Hlavní navigace

Bezpečnost českého internetového bankovnictví

Petr Krčmář

Finanční server Měšec vydal ve spolupráci se serverem Root studii, která analyzuje zabezpečení internetového bankovnictví v České republice. Protože se jedná o zajímavé téma i pro čtenáře Roota, řekneme si o studii více a představíme si nejzajímavější informace, které obsahuje.

Internetové bankovnictví jako takové umožňuje velmi rychle a jednoduše pracovat s financemi, ať jste kdekoliv. Protože běžný čtenář Roota je technicky zaměřený a zajímají jej novinky v oblasti IT, má k podobným nástrojům blízko.

O to zajímavější pro vás může být i internetové bankovnictví z hlediska počítačové bezpečnosti. Jednak je to zajímavé téma přímo pro Roota, jednak jde především o vaše peníze.

Na problematiku bezpečnosti lze obecně nahlížet ze dvou stran. Vedle sebe zde stojí technický aspekt a lidský faktor. Oba jdou ruku v ruce, a pokud klopýtá jeden z nich, objevuje se potenciální riziko. Uživatelský přístup je otázkou konkrétní informovanosti a zodpovědnosti. Naopak zabezpečení jako takové je téměř výhradně v rukou banky.

Kompletní studii si můžete stáhnout ve formátu PDF ze serveru IInfo.cz.

Přenos dat a autentizace banky

To je také tématem výzkumu, který probíhal v rámci přípravy celé rozsáhlé studie u třinácti českých bank. Nejprve byla zkoumána bezpečnost přenosu dat a ověření identity ze strany banky. Uživatel musí mít jistotu, že se data, která odesílá, nedostanou do nepravých rukou během přenosu ani na jeho konci.

Po této stránce je vše v pořádku a všechny banky obstály. Všechny používají dostatečně silné šifrování a certifikát vystavený u oficiální certifikační autority. Drtivá většina ústavů využívá služeb autority VeriSign, která je zárukou spolehlivé a bezpečné komunikace.

Prohlížeče

Na straně uživatele je kritickým prvkem obvykle internetový prohlížeč. Jeho bezpečnost je závislá na jeho aktuálnosti a zároveň na reakci výrobce na nově objevené bezpečnostní chyby a problémy.

Byly hodnoceny čtyři nejpoužívanější prohlížeče a bylo zkoumáno, kolik z objevených chyb ještě nebylo opraveno:

  • Internet Explorer 6.x  – 31 z 82
  • Mozilla Firefox 1.x – 7 z 19
  • Opera 8.x – žádná z 5
  • Konqueror 3.x – 1 z 10

Z tohoto hlediska jsou na tom alternativní prohlížeče jednoznačně mnohem lépe než Internet Explorer, jehož bezpečnost (nebo spíš nebezpečnost) je notoricky známá. Problém alternativních prohlížečů je však v podpoře na straně bankovních aplikací. Mnoho bank odmítá akceptovat jiné prohlížeče než ty od Microsoftu. Jediným řešením je přihlédnout k tomu už během výběru banky. Není nic horšího než pak udržovat v počítači druhý systém jen kvůli přístupu k účtu.

Autorizace uživatele

My uživatelé tedy máme bezpečnost dobře zajištěnou a jednotlivé aplikace jsou na tom velmi podobně. Dalším aspektem je autorizace v opačném směru – od zákazníka. Tady se už objevují podstatné rozdíly, kterým je potřeba věnovat náležitou pozornost. V České republice existuje několik možností autorizace bankovního klienta:

Pomocí uživatelského jména a hesla, certifikátu na čipové kartě nebo tokenu, autentizačním kódem zasílaným na mobilní telefon nebo kódem generovaným autentizačním kalkulátorem. Polovina bank pak nabízí výběr z více možností.

V tomto směru není situace tak růžová, jak by měla být. Polovina bank používá jako jedinou možnost ověření totožnosti uživatele prosté přihlášení pomocí jména a hesla. Hrozí tedy velké nebezpečí kompromitace hesla, ať už pouhým „nahlédnutím přes rameno”, nebo napadením systému klientského počítače.

Z tohoto důvodu jsou mnohem vhodnější jednorázová hesla zasílaná pomocí SMS nebo generovaná přímo v autorizačním kalkulátoru, který dostane uživatel od své banky. Jedná se v obou případech o nezávislá zařízení, která nejsou s počítačem nijak propojena, takže nemohou být dálkově zneužita útočníkem. Odposlechnutí přihlášení je v tomto případě k ničemu, protože hesla jsou jednorázová a po prvním použití přestanou platit. Navíc jsou často vázána na konkrétní operaci.

Automatické odhlášení

Dalším tématem, kterým se studie zabývá, je automatické odhlášení uživatele po určité době nečinnosti. Zde je ovšem na místě otázka, kolik škody může napáchat cizí uživatel v cizí bankovní aplikaci. Většina dalších transakcí je totiž obvykle podmíněna novou autorizací klienta.

Rozumný uživatel také nepoužívá internetové bankovnictví na místech, kde by počítač mohlo využívat více lidí. Na domácím a dostatečně chráněném počítači podobné riziko nehrozí. Můžeme parafrázovat známou větu:

Kdo volí pohodlí před bezpečností, nezaslouží si ani jedno.

Závěr

Bezpečnost by měla mít u bank maximální prioritu a měla by být naprostou samozřejmostí. Nejde přeci o nic menšího než o reálné peníze. Bohužel i banky mají jistý podíl na tom, že uživatelé jejich služeb volí méně bezpečné metody ochrany. Ty lepší a účinnější jsou mnohdy zpoplatněny zvláštními poplatky, které mnoho zákazníků odradí.

Závěr zprávy hodnotí jako nejbezpečnější internetové bankovnictví aplikace eBanky a HVB Bank. Obě nabízejí dostatečně silnou autorizaci a další služby, které napomáhají celkové bezpečnosti.

Našli jste v článku chybu?