Názory k článku
Čím a proti čemu se brání Česká spořitelna?

uživatelské jméno nelze zadat klepáním myší na vyobrazené klávesy. Pouze uživatelské heslo. Alespon pro FF a Operu to tak je.

presne tak...

To už zase ČS oprášila možnost použití kalkulátoru? No konečně teda snad, že jí došlo, jak bezpečná je to varianta!
Ale na několik let byla tahle možnost zrušená, kdoví, jestli to neni kec o tom obnovení...

Zadna varianta neni bezpecna, kdyz uzivatel je "debil".

Tak.

Když bude mít někdo PIN přilepený na kalkulátoru a bude ho všude válet, např. v práci na stole, tak "kolega" mu může nasadit do počítače keylogger a v nestřežený okamžik sebrat kalkulátor.

Zadna varianta neni a nikdy nebude bezpecna. :-)

Svoje vstupní údaje vkládám přesunutím z programu KeePass Pasword Safe; ty se na krátkou dobu objeví ve schránce a pak zmizí. Žádnou klávesnici tedy nepoužívám. Avšak i když někdo zjistí mé heslo, nemůže mi z účtu nic vzít, vzhledem k potřebě autorizačního čísla, který mi pošlou na mobil. Protože mám stále stejnou SIM kartu, nemusím chodit do ČS vůbec. Nejhorší je, když někdo zjistí uživatelské číslo; když je to vtipálek, může mi trojím vložením špatného hesla zablokovat účet. Potom ovšem musím jít do ČS, ale to se mi ještě nestalo. Jednou, když jsem naletěl na první phishing, který se tehdy vyskytl jsemsi takto zablokoval účet sám.

Blažená nevědomost...

Pokud vám někdo přišel na heslo, tak stačilo aby si přesměroval zasílaní autorizačního čísla na svůj mobil (což ještě před 14 dny spořka umožňovala) a pak už mu nic nebránilo vám vysát účet. V jste sice dostal SMSku, že teď se autorizační čísla posílají na jiný mobil, ale to vám bylo prd platné, protože tou dobou už jste byl bez peněz.

Ale jo, pokud to používáte tak fajn. Ono se vám pravděpodobně s účtem nikdy nic nestane. Pravděpodobně. Jenom vám doporučuji nezjišťovat si nic o bezpečnosti, protože jinak budete mít velmi neklidné spaní.

"Pokud vám někdo přišel na heslo, tak stačilo aby si přesměroval zasílaní autorizačního čísla na svůj mobil (což ještě před 14 dny spořka umožňovala) a pak už mu nic nebránilo vám vysát účet."

Kec.
Ve chvíli, kdy se to pokusil přesměrovat na svůj mobil, byl bych o tom informován i na svém mobilu, a měl bych tuhle zimu dvanáct, od jara 24 hodin na to, abych zavolal do spořky (ani bych tam nemusel chodit) a zastavil ho.
Vím, jak to funguje, protože jsem změnu čísla autorizačního mobilu absolvoval.

Já ten kec ještě doplním, mimo uvedené byla změna podmíněna zadáním čtyř náhodně vybraných znaků z osmi místného bezpečnostního hesla. Dříve se za bezpečnostní číslo považovalo číslo smlouvy, pak se zaměnilo za náhodně generované.

Nebo si jen opíše číslo karty a ....

taky si myslím. pingl si opíše číslo karty, objedná si zboží na box a je v pohodě. Variantou je nacvičit podpis a hodit příkaz do boxu. Všechno mi přijde jednodušší než se pídit po heslech, mobilech a ...

Blábol. Pokud tedy někdo má podpisový vzor na kartě, nic jiného si nezaslouží. Ale podpisový vzor je něco jako heslo, nejde o nějaký klikyhák, nemusí být vůbec shodný s vaším jménem.

1. Pinglovi nechavate podpis na uctence.
2. Pingl vam prijme nepodepsanou kartu?

Autentizační kalkulátor používám již od začátku nabídky možnosti ovládat účet přes net, tehdy to ještě nebyl servis 24,a pro zadávání hesel a úschovu používám KeyWallet, nevím jestli jede pod Vistou ale pod XP ano, vřele doporučuji (KeePass je taky špica, navíc jsou oba free a czech lang)

"Z minulosti jsou ale ze zahraničí známé i útoky proti tomuto systému, škodlivý kód ve standardním zobrazení sleduje danou oblast prohlížeče, zachytává klepnutí myší a podle souřadnic je schopen v některých případech přesně odhadnout stisknuté grafické klávesy."

"v některých případech přesně odhadnout"?

Jednoduše se udělá screenshot malé části kolem každého klepnutí myší.

Grafické klávesnice jsou myslím, jako zabezpečení, už dávno minulostí, a nechápu, že jsou tak prezentovány (natož na Lupě, nebo v bankách, kde se dá čekat minimální znalost problematiky).

Screenshoty by možná ani nebyly potřeba, neboť všechny klávesy mají určitou relativní pozici vůči tlačítku ODESLAT. Kdyby tlačítko bylo velké, tak by to jednoduše určit nešlo. Ale ono není a myslím, že možností by nakonec nebylo tolik, takže ve finále stačí posílat pouze X a Y hodnoty :-)

PS: metoda potichu předpokládá, že uživatel klikne na ODESLAT myší a tím celou předanou hodnotu opatření odvaří :-)

Jen tak pro zajímavost, co jsem vygooglil:

dal jsem "the best keyloger"

První odkaz: "http://www.supremtec.com/"

"
You can even configure it to take a screenshot on every mouse click and "Enter" key so you won't miss any event.
"

To je funkce, o které jsem mluvil, když má člověk na daném stroji keyloger, má k němu přístup, a není problém nainstalovat trojského koně, kterým přímo vidím jeho obrazovku, hýbu myší, vidím, co má ve schránce a vidím kam kliká.

Takže grafická klávesnice není zabezpečení. To je jen funkční vychytávka pro případy, když někdo nemá klávesnici a má pouze myš.

Zabezpečení je ověřování přes nezávislý zdroj (minimálně SMS na mobil, "klíčenka" od mBanky). Pokud má člověk na disku (na flash-disku...) svůj privátní klíč a podepisu jím, tak k němu má útočník (v případě trojanu) fyzicky samozřejmě taky přístup.

Prostě je třeba při zabezpečení uvažovat, a ne nabízet grafické klávesnice, které fungovaly proti keylogerům možná tak před 10 lety, teď jsou už ale naprosto nanic, protože každý pořádný keyloger umí snímat okolí myši...

Ale na bezpečný token žádná aplikace přístup nemá - jde vůči němu jen ověřovat, získat privátní klíč jednoduchým způsobem nelze.
Samozřejmě jde mít antibezpečný token, ale pak takový nekupovat a koukat na recenze a před koupí hledat ve vyhledávači, jestli na něm není nějakej známej bezpečnostní problém.

Btw, velmi bych se vyhýbal bezdrátovým myším a klávesnicím. Většina vůbec nemá přenos šifrovanej (přitom se o tom vůbec nemluví a neschopný firmy takovej šmejd vesele prodávaj dál v tisících), takže keylog si vesele taky může mít soused za zdí...

Otázka je, jestli když už mám přístup k tomu systému, rovnou není lepší nabourat komunikaci mezi bankovní aplikací a tím tokenem (aby se aplikaci pokaždé vracelo, že je vše vpořádku, to by ale šlo asi jen kdyby banka nepoužila klasickou asymetrickou kryptografii a něco udělala špatně (a že se to dějě celkem často...)).

Ohledně bezdrátové klávesnice máš pravdu (myš mám bezdrátovou, protože kablík omezuje a riziko je oproti klávesnici minimální (nevyťukávám hesla na grafické klávesnici :) ...)), taky mám raději klávesnici připojenou kabelem, a stejná rada platí i pro připojení přes WiFi, kde už jde poslouchat celý počítač.

To je ale nepohodlné. Vyžaduje to restart PC a při zadávání transakcí nemůžu vkládat čísla z jiného zdroje (nebo je naopak dávat do účetnictví).

To máš stejně jako s platebními kartami. Kdyby nebylo možné platit jednoduše přečtením údajů na nich vytištěných, tak se nikdy neprosadí.

Jde o to nastavit rozumný poměr mezi rizikem a uživatelským komfortem s tím, že za případné ztráty bude ručit banka.

A nějaké X, Y hodnoty,... Komu se s nimi chce "babrat" když je k dispozici pěkná série obrázků "h" "e" "s" "l" "a"...

Mysli uživatelsky příjemně :).

jen jsem nastinil variantu i pro pripad, ze by si screeny delat nemohl, nic vic jsem tim rict nechtel...

proste graficka klavesnice je nesmysl

Jasně, grafická klávesnice je nesmysl, a je to nutné stále opakovat, ať si to lidi uvědomí (je smutné, že o tom autor článku neví).

Pouzivaji to skoro vsechny nemecke banky, neobtezuje to uzivatele certifikaty (jako u KoBa, kde je treba instalovat tuny Javy, ktera obcas nekde funguje, jinde ne) nebo kalkulackami? Uzivatel ma papir s TANy, kdyz dojdou, banka posle nove, ktere se bud musi aktivovat (s pouzitim TANU ze stareho seznamu), nebo nemusi (trosku min bezpecne, to je ale dano nemeckym proistredim, obyc. postou v oddelenych zasilkach se posilaji i platebni karty a PINy k nim)

Me certifikat (na disku) vyhovuje vice nez nejake obtezovani se SMS a telefonky. Objednal jsem si totiz internetove a ne GSM bankovnictvi. Ta Java je sice opruz, ale krom toho ze se musi pravidelne aktualizovat jelikoz je to stale derave jak reseto (zlaty Microsoft proti tomu), to prilis nevadi.

Proc ? Protoze je to moc jednoduche. A banka by nemohla "objasnovat" neustale zdrazovani poplatku "lepsim" zabezpecenim.

Tvuj certifikat na disku neni bezpecnejsi nez tvuj pocitac. Kdyz si ho zas*, pardon zavirujes, tak tvuj bezpecny microsofti produkt odesle utocnikovi klidne i certifikat. Rekl bych ze certifat nenabizi skoro zadnou dodatecnou bezpecnost.

Oproti tomu vytahnout papirek s TAN ze srajtofle, opsat 6 cislic je opravdu bezpecne - pomineme-li pouziti nasili, riziko 3:1000000 (mas 3 pokusy) a pripad kdy nekdo ukradne soucasne ten papir i heslo do bankovnicti. A je to skoro i pohodlnejsi.

Ano, děkujeme panu Rozumprdovi za kvalitní názor.

a) Nekdo by si konecne mel posvitit na telefonicke bankovnictvi. System je naprosto tragicky. Pokud si zloduch da tu namahu a nainstaluje nekde ve vetsim panelaku odposlech, bude mit behem mesice vsechny potrebne udaje pro vysati uctu poloviny mistnich uzivatelu telebankingu. A to vubec nemluvim o VOIP. Kdyz jsem si pred odjezdem na dovolenou zvysoval limity na kartach, musel jsem rict do telefonu vsechna cisla karet, rodne cislo, klientske cislo atd. Naprosto _B_R_U_T_A_L_N_I_ !!!
b) Vubec bych se nedivil, kdyby za propagandou ohledne "utoku" na internetove bankovnictvi stala sama banka. Zatimco telefonicke bankovnictvi nevyzaduje zadne dalsi investice, internetove zere zdroje docela razantne, pritom telefunujici matka dvou deti stoji rozhodne mene nez IT picicmundove.

a) telebanking bylo to prvni co jsem u uctu ihned zakazal.

Telebanking jde "zakázat". Buď úmyslně zvolíte 3x špatný přihlášení nebo nastavíte denní limit na 0 (zvýšit lze pouze na pobočce).
Viz help na jejich stránkách + logika.

No a? Trocha te logiky by neuskodilo. Vsechno lze zakazat. Lze dokonce zmenit banku. Lze zmenit manzelku. Lze spachat sebevrazdu. Ale jedine pres telebanking nebo na prepazce si napriklad zvednete limity u karet. I kdyz mate autentizacni kalkulator. I kdyz mate limity na 0.

Drobnost - proč je nutné zadávat vždy celé heslo? Bezpečnější by bylo zadávat vždy jen určité pozice. Pak by případný útočník musel zkoušet štěstí víckrát, aby se něčeho dobral. Mám internetové bankovnictví u NatWest v UK a tam to maj. Přijde mi to jednoduché a efektivní.

No, kdyz jsem poprve videl Servis 24, tak jsem jen cekal, jak dlouho to bude trvat, nez to zlaka zlodeje.

Zabezpecit bankovni aplikaci kombinaci login / heslo a jeste ve webovem prohlizeci, to je proste opravdu malo. Takze z meho pohledu se konecne sporka rozhoupala a postupne se dostava na normalni uroven.

Z teorie je nejbezpecnejsi system ten, ktery delala eBanka (cest jeji pamatce) a nyni prevzalo eKonto RB. A to sice zasilat zabezpecenou autorizacni SMS, tedy takovou, k jejiz precteni je zapotrebi heslo. Mimochodem je to i nejpohodlnejsi zpusob, protoze jedine co si potrebuji pamatovat je me rodne cislo a 4mistny PIN.

IMHO, docela dobrým řešením by mohlo být něco na principu password cards od SAVERNOVA ( http://en.savernova.com/ ). Je to bezpečné skoro jako jednorázové heslo, dá se použít i na telefonní bankovnictví, není to (IMHO) zas až tak nepohodlné.

Jinak přes všechny výhrady, které k Servisu24 od ČS mám (a není jich málo), tu změnu čísla mobilu na pobočce bych jim nevyčítal.

Kvalitní iternetbanking je podle mého vlastní aplikace banky + přihlášení s pomocí klientského certifikátu. Jiné řešení ti nemohou zajistit dostatečné zabezpečení.

Takže security by obscurity?

Že tu aplikaci neumíš disassemblovat ty, ještě neznamená, že to neumí někdo jiný.

A pak si klientským certifikátem podepíše kdokoliv cokoliv.

Tak to je opravdu ultra bezpečné řešení. Lidé jako ty bankám navrhují bezpečné bankovnictví?

Není moc rozdíl mezi windows aplikací a webovou aplikací. Jen v tom, že webová aplikace se snadněji updatuje. A certifikát je docela OK, ale je to statická záležitost, která se mění tak jednou za rok. Nejlepší zabezpečení je vždycky kombinace různých prvků. Tzn jméno+heslo, certifikát, kalkulačka a pro větší transakce ještě autorizační sms.