.

> Jak se které té části správně říká (soubor a zadávaný text) nemá na reálný stav věci žádný vliv.

Jasně, nemá. Ale má to vliv na to, jestli se domluvíme nebo ne. Když autor článku o bankovnictví říká soukromému klíči certifikát a certifikátu taky certifikát, je to jako kdyby politický komentátor říkal Topolánkovi Paroubek a Paroubkovi taky Paroubek. (Na reálnou politickou situaci by to taky vliv nemělo.)

> obvykle je certifikát někde na disku nebo čipu nechráněný

Certifikát: na disku nechráněný (před někým, kdo má práva uživatele a odchytil všechna jeho hesla), na čipu taky nechráněný nebo jen PINem.

Soukromý klíč: na disku nechráněný (před někým, kdo má práva uživatele a odchytil všechna jeho hesla), na čipu softwarovými prostředky NEEXPORTOVATELNÝ.

Nebylo by možné tam dodat například ještě ING???

Koncem loňského roku jsem potřebovala v KB zprovoznit internetové bankovnictví. Zašla jsem tedy na pobočku ve Sparu v Praze - Štěrboholech a chtěla jsem certifikát s tím, že ho chci uložit na čipovou kartu, kterou používám v práci pro připojení do systému. Je to kvalitní krytografická karta SafeNet, má kapacitu asi 20 certifikátů (mám na ní zatím jen dva), takže jsem neviděla žádný problém. Na pobočce ovšem zavládlo zděšení, protože jsem byla první, kdo tam chtěl certifikát na kartu. Chvíli mě přemlouvali, že každému stačí certifikát na disk a že je to bezpečné. Když jsem se nedala zviklat, vzali si tedy mou kartu (mám ještě jednu záložní) s tím, že to tedy zkusí. Pak se měsíc nic nedělo, po urgenci se ozvali, že to na mou kartu nejde a že mi vystaví jinou. Vzala jsem si tedy zpátky svou kartu a čekala přibližně další měsíc, než mi vystavili kartu s certifikátem. Ach jo. Jednak by mohli podporovat víc karetních systémů, jednak vystavit a nahrát certifikát na kartu mi nepřipadá nic tak světoborného, aby to muselo trvat věky.

A ještě k těm krádežím v KB. Vzhledem k tomu, že zřejmě většina lidí si bere certifikát bez karty, není tak obtížné se ho zmocnit a bankovnictví zneužít. Ale k tomu nepotřebujete žádné bílé koně, prostě účet vybrabčíte a peníze pošlete někam do horoucích pekel. To můžete dělat na dálku - sedět na jachtě v Karibiku a vybírat konta, když jste dostatečně schopní. Podle mě měla ta skupinka svého člověka v KB, který měl nějaké oprávnění k přesunům peněz v rámci banky. Takže potřebovali nějaké hejly, kteří mají v KB účet, aby ty peníze posunuli dál.

jenomze se obavam, ze i ta vase pracovni karta se chova pouze jako disk. Nebo ma vlastni klavesnici na overeni, ze jste u karty vy? Nebo podepise cokoli se ji z PC posle i s pinem, ktery keylogger zachyti?

Jo, to máte pravdu, i dvoufaktorová autentizace lze obejít, ale není to zas až tak jednoduché. Karta má kryptografický čip, takže certifikát si ten útočník nemůže z karty stáhnout pro použití kdykoliv, na rozdíl od disku. Může ho použít jen v okamžiku (v případě, že by pomocí keyloggeru stáhl PIN), kdy je karta připojena, což je vždy jen několik vteřin, než se zautentizuji nebo podepíši příkaz.
Ale jasně, že nic není stoprocentní. Proto používám účet v KB jen na drobné platby - telefon apod. a nemám tam žádné velké peníze. Založila jsem ho jen proto, že kartou KB lze platit v Makru.

No promyslene to mate.
Omlouvam se, ale prave to co pisete odsuzuji, protoze KB ma prachy i z vas, a proto muze prezivat a nezkrachuje. Ja si radeji v tom Makru ty prachy vyberu uvnitr z bankomatu pred tim, nez jdu k pokladne, nez abych podporoval banku, ktera na lidi a jejich penize poklada kabel(receno slusne). Ale ja byl vzdy exot, takze zadna zmena.
No a pokud v PC mate keylogger, tak je problem tam administratorem (nejaky filuta) nainstalovat aplikaci, ktera si pocka nez kartu zasunete, behem zlomku sekundy udela to co se zada (prevod) a program se sam smaze?

Já tedy doufám, že tam keylogger nemám, protože si počítač dost chráním a používám různé nástroje pro prevenci a kontrolu, ale jasně, že stoprocentní to není, proto tak spravuji jen drobné platby z účtu, na kterém nejsou žádné velké peníze.

Jenom poznamka k tomu certifikatu. Cerifikat je vzdy chranen jeste heslem....i kdyz muzete sebrat nekomu certifikat, tak nebude asi problem si odchytit jeho heslo. Ale lame je certifikat k nicemu :-)

jenom poznamka k poznamce.

receno vyse: certifikat neni chranen heslem. certifikat je verejny.certifikat si muze kdokoli stahnout treba z adresarove sluzby, pokud ji instituce poskytuje ven.
heslem je chranen soukromy klic.

Je mi celkem uplne jedno, jestli mi prachy ukradne male dite, nebo rusky matematik, ktery nema co do huby, protoze ho vyhodili z nejake jaderne zakladny (treba tam pocital drahu strely kvuli jejimu naprogramovani).
A divil byste se, jak snadno se pomoci kusu dreva a kridy matematika uci. Na to nepotrebujete zadne laboratore. Cili takovych lidi i v chudych castech sveta (cina, indie,) je celkem hafo. A ke kryptologum je jen kousek.

Finska (nebo spise severska) Nordea (drive Merita) pouziva pro vstup do webove aplikace pres SSL asi 8 cislicove neverejne nemenici se ID zakaznika a ctyrcislicovy kod, ktery je pokazde jiny. Kazda transakce (nebo balik transakci) se potvrzuje jednim kodem nahodne vybranym z dvaceti kodu, taktez ctyrcislicovych. Seznam jednorazovych kodu prijde normalni postou bud, kdyz se zakaznik blizi ke konci, nebo nejpozdeji za dva roky. Spolu s nim prijde i seznam dvaceti potvrzovacich kodu.

Pocitam s tim, ze kdyby nekdo zacal zkouset hesla, tak ho to asi brzo odstrihne. Ale to nemam vyzkouseno. Kdyz se zada spatne vstupni jednorazove heslo, nez ktere system ocekava, napise to, ktere heslo system chce (treba 43. v poradi).

Kdyz jsem to videl poprve, povazoval jsem to za hodne slabe zabezpeceni. Ale ma to nesporne vyhody. Je to tak jednoduche, ze inetove bankovnictvi zvladne i technicky antitalent.

Prijde mi, ze ty systemy, co pouzivaji ceske banky (certifikaty, ctecky chipu, kalkulacky atd...), jsou trochu prekombinovane. Mozna kdyby se ty banky snazily o zisk z investic misto vymysleni ptakovin, prospelo by to jak jim, tak zakaznikum.

Jo a dalsi vyhoda je, ze staci pouzivat jakykoli prohlizec, co umi SSL.

ale ta kalkulacka je principialne jen trochu vylepseny papir o kterem pisete. Jen je navic chranena pinem, takze kdyz ji nekdo ukradne, tak je mu k nicemu, kdezto pokud vam nekdo ukradne papir, jste v loji, nez to zjistite.

Ne tak uplne. Jeste je tam to ID zakaznika, ktere take slouzi jako heslo. Banka primo doporucuje uchovavat toto cislo zcela oddelene od hesel, pokud mozno v hlave.

Takhle fungovalo online bankovnictví na západě již před několika desetiletími (bankéř po telefonu). Je to nejbezpečnější přístup, jaký se dá s přímým kanálem realizovat. Kdokoliv může odposlouchávat komunikaci a není mu to nic platné, protože pokud operátor neudělá chybu, nebude se žádný kód opakovat. A k metodě "brute force" - co jsem četl, tak operátor si o každý kód řekne jen jednou. Když řeknu špatný kód, tak tím tento přestává platit. Stejně tak by si uživatel měl každý dotázaný kód škrtnout - pokud se operátor zeptá podruhé na stejný kód, pak jeden z nich byl podvodník a měla by se rychle kontaktovat banka.

Nevýhody jsou zřejmé - seznam se musí často doplňovat, seznam (fyzický) je ukradnutelný atd. V době internetového bankovnictví tedy bude stále patřit k nejbezpečnějším, ale zvláště pro svou první nevýhodu neobhájitelný. Jinak ony ty moderní kalkulačky nejsou nic jiného než tyhle "papírky", které v sobě mají těch čísel miliony a lze je vybírat nejen podle toho, co řekne bankéř, ale i podle toho, co chci vlastně autorizovat (částka, číslo účtu apod.)

Souhlas. Dokonce se kona i to skrtani, presne podle navodu z banky. Mne se na te metode libi ta jednoduchost. Dneska prohlizec spusti i ten duchodce. Kombinace s certifikatem nabo nejakou kalkulackou muze byt pro technicky nenadaneho cloveka dost traumatizujici. Ale s papirem kazdy tak nejak vi, jak zachazet. Seznam je sice ukradnutelny, ale paranoidni uzivatel se muze sve zakaznicke cislo naucit nazpamet. Ten seznam se nemusi zas tak casto doplnovat. Zatim jsem vzdycky dostal novy az po tech dvou letech a rozhodne jsem se neblizil jeho konci. Pro normalni pouzivani v domacnosti to bohate staci. Spis me prekvapila ta distribuce kodu obycejnou postou, neni to ani doporuceny dopis.

O zabezpeceni zrovna tehle banky nemam moc velke iluze. Napriklad informace o platbach z karet behaji po jejich vlastni X25 siti (dneska asi uz vetsinou beha ve VPN, takze to neni tak zhave) nesifrovane a podepisovane podle bankovni normy nekdy z 80. let. Pouziva se pri tom obycejny 56bitovy DES. Specifikace se da stahnout ze stranek banky. Holt investice do neceho novejsiho se zrejme nevyplati.

Na teto situaci je videt, jak se banky chovaji naprosto nekoncepcne z hlediska zabezpeceni pristupu k bance. K pomerne bezpecnemu reseni (autorizace certifikatem) prilepi pochybny dodatek (autorizace pomoci SMS) a nevadi jim, ze paralelne s tim je mnohem mene zabezpeceny kanal (telefonni bankovnictvi, kde se vyuziva par cislic z nekolikamistneho pinu).

Myslim, ze nelze udelat platebni kanal odolny proti socialnim manipulacim typu phishing. Stejne tak IMHO nelze udelat kanal, ktery by byl odolny proti tomu, ze nekdo ma pod kontrolou uzivatelovo koncove zarizeni, at uz se jedna o PC, mobil nebo neco jineho. A domnivat se, ze kdyz existuje spousta exploitu, rootkitu, keyloggeru a podobnych veci na PC, ze nejsou takove veci pro mobily a ostatni dostatecne slozita zarizeni je naivni.

Autorizacni reseni zalozene na asymetricke kryptografii (certifikaty a spol) ma (z mne znamych reseni) nejlepsi predpoklady k vysoke bezpecnosti. V idealnim pripade totiz banka muze prokazat, ze platebni prikaz vydal majitel privatniho klice, se kterym banka nikdy do styku neprisla a tudiz to nemohla byt jeji vina. Bezne reseni postavene na asymetricke kryptografii (napriklad to v KB) ale maji typicky dve zakladni chyby - privatni klic generuje pracovnik banky (namisto aby si ho generoval zakaznik a bance poslal jen vygenerovanou zadost o certifikat) a k platbe se pouziva software (webova aplikace) banky (namisto aby se pouzival definovany protokol). Timto bezpecnost auytorizacniho mechanismu klesa nekam na uroven jednorazovych hesel. Banka muze jen tezko vyvratit, ze podvod provedl nejaky jeji pracovnik.

Kdybych byl bankovni system, tak bych se zameril spise na dohledani presunutych penez. Pokud zdrojova i cilova banka budou v 'rozumnych' statech, tak by snad nemel byt problem (pro banky a policii) zjistit totoznost prijemce penez a pripadne transakci stornovat. Takze zbyva pripad, kdy by prijemce penez byla banka v nejakem 'divokem' state. A tomu by se dalo zabranit tak, ze by si clovek mohl pri zakladani uctu zvolit, jake mozne destinace transakci povoli (v ramci CR, v ramci EU, v ramci bank ci statu, ktere uzavrely nejakou dohodu).

za A - mate moznost kalkulacky, tu vam nikdo nehackne.
za B - vsak ja NECHCI aby telefen umel jine veci, nez telefenovat, smskovat, a pripadne ta bankovni aplikace na SIM. Bohuzel lidi jsou blbi, takze az mi zdechne muj dnesni mobil, tak nezbude, nez navrat k te kalkulacce.

> za A - mate moznost kalkulacky, tu vam nikdo nehackne.

Ta kalkulacka ma i display, na kterem zobrazuje detaily o platbe? Pokud ne, tak je to jednoduche - hacknou ti pocitac, aby v dobe, kdy provadis platbu, te pozadal o autorizaci kalkulackou, ale podstrci ti udaje pro jinou platbu.

> za B - vsak ja NECHCI aby telefen umel jine veci, nez telefenovat, smskovat, a pripadne ta bankovni aplikace na SIM. Bohuzel lidi jsou blbi, ...

Pokud mas na telefon pozadavek, aby delal zaroven bankovni aplikaci (tedy neco naprosto nesouvisejiciho s telefonovanim), tak se nemuzes divit, ze tisice dalsich lidi budou mit na telefon tisice dalsich, rozdilnych, s telefonovanim nesouvisechich pozadavku a telefony tedy tak vypadaji.

Proč myslíš že se tomu říká kalkulačka. Jasně že má displej! Navíc se nikam nepřipojuje, takže vzdáleně hacknout nejde.

Funguje to tak, že naťukáš částku, číslo účtu, kód banky do počítače i do kalkulačky, kalkulačka napíše číslo, ty ho zadáš do počítače a je to. Kalkulačka je chráněná přes PIN, který máš v hlavě. Nic bezpečnějšího není.

Vzdalene hacknout nejde... hm... jak moc vzdalene? EMP (elektro-magneticky pulz)? Co takto Tempest vozy, ktore na dialku cca 50-100 metrov dokazu "vidiet", co ma clovek na monitore/displayi. Preco asi CIA/FBI maju elektro-magneticke tienenie okolo kompov? ;-)

To je ale blbost, ty jsi nikdy autorizaci přes sms v praxi neviděl, že ne ? Zkus to ještě jednou promyslet...

Vychazim z toho, ze autorizace pomoci SMS probiha tak, ze provedes platbu pres Internet, a na mobil ti prijde SMS s udaji o platbe a jednorazovym heslem, ktere zadas do weboveho formulare pro potvrzeni.

Kazde reseni zalozene na SMS by melo pocitat s tim, ze SMS (AFAIK) nebyl vyvijen za ucelem predavani duvernych informaci. Sice je v koncove casti site (radiovy prenos mobil<->BTS) prenos sifrovan (i kdyz vite nekdo, zda je sifrovan cely prenos, nebo jenom stream hlasovych dat?), ale jednak je GSM sifra pomerne slaba, jednak je otazka, jakym zpusobem je zabezpecen cely zbytek prenosu. Radsi bych si ani nepral vedet, kolik zamestnancu mobilnich operatoru ma (potencialni) pristup k textum SMS zprav.

Navic me prijde vubec jako nehoraznost, ze banka predava informace o mych platbach mobilnimu operatoru (coz je treti strana, ktere vubec nemusim duverovat a nemam moc na vyber - jeste mensi nez u bank).

Druha moznost je utok na mobilni telefon. Pokud vyjdeme z predpokladu, ze reseni zalozene na certifikatech je nebezpecne kvuli deravemu software v pocitacich, pak bychom meli vychazet take z toho, ze muze byt (a nejspis bude) deravy software v mobilech.

Jenže ta SMS s jednorázovým heslem je asymetricky kriptovaná už v momentě odeslání bankou, teda alespon u ebanky. Takže operátor nevidí co to je. A celé se to následně zkontroluje po zadání do webové aplikace. Takže i kdyby tu SMS někdo odchitil a rozšifroval tak co by s ní mohl dělat ? Tak maximálně potvrdit operaci o kterou banku žádám dříve než to udělám já sám.

jenze k dostani se k obsahu SMS bys musel mit privatni klic, ktery je na SIM karte. A zatim jsem nezaznamenal, ze by se k nemu nekdo pres mobil dostal. Takze je to zatim o bezpecnosti Tveho mobilu/BPINu. Paklize se zverejni zpusob jak se dostat k tomu privatnimu klici, ja budu z prvnich, ktery opet bude pouzivat kalkulator. A to z meho hlediska byl dokonaly system proti chybe uzivatele. Jinak ja SMS ctu vcetne cisla uctu a porovnavam s fakturou, neb je to 2. kontrola jestli jsem se nespletl.

Mel jsem na mysli predevsim nove opatreni KB, kde se jedna o beznou SMS

Pokud se budeme bavit o eBance, pak nemáte pravdu. Nepřijde mi SMS, ale bankovní SMS. Stane se to, že mi mobil oznámí bankovní transakci a bude chtít MPIN, pomocí kterého se aktivuje SimBanking. Teprve pak se mi zobrazí text SMS, kde je popis transakce a kód. K útoku je tedy potřeba napadnout mou bankovní aplikaci a upravit ji tak, aby falšovala zobrazené informace a já autorizoval podvodnou transakci v dobré víře, že jde o něco jiného. Přenášená zpráva je poměrně slabě šifrována asimetrickou šifrou - mnou zadaný MPIN je nutný ke správnému dešifrování. Protože se nejedná o plnohodnotnou asimetrickou šifru, je poměrně snado "rozlouskutelná" - ale máte na to jen 60 sekund, pak kód přestane platit. Bavíme se o louskání na koncovém zařízení, celý přenos je chráněn plnohodnout asimetrickou šifrou, která byla na SIM kartu nahrána společně s bankovní aplikací - takže telefonní operátor si moc nepočte. Samozřejmě je tu ještě možnost napadnout přímo bankovní server, ale to se pak nemusíme bavit o bezpečnosti kanálu.

K vašemu druhému odstavci bych tedy řekl toto: je třeba počítat s tím, že Bankovní SMS systém (a obecně celý Sim Banking) byl navržen za účelem předávání důvěrných informací. Bezpečnost je tady kriteriem číslem jedna, kterému se neustále věnuje celá řada lidí.

A na závěr bych jen doplnil, že mnohé banky (pokud vím, tak to platilo například pro ČS) posílá obyčejné SMS, nikoliv ty bankovní. Pak to co tvrdíte až na drobné výhrady platí.

> A na závěr bych jen doplnil, že mnohé banky (pokud vím, tak to platilo například pro ČS) posílá obyčejné SMS, nikoliv ty bankovní. Pak to co tvrdíte až na drobné výhrady platí.

Mel jsem na mysli predevsim nove opatreni KB, kde se jedna o obycejnou SMS

Suhlas. Software v mobiloch je este deravejsi nez ten na beznych desktopoch (mam svoje informacie ;-)). Tiez, GSM vyvijalo sifry "za zavretymi dverami", takze nech sa nikto necuduje, ze napr. A5 a A8 je mozne rozlustit beznym desktop PC-ckom za par minut (mozno trocha pletiem tie cisla sifier, ale pointa je snad jasna). V niektorych krajinach (Francuzsko tusim?) je dokonca sifrovanie uplne vypnute. Ktory mobil ukazuje, ci je aspon nejake pofiderne sifrovanie zapnute? Skoro ziaden.

Raz som si chcel kupit M/F-BUS kabel, aby som si aktivoval netmonitor, pozerali na mna ako na vraha.

Ericsson R520 a Ericsson T39 dle mych zkusenosti a manualu ukazuji vypnuti sifrovani. Je to signalizovano obrazkem na displayi(vykricnik). U novych rychlokvaskovych exkrementofunkcnich hypermodernich kondomu uz to asi neni.

no jako majitel firmy jedete na dovolenou, a nechate doma telefon. Behem dovolene nekdo prevede penize na ucet kone, ktery stoji v bance, prachy vybere, a zajde do banky za rohem a tam vlozi jinou castku na jiny ucet a s dohledanim jste v prdely. To vam bude trvat tak dlouho,(nez si projdete videa ze vsech bank) ze ja uz budu davno v hrobe, ne jen na Kanarech.

To jsem nepochopil: Behem dovolene nekdo zada prikaz k prevodu na ucet kone, mne neprijde SMS s jednorazovym heslem, protoze mobil je v supliku a vypnuty, ja transakci nepotvrdim a kun nic nema ;-)

Jenze Ty nejsi klient KB. Nekterym se podarilo videt i kone za svymi penezi.

Doplnim :
suhlasim ze je prakticky jedno ci bezite Win alebo Lin atd .... samotne lin Vam neriasia vsetky problemy , niektre ano a niektore pribudnu.... . Verit v tomu ak Win po patchovani a s antivirom atd.. je bezpecni a netreba sa nicoho bat tak to je naivita ak niekto ma posledny patch tak pravdepodobne ten dalsi by uz neprisiel ......
SMS, Tokeny atd ... sa povazuju za celko bezpecne pretoze sa pouziva nezavisly kanal t.j .pravdepodobnost masoveho hacknutia oboch kanalov sucasne je dost problemticke avsak cielene na konkretneho uzovatela sa to da ale su aj lepsie metody ako je Socialinziniering ....
Privatne kluce , ak su na HDD nema vyznam , je to to iste ako iba heslo , ak ma potencialny utocnik pristup k OS spravi co chce. Ak su na smartkartach tak je to lepsie avsak tu je tiez problem ak sa podpisuju dok. tak sa zvacsa podpisuje hash ktory bol pred tym vygenerovany a ten prijde z OS , takze je to iba o tom ze verim OS ze to co poslal na podpis je skutocne to co chcem podpisat samozrejme ak si to manualne neskotrolujem ( a to nerobi asi nikto ) .
Phishing resp pharming atd ... dnes su tieto utoky natolko sofistikovane ze naozaj aj zdatny uzivatel ich nemusi rozpoznat a tiez moze mat naistalovenych kopec antispysoftw. a antiv. atd... nepomoze .
Tiez sa tu zabuda ze nech mate co chcete pri vhodnom vykonani maninthemiddle attacku vam nepomozu ani token , kalkulacky ci certifikaty
V kazdom pripade ochranit uzivatela je prakticky nemozne , jedne co sa da je znizovat riziko resp. ztazit pripadnemu utocnikovy pracu ....

Ještě jedna chyba v článku. Česká spořitelna "kalkulačky" používá, ale již je NEVYDÁVÁ!!! Chtěl jsem si ji pořídit, protože mi připadá bezpečná hlavně protože je zcela oddělená od počítače. Bohužel jsem se na technické podpoře dozvěděl, že jediný "vyšší" způsob zabezpečení je certifikát na čipové kartě. Privátní klíč je chráněn heslem, které keyloger odposlechne stejně jako heslo k bankovnictví. To mi nepřipadá jako nějaké rapidní zvýšení zabezpečení.

Jakub

Jestli chces, tak Ti svoji daruji, je od sporitelny a vli se mi tu bez uzitku. Holt uz u nich nemam ucet :-)

V clanku je uvedeno, ze autentizacni kalkulator poskytuje Ceska Sporitelna, eBanka a HVB.

Letos na jare jsem se pokusil ziskat kalkulator pro pristup k uctu Ceske Sporitelny, ale mluvci CS Klara Gajduskova mi potvrdila, ze uz nove nevydavaji. Skoda, mohli mit klienta.

To, cemu HVB rika "autentizacni kalkulator", je sice zajimave, ale na rozdil od skutecneho autentizacniho kalkulatoru to vubec nezabranuje utokum typu man-in-the-middle. Takova byla aspon situace na jare 2005: http://www.linuxsoft.cz/article.php?id_article=808

Stepan Kasal

Ježíš, opravdu??? Proč proboha? To jsou ale idioti, vždyť kalkulačka je bezpečnější než cokoliv jiného!

ČSOB posílá SMS potvrzující transakce jakou bankovní (zabezpečené) SMS, takže před jejím přečtením musíte zadat B-PIN.

nedovedu si představit, že by bylo možné poslat takovu SMS aby ji apliakce na SIM kartě v pořádku přijala.

I kdyby aplikace na SIM prijala a utockin znal bpin tak ten podvrzeny kod zase neprojde overenim po zadani do webove aplikace, proto je to jeden z nejbezpecnejsich zpusobu.

To neni pravda, i CSOB i PS posilaji upne otevrene SMS. ;-(

CSOB pouziva pokud vim oboji, zavisi na tom jak si to clovek nastavi pri zakladani bankovnictvi

V jednej nemenovanej firme bol jeden velmi neoblubeny clovek. Mal ucet uz neviem u akej banky, na ktorom sa za kazdu prijatu transakciu uctovalo 6 korun. Desat ludi, ktori ho nemali radi sa dohodlo, ze mu kazdy posle 100 korun v 100 1-korunovych transakciach. Kazdeho z tych desiatich ludi to stalo zhruba 300-400 korun (100 + poplatky), ale typkovi doslo +1000 a -6000 poplatok. Marne protestoval v banke, ze on tie transakcie nechcel ;-)

Ad. autorizacia vs autentizacia: vela ludi si to myli, pretoze je to hrozne podobne.
-autentizacia = identifikacia, preukazanie totoznosti
-autorizacia = povolenie

V elektronickych systemoch typicky plati: "autentizacia implikuje autorizaciu" (ak mate teda dost $$$ na ucte). V kamennom obchode mozte mat autorizaciu si kupit trebars tresku a dva rohliky bez autentizacie, je im jedno kto ste, kym im date dvacku alebo kolko (tj. autentizacia je vynechana).

Pochválil bych autora za téma, které probudilo takovou diskuzi, navíc i relativně obsažnou. Vztah pojmů autentizace (=identifikace osoby, procesu,... s důvěryhodným ověřením) a autorizace (=oprávnění už k nějaké činnosti, obvykle je toto oprávnění také ověřované) by samozřejmě měl být lépe osvětlen.
V bankovnictví jde vždy o nějakou činnost (výběry, příkazy), tj. autorizace k nim zde vlastně je nutná. Autentizace uživatele ji ale předchází a na jejím základě jsou práva přiřazována. Stručně řečeno - banka má přehled o právech (oprávněních klienta) a na základě toho, že ho autentizuje, mu ta práva umožní realizovat.

Mam pocit, ze nektere prispevky v diskusi vychazeji z romanticke predstavy, ze je mozne nejak zajistit 100% bezpecnost cehokoliv. To samozrejme mozne neni. (On ani trezor s dvoumetrovou zdi neni bezpecny, pokud ho nekdo nemonitoruje a pokud tam v pripade potreby nevtrhne URNA. U fyzickych veci to je intuitivne zrejme. U software jaksi ne.)

Rozumne uvazujici ekonomicky subjekt - banka - by se na vec mela divat takhle: Naklady na zvyseni zabezpeceni nejakou konkretni metodou jsou X; naklady na nebezpecnost (nahrada skody, spatna publicita apod.) jsou Y. Pokud je X<Y, je ekonomicke to implementovat. Pokud je X>Y, implementovat se to nebude. Y je dodatecny naklad banky. Banka se pak bude snazit o dalsi veci:
1. Limitovat Y jinymi zpusoby (ruzne heuristicke analyzy, on-line monitorovani, obcas treba klientovi zavola a promluvi s nim atd.).
2. Zcela externalizovat Y (tj. rict klientovi "to je problem tvuj, ne muj").
3. Rozpocitat Y jako naklad sluzby a nechat ho zaplatit vsemi. (Porad to muze byt levnejsi nez naklad na pobocku, lidi, ochranku a obcasnou loupez.)
Az doposud je vse jasne v poradku. Jedine, co je ted potreba, aby stat (tj. organizace vytvorena za ucelem ochrany slabych proti silnym) znemoznil #2 - aby to banka nemohla externalizovat. Kombinace #1 a #3 pak povede ke stavu velmi prijatelnemu pro vsechny. - Vsimnete si paralely s platebnimi kartami, zejmena pak k tomu, jak federalni zakon zakazujici #2 vytvoril v USA z platebnich karet vsestranne prijatelnou vec, ktera hotovost plne vytlacila. Zakon tam ovsem taky k #2 zavadi symbolickou spoluucast klienta (max. $50); to je proto, aby klienti meli ekonomicky duvod k zodpovednemu chovani.

K tabulkam v clanku: Pokud je Citibank schopna uhlidat Y v rozumnych mezich (jakymikoli vnitrnimi procesy) a pokud klientum bez tahanic uhradi skodu (pripadne az na spoluucast radove do 1000 korun), tak neni z meho pohledu Citibank nebezpecna. A naopak je z meho pohledu bezpecnejsi nez jine banky ze seznamu, jez osobne znam a o nichz vim, ze v pripade pruseru se mnou jeste vybehnou.

Tyhle ekonomicke uvahy se samozrejme delaji. Jen je treba dneska jeste zakalkulovat, jestli se dana metoda da vyuzit obratne v marketingu. Potvrzovani po mobilu zni preci v usich zakazniku skvele, ne?

Mam poznamku k autorovi. Vyznam terminu autentizace a autorizace se lidem v cestine casto plete. Voditkem je, ze pochazeji z anglickych terminu authentication resp. authorization, jejichz vyznam neni zamenny. Konkretne (prevzato ze slovniku):

authentication : validating the authenticity of something or someone

authorization : a power delegated from one person to another

Takze ta banka napred provade vasi autentizaci (tj. overi vasi totoznost) a na zaklade toho Vas autorizuje (t.j. opravni Vas) manipulovat s vasim kontem. Muze ale napriklad dojit k tomu, ze probehne autentizace, ale nikoliv autorizace, protoze napr. Vase konto je zablokovane. Proto nelze oba terminy zamenovat.

Můžete opravit informace v tabulce. U WSPK je chyba. Certifikát je zapotřebí mít nejenom pro potvrzení transakce, ale i pro přihlášení.

Mám tam vedený účet.

A nejen to. Při přihlašování k aplikavci je (zjednodušeně) třeba mít
1) Místo přihlašovacího jména ini soubor (na disketě, usb disku) který zastupuje to jméno
2) Heslo k aplikaci
3) Platný certifikát
4) Heslo k certifikátu.

To už je docela slušná kombinace. Je to náročnější pro nové uživatele, ale když už se v tom zaběhnete je to OK.

Vyberete medium s ini souborem a certifikatem (A: F: HDD)
Zadate heslo k ini
System zkontroluje platnost cetifikatu
Pokud je platny, pak musite zadat heslo k certifikatu.

Az pak vidite stav na uctu. Muzete mit hesla k ini a certifikatu stejna nebo ruzna Pokud nemate jednu z tech 3-4 veci, tak nejste autorizovan a vpusten.

Osobne mam jeste soubory (ini a certifakt) v zasifrovanem kontejneru (disku) a ten pripojujuji jen kdyz pracuji s bankingem. Sice trosku paranoia, ale vzhledem k tomu ze jde o penize tak mi tech 40-60 vterin navic stravenych, vlozenim media, pripojenim sifrovane oblasti a zadanim hesel behem prihlasovanim nevadi.

Jen malé upřesnění: i GE Money Bank používá jako jeden ze tří typů autorizace SMS kód (akorát používá označení mobilní klíč).