Vlákno názorů k článku Autorizace v internetovém bankovnictví od Jirka Vrba - Neni uplne pravda, ze klientsky certifikat staci zkopirovat...
-
Jirka Vrba (neregistrovaný)Neni uplne pravda, ze klientsky certifikat staci zkopirovat a ziskate pristup. Standardni klientsky certifikat je chraneny delsim heslem (passphrase) a bez jeho znalosti je na nic. Pokud nekdo toto heslo nepouziva, tak se jedna o spatnou implementaci certifikatu. Mimo to prohlizec muze chranit certifikat dalsim heslem, napr. Mozilla ma k tomu Software Security Device.
-
anonymníCertifikat je rozumny kompromis, pokud se pro spravu certifikatu pouzivaji proverene prostredky operacniho systemu. Vylamat privatni klic k certifikatu z microsoftiho uloziste neni zase takova sranda, dtto u Firefoxu aka mozilla PSM.
Jenze temer vsechny banky si mysli, ze jejich soft, ktery pouzivaji dva lidi na svete je automaticky bezpecnejsi nez to do ceho investoval Microsoft miliony dolaru a tak mate certifkat na diskete i kdyz si koupite windows XP a investujete dalsi penize do specialisty, ktery pocitac poradne zabezpeci.
Aby toho nebylo malo, tak sice nekde dostanete cipovou kartu, ale vzapeti zjistite, ze jste k ni dostali nejakou aplikaci, ktera s kartou komunikuje sama a cryptoAPI je zase mimo misu. -
prudic (neregistrovaný)tady celkem nejde o to, jestli je nejake uloziste, nebo nee. Jde o to, ze VSE co se deje kolem certifikatu se deje na jednom systemu. A to je problem v pripade, ze nekdo jiny ziska administratorska prava k systemu. Pokud to utahneme za vlasy, neni nemozne napsat aplikaci, ktera tu horentni platbu prozene pres ten software na tom napadenem pocitaci - na tom vasem. A pak banka bude opravnene tvrdit, ze jste tu transakci zadaval sam a vedome. Zvyseni bezpecnosti je pouze tak, ze se pouziji jine prostredky k praci s certifikatem (treba kalkulacka, nebo klabosnice na cipove karte, ktera ma svuj vlastni CPU). Pokud se karta pouzije pouze jako pametove medium, ktere se ovlada z napadeneho pocitace je bezpecnost dana pouze bezpecnosti toho systemu, ktery byl napaden :-).
-
Matlas (neregistrovaný)a to je prave ten omyl.
certifikat je naprosto verejna vec. ten si muzete stahnout dle libosti.
oc tu bezi je PRIVATNI - tedy soukromy klic.
ten je chranen heslem nebo generovan na cipove karte.
Autor clanku se bude asi divit, ale programy jako Mozilla Suite, Firefox, MISE ukladaji privatni klice a certifikaty v kryptografickem ulozisti prave na pevnem disku (napr v nazoru uvedeny Software Security Device).
(pokud pro pristup k bankovni aplikaci neni pouzivan specialni klient, ktery by pracoval s klici ulozenymi jinak.
Pokud nepouzivate heslo pro ochranu privatniho klice, NEJDE o spatnou implementaci.
asymetricka kryptografie (privatni/verejny klic) NENI zavisla na vasem hesle.
Je to pouze vase vec a mala mira paranoi ;-)
(To ze jsem paranoik jeste neznamena, ze me nesledujou ...) -
Karel (neregistrovaný)Nooo.. kdyby ukladani certifikatu takhle skutečně fungovalo, bylo by to o dost bezpečnější. Bohužel co znám lidi s certifikátem, tak ho buď dostanou emailem na svůj freemail (a tam si ho kolikrát i nechají) nebo ho dostanou na disketě, ze které to zkopírují na disk C a tam odtud nainstalují do prohlížeče. Ostatně svého času to takhle bylo napsané i v návodu na instalaci certifikátu pro KB. Takže máte pravdu, certifikát leží v bezpečném úložišti, ale jeho kopie se volně poflakují po disku nebo dokonce po internetu - znám člověka, co se připojí v internetové kavárně, z internetu si stáhne svůj certifikát, udělá si v bance co potřebuje a jde pryč. Bezpečnost sama, ale dosud se mu nic nestalo.
