Vlákno názorů k článku Autorizace v internetovém bankovnictví od Lukáš - ŽB kromě digitálních certifikátů používá také jednorázové TAN...

LOL a jak to teda spravce může ovlivnit ? Kolik spravcu Windows dokáže najít bug a vlastní silou na něj naprogramovat záplatu ? Tohle je stejně OT, tady se bavíme o bankingu přes internet.

S bezpecnejsim OS se nedostanu do banky. Diky ignorantum z KB.

bezpecnejsi OS + zmena banky :)

Jenze bezpecnost banky by nemela zaviset na bezpecnosti klientova PC, v tom je ten vtip.

Tak za prvé uživatelem Windows jsem jen občas když to je nutné. Linux používám od roku 1998. V principu to může nastat i na OSS softu. Za druhé to co píšeš je mimo téma. Jde o to, že banka to může zařídit tak, aby bezpečnost/zkompromitovanost samotného PC klienta měla minimální vliv na bezpečnost samotného bankingu ale nedělá to.

Jak která banka. Já si vybral eBanku mimo jiné právě proto, že autorizace je pomocí zabezpečené SMS zprávy a stejně tak je málo co platné, když bude někdo znát můj podpisový vzor nebo mít mojí občanku.

V principu je zabezpečení pomocí bankovní SMS méně bezpečné než uživatelské jméno a heslo (ukrást mobil je snažší než odposlouchat přihlašování), ale není to možné provést po internetu, je nutný fyzický kontakt se mnou.

Jo, ale samotny mobil je k nicemu - k tomu aby nekdo ucet vytuneloval musi ukrast mobil A NAVIC ziskat jmeno a heslo.

a hlavne bankovni pin, nechapu, proc by jej mel znat nekdo jiny nez ja, takze po tretim spatnem pinu se bankovni aplikace odporouci a jsem zase v klidu.

No nevim, ukrast mobil znamena mi ho fyzicky vzit, tedy se nekdy nachazet v me blizkosti. Na ukradeni user/pass staci keylogger v podobe nejakeho viru, nebo si nahrat prislusne tcp spojeni a pokusit se zlomit sifrovani (no, ten keylogger bude asi jednodussi..).
Navic, i kdyz mi ten mobil ukradne, porad potrebuje jeste BPIN, nasledne BPUK a na zaver popelnici :-)

U eBanky. Ostatní banky pokud vím posílají úplně obyčejné SMSky které si přečte každý zloděj telefonu :-(.

Jenom tě chci ubezpečit, že ani v případě mobilu není ten fyz. kontakt s tebou nutný. Záleží pouze na tom kolik budu ochoten investovat.

Jedna věc je investovat do mně (jdeš po mně), druhá věc je brouzdat se po nocích po cizích počítačích (jsi na lovu a hledáš kořist).

Prvnímu druhu útočníků se obecně neubráním, ale ten druhý typ je proti mně bezmocný.

Ty mas ale dlouhe vedeni :( A proc bych to delal ? Tak jeste jednou a na posled. Banka nemuze rucit za nezkompromitovanost OS na PC svych klientu, ve vetsine pripadu to nedokazou ani ti klienti. Proto je povinost banky pouzivat takovy system autorizace/autentizace ktery nebude primo zaviset na bezpecnoti klientskych PC. KB to proste do ted tak nedelala. Bezpecnost jakehokoli PC ktere ma nekdo doma na stole je prilis mala aby na ni visela bezpectnost uctu.

Klient si z bankou dohodl nejaky zpusob autorizace. Pokud ta autorizace probehla uspesne, tak je z hlediska banky zcela v poradku, ze platbu provede. To je jako s telefonnim bankovnictvim nebo platebni kartou - pokud nekomu vyzvanim heslo nebo PIN a kartu necham nekde lezet, tak se nemuzu divit, ze banka nebude chtit pripadne ztraty brat na sebe.

Zpusob autorizace/autentizace určuje banka, klient má možnost to přijmout nebo jít jinám. To že banka zvolila způsob kdy útočník může obejít zabezpečení útokem na klienta tak, aniž by klient něco udělal "špatně" je problém banky. Svědčí o tom ochota banky vše okamžitě finančně vyrovnat. Zkrátka banka neudělala pro bezpečnost dost, mimochodem pokud vím už se to má během pár dnů změnit.

"Svědčí o tom ochota banky vše okamžitě finančně vyrovnat."
Jaj, to svedci jen o tom, ze je to pro ne vyhodnejsi (medializace) a ne ze problem vznikl jejich chybou a pripadny soud by prohrali.

PS: To ze se mi nekdo muze dostat do systemu je moje chyba a ne chyba banky. Nebo banka ruci za bezpecnost pri pouzivani pri urcite konfiguraci klientsky pocitacu ?
Kdo urcuje co je chyba uzivatele? asi ty ze

Chyba v IE/Mozille/FF/Opeře/kernelu-2.9.999/glibc nebo čemkoli na kterou není ještě záplata je chyba uživatele ? Banky ? Ani jednoho z nich ... Právě že banka nemůže ručit za to že se ti do systému nikdo nedostane ani ty jako uživatel to nedokážeš tak zabezpečit (neber si to osobně). Proto má volit banka technologii, která s tím počítá že se ti do systému někdo dostane ale neovlivní bezpečnost tvého účtu, tedy ne certifikát. A to je chyba KB.

Jinak to už je mlácení prázdné slámy, když nevíš o co go přečti si celou diskuzi.

Je to chyba banky? Neni, tak proc by mela platit?
Podle tebe je chyba banky, ze poskytuje sluzbu kterou je teoreticky mozne zneuzit?
Treba bych te chtel videt jak by si zkousel nabourat mou komunikaci s bankou, kdybych overoval fingerprint certifikatu a pristupal k ibankingu ze systemu, ktery bych pouzival jen na komunikaci s bankou.

Takova troska, abych si cetl celou tuhle diskusi fakt nejsem :)

banka za tvoje chyba fakt rucit nemuze. Ale ty muzes sluzbu pouzivat tak, aby se k tvymu uctu nikdo nedostal. Nekdo to tak zabezpecit neumi, tak pak nema tu sluzbu pouzivat. Nema cenu to dal resit, kazdej na to mame jinej pohled a tak to i zustane.

PS: Overovani aktivnich transakci pomoci sms taky nic neresi, protoze mobil muze byt podobne napadnutelnej jako pc. Jestli podle tebe jo, tak pak nejspis povazujes ibanking bezpecnej pokud od instalace systemu nepouzivas zadny program zpusobem napadnutelnym PUBLIC exploitem, ktery by umoznoval ukrast tvuj cert a nainstalovat do systemu keylogger, coz znamena trochu vic nez chybu ve firefoxu.

Tak konečně posun správným směrem v téhle debatě. Pro představu, já se oběť, ty ji útočník hacker,guru a geek v jedné osobě.


1.situace – Komerční banka – autentizace/autorizace certifikátem, mám plně aktuálně ozáplatovaný systém. Ty jako geek najdeš bug o kterém se veřejně neví v nějakém softu v mém OS, napíšeš exploit, vetřeš se, nainstaluješ backdoor, spustíš démona co bude číhat na operaci s certifikátem následně spustí keylog a máš můj privátní klíč i pin. Můj účet je pod tvojí kontrolou a já jako uživatel jsem nic špatně neudělal.


2.situace 2 – eBanka – autentizace/autorizace přes SMS zabezpečenou B-PINEM. Mám plně aktuálně ozáplatovaný systém. Ty jako geek najdeš bug o kterém se veřejně neví v nějakém softu v mém OS, napíšeš exploit, vetřeš se, nainstaluješ backdoor, spustíš démona co bude číhat... Odchytíš přístup na web eBanky, vidíš co dělám ale nejsi schopen zasáhnout, autorizační kód přijímám jinou cestou, maximálně jsi chopen zmařit mi operaci kterou chci udělat tím že pozměníš mnou zadaný kód což je prakticky na nic. K opravdovému napadení potřebuješ zadat z mého PC pokyn k autentizaci, znát moje telefoní číslo, získat kontrolu na mým telefonem do té míry abys znal můj b-pin, během 30s byl schopen na mém telefonu zadat b-pin a přečíst z něho autentizační kód a tento kód dopravit na můj PC, odeslat z něj web-aplikaci eBanky. Následně to celé zopakovat za účelem autorizace převodu peněz jinam. Dávno před tím vším mít v mém telefonu keyloger na odchycení B-PINU nebo hacknout aplikaci eBanky na sim kartě... A to všecko bez mého vědomí .


Situaci 2 by zvládnul snad jedine Eso Rimmer.. Každopádně je nesrovnatelně složitěší příklad 2 než situace 1. V obou případech jsem já jako uživatel neudělal nic špatně a o mojí chybě nemůže být řeč.

No, vzhledem k http://mojebanka.cz/cs/security.shtml mas nejspis pravdu, ze to meli spatne zabezpecny.

Aha, takze banka nesmi poskytovat internet banking :-D

Podle platné legislativy to problém banky je - pokud k takovému úniku dojde a klient přijde o peníze, banka mu je musí nahradit. Situace je však taková, že banka raději vyplatí ročně miliony za náhradu škody než aby investovala mnohem více do bezpečnosti svého online bankovnictví.

Kdyz reknu nekomu heslo k uctu, nebo mu dam svuj certifikat tak je to de jure problem banky?

Přesně tak. Banka musí dokazovat, že jste to udělal. Říká se tomu presumpce neviny a i když se tomu banky brání, stále platí. O to větší problém budete mít, když vás odhalí.

Dále si budete s bankou muset popovídat o míře zavinění a dohodnout se na spoluúčasti. Pokud zavoláte během několika hodin po provedení podvodné transakce, bude banka obvykle svolná nést všechny náklady - ale peníze vydá až po prošetření. Pokud se ozvete po několika měsících, kdy vám někdo opakovaně vybíral konto, může banka také klidně vrátit jen první převod a zbytek nechat na vás - protože jste vaší nečinností dovolil vznik dalších škod.

A ještě je tu jedno ALE - asi všechny banky s vámi uzavírají smlouvu, kde se tento vztah upravuje, obvykle v prospěch banky, která ze zákona nese riziko. Obvykle se jedná o formu zásadní spoluúčasti na vzniklých škodách a obecně povinnost škodám předcházet. Takže když se zjistí, že jste si heslo napsal do emailu, může banka na základě této smlouvy odmítnout plnění. Doporučuji přečíst si vaší smlouvu k internet bankingu, smlouvu k online bankingu (pokud máte ke každému samostatnou), smlouvu k vedení účtu a v neposlední řadě obecné podmínky dané banky (zvláště ČS má tendenci důležité body schovávat do obecných podmínek, které jsou pro klienty závazné aniž by je podepsali a navíc si je ČS může sama od sebe měnit - a také mění).

No presne. A v cem je problem? Banka dela ekonomicky nejvyhodnejsi operaci. Klient o penize neprijde. Tak o co vam jde?