Hlavní navigace

Bezpečnost českého internetového bankovnictví

Petr Krčmář

Finanční server Měšec vydal ve spolupráci se serverem Root studii, která analyzuje zabezpečení internetového bankovnictví v České republice. Protože se jedná o zajímavé téma i pro čtenáře Roota, řekneme si o studii více a představíme si nejzajímavější informace, které obsahuje.

Internetové bankovnictví jako takové umožňuje velmi rychle a jednoduše pracovat s financemi, ať jste kdekoliv. Protože běžný čtenář Roota je technicky zaměřený a zajímají jej novinky v oblasti IT, má k podobným nástrojům blízko.

O to zajímavější pro vás může být i internetové bankovnictví z hlediska počítačové bezpečnosti. Jednak je to zajímavé téma přímo pro Roota, jednak jde především o vaše peníze.

Na problematiku bezpečnosti lze obecně nahlížet ze dvou stran. Vedle sebe zde stojí technický aspekt a lidský faktor. Oba jdou ruku v ruce, a pokud klopýtá jeden z nich, objevuje se potenciální riziko. Uživatelský přístup je otázkou konkrétní informovanosti a zodpovědnosti. Naopak zabezpečení jako takové je téměř výhradně v rukou banky.

Kompletní studii si můžete stáhnout ve formátu PDF ze serveru IInfo.cz.

Přenos dat a autentizace banky

To je také tématem výzkumu, který probíhal v rámci přípravy celé rozsáhlé studie u třinácti českých bank. Nejprve byla zkoumána bezpečnost přenosu dat a ověření identity ze strany banky. Uživatel musí mít jistotu, že se data, která odesílá, nedostanou do nepravých rukou během přenosu ani na jeho konci.

Po této stránce je vše v pořádku a všechny banky obstály. Všechny používají dostatečně silné šifrování a certifikát vystavený u oficiální certifikační autority. Drtivá většina ústavů využívá služeb autority VeriSign, která je zárukou spolehlivé a bezpečné komunikace.

Prohlížeče

Na straně uživatele je kritickým prvkem obvykle internetový prohlížeč. Jeho bezpečnost je závislá na jeho aktuálnosti a zároveň na reakci výrobce na nově objevené bezpečnostní chyby a problémy.

Byly hodnoceny čtyři nejpoužívanější prohlížeče a bylo zkoumáno, kolik z objevených chyb ještě nebylo opraveno:

  • Internet Explorer 6.x  – 31 z 82
  • Mozilla Firefox 1.x – 7 z 19
  • Opera 8.x – žádná z 5
  • Konqueror 3.x – 1 z 10

Z tohoto hlediska jsou na tom alternativní prohlížeče jednoznačně mnohem lépe než Internet Explorer, jehož bezpečnost (nebo spíš nebezpečnost) je notoricky známá. Problém alternativních prohlížečů je však v podpoře na straně bankovních aplikací. Mnoho bank odmítá akceptovat jiné prohlížeče než ty od Microsoftu. Jediným řešením je přihlédnout k tomu už během výběru banky. Není nic horšího než pak udržovat v počítači druhý systém jen kvůli přístupu k účtu.

Autorizace uživatele

My uživatelé tedy máme bezpečnost dobře zajištěnou a jednotlivé aplikace jsou na tom velmi podobně. Dalším aspektem je autorizace v opačném směru – od zákazníka. Tady se už objevují podstatné rozdíly, kterým je potřeba věnovat náležitou pozornost. V České republice existuje několik možností autorizace bankovního klienta:

Pomocí uživatelského jména a hesla, certifikátu na čipové kartě nebo tokenu, autentizačním kódem zasílaným na mobilní telefon nebo kódem generovaným autentizačním kalkulátorem. Polovina bank pak nabízí výběr z více možností.

V tomto směru není situace tak růžová, jak by měla být. Polovina bank používá jako jedinou možnost ověření totožnosti uživatele prosté přihlášení pomocí jména a hesla. Hrozí tedy velké nebezpečí kompromitace hesla, ať už pouhým „nahlédnutím přes rameno”, nebo napadením systému klientského počítače.

Z tohoto důvodu jsou mnohem vhodnější jednorázová hesla zasílaná pomocí SMS nebo generovaná přímo v autorizačním kalkulátoru, který dostane uživatel od své banky. Jedná se v obou případech o nezávislá zařízení, která nejsou s počítačem nijak propojena, takže nemohou být dálkově zneužita útočníkem. Odposlechnutí přihlášení je v tomto případě k ničemu, protože hesla jsou jednorázová a po prvním použití přestanou platit. Navíc jsou často vázána na konkrétní operaci.

Automatické odhlášení

Dalším tématem, kterým se studie zabývá, je automatické odhlášení uživatele po určité době nečinnosti. Zde je ovšem na místě otázka, kolik škody může napáchat cizí uživatel v cizí bankovní aplikaci. Většina dalších transakcí je totiž obvykle podmíněna novou autorizací klienta.

Rozumný uživatel také nepoužívá internetové bankovnictví na místech, kde by počítač mohlo využívat více lidí. Na domácím a dostatečně chráněném počítači podobné riziko nehrozí. Můžeme parafrázovat známou větu:

Kdo volí pohodlí před bezpečností, nezaslouží si ani jedno.

Závěr

Bezpečnost by měla mít u bank maximální prioritu a měla by být naprostou samozřejmostí. Nejde přeci o nic menšího než o reálné peníze. Bohužel i banky mají jistý podíl na tom, že uživatelé jejich služeb volí méně bezpečné metody ochrany. Ty lepší a účinnější jsou mnohdy zpoplatněny zvláštními poplatky, které mnoho zákazníků odradí.

Závěr zprávy hodnotí jako nejbezpečnější internetové bankovnictví aplikace eBanky a HVB Bank. Obě nabízejí dostatečně silnou autorizaci a další služby, které napomáhají celkové bezpečnosti.

Našli jste v článku chybu?

20. 7. 2005 12:54

SEDA (neregistrovaný)
U CS je bezpečnost v současné době tak myzerná že bych jim moje peníze nesvěřil, ale nadruhou stranu jsem shodou okolností četl článek že ČS zavadi uplně novej systém elektronického bankovnictví kterej by měl bejt na znatelně lepší urovni než je teď. A zavedení do plného provozu je snad v Září 2005.
Ale i přesto ČS nemám rád a je drahá.

SEDA


2. 7. 2005 15:40

hisaak (neregistrovaný)
Pozuva jeste rb i ty applety, kterym se pomoci java policy muselo povolit vsechno a ty (a asi nejen ony) si pak mohly trajdat libovolne po celem disku? To reseni me tehdy (cca 2 roky zpet) dost pobavilo. :-)
Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo