Finska (nebo spise severska) Nordea (drive Merita) pouziva pro vstup do webove aplikace pres SSL asi 8 cislicove neverejne nemenici se ID zakaznika a ctyrcislicovy kod, ktery je pokazde jiny. Kazda transakce (nebo balik transakci) se potvrzuje jednim kodem nahodne vybranym z dvaceti kodu, taktez ctyrcislicovych. Seznam jednorazovych kodu prijde normalni postou bud, kdyz se zakaznik blizi ke konci, nebo nejpozdeji za dva roky. Spolu s nim prijde i seznam dvaceti potvrzovacich kodu.
Pocitam s tim, ze kdyby nekdo zacal zkouset hesla, tak ho to asi brzo odstrihne. Ale to nemam vyzkouseno. Kdyz se zada spatne vstupni jednorazove heslo, nez ktere system ocekava, napise to, ktere heslo system chce (treba 43. v poradi).
Kdyz jsem to videl poprve, povazoval jsem to za hodne slabe zabezpeceni. Ale ma to nesporne vyhody. Je to tak jednoduche, ze inetove bankovnictvi zvladne i technicky antitalent.
Prijde mi, ze ty systemy, co pouzivaji ceske banky (certifikaty, ctecky chipu, kalkulacky atd...), jsou trochu prekombinovane. Mozna kdyby se ty banky snazily o zisk z investic misto vymysleni ptakovin, prospelo by to jak jim, tak zakaznikum.
ale ta kalkulacka je principialne jen trochu vylepseny papir o kterem pisete. Jen je navic chranena pinem, takze kdyz ji nekdo ukradne, tak je mu k nicemu, kdezto pokud vam nekdo ukradne papir, jste v loji, nez to zjistite.
Ne tak uplne. Jeste je tam to ID zakaznika, ktere take slouzi jako heslo. Banka primo doporucuje uchovavat toto cislo zcela oddelene od hesel, pokud mozno v hlave.
Takhle fungovalo online bankovnictví na západě již před několika desetiletími (bankéř po telefonu). Je to nejbezpečnější přístup, jaký se dá s přímým kanálem realizovat. Kdokoliv může odposlouchávat komunikaci a není mu to nic platné, protože pokud operátor neudělá chybu, nebude se žádný kód opakovat. A k metodě "brute force" - co jsem četl, tak operátor si o každý kód řekne jen jednou. Když řeknu špatný kód, tak tím tento přestává platit. Stejně tak by si uživatel měl každý dotázaný kód škrtnout - pokud se operátor zeptá podruhé na stejný kód, pak jeden z nich byl podvodník a měla by se rychle kontaktovat banka.
Nevýhody jsou zřejmé - seznam se musí často doplňovat, seznam (fyzický) je ukradnutelný atd. V době internetového bankovnictví tedy bude stále patřit k nejbezpečnějším, ale zvláště pro svou první nevýhodu neobhájitelný. Jinak ony ty moderní kalkulačky nejsou nic jiného než tyhle "papírky", které v sobě mají těch čísel miliony a lze je vybírat nejen podle toho, co řekne bankéř, ale i podle toho, co chci vlastně autorizovat (částka, číslo účtu apod.)
Souhlas. Dokonce se kona i to skrtani, presne podle navodu z banky. Mne se na te metode libi ta jednoduchost. Dneska prohlizec spusti i ten duchodce. Kombinace s certifikatem nabo nejakou kalkulackou muze byt pro technicky nenadaneho cloveka dost traumatizujici. Ale s papirem kazdy tak nejak vi, jak zachazet. Seznam je sice ukradnutelny, ale paranoidni uzivatel se muze sve zakaznicke cislo naucit nazpamet. Ten seznam se nemusi zas tak casto doplnovat. Zatim jsem vzdycky dostal novy az po tech dvou letech a rozhodne jsem se neblizil jeho konci. Pro normalni pouzivani v domacnosti to bohate staci. Spis me prekvapila ta distribuce kodu obycejnou postou, neni to ani doporuceny dopis.
O zabezpeceni zrovna tehle banky nemam moc velke iluze. Napriklad informace o platbach z karet behaji po jejich vlastni X25 siti (dneska asi uz vetsinou beha ve VPN, takze to neni tak zhave) nesifrovane a podepisovane podle bankovni normy nekdy z 80. let. Pouziva se pri tom obycejny 56bitovy DES. Specifikace se da stahnout ze stranek banky. Holt investice do neceho novejsiho se zrejme nevyplati.
