Jak bezpečné je vaše internetové bankovnictví?

Nejrozšířenější autentizační techniku v počítačovém světě odjakživa představovala hesla, případně různé PIN kódy apod. – tedy obecně techniky založené na ověřování znalosti něčeho. Ani tato možnost ověřování identity samozřejmě nechybí v nabídkách internetového bankovnictví u různých bank, nicméně prim hrají modernější a bezpečnější techniky.

Klasická hesla mají hned několik nevýhod. Asi největší hrozbu představují takzvaná slabá hesla – uživatelé si snaží usnadnit práci a šetřit mozkové závity, takže často volí snadno zapamatovatelné, avšak zároveň odhadnutelné varianty. Některé systémy proto vyžadují hesla splňující specifické parametry, mezi něž patří například délka, počet číslic apod. Pokud je heslo příliš složité, uživatelé si jej raději poznačí na papírek, takže ani tudy cesta nevede. Mezi nesporné výhody hesla naopak patří fakt, že jej uživatelé mají stále u sebe, díky čemuž se mohou ke svému účtu přihlásit prakticky odkudkoliv.

To se již tak úplně netýká certifikátu, dalšího z autentizačních prostředků. Samozřejmě si jej uživatel může uložit na nějaké přenosné médium a mít jej tak stále při sobě, nicméně práce s ním na jiném počítači už nemusí být natolik přímočará jako v případě hesla. Samotné certifikáty samozřejmě bývají doplňovány heslem, čímž se zvyšuje bezpečnost použití.

Autentizační kalkulátory představují hardwarovou variantu ověření uživatelovy identity. Přístup do nich je chráněn PIN kódem, po jehož zadání se vygeneruje heslo s omezenou časovou platností. Právě pomocí tohoto hesla pak uživatel potvrzuje provedení nějaké operace na bankovním účtu nebo přístup k němu. Autentizační kalkulátory obecně představují nejvyšší stupeň zabezpečení z nabízených možností, opět se však jedná o techniku, která vyžaduje, abyste při sobě něco nosili.
Hlavní část tohoto článku vyplní informace o zabezpečení vybraných produktů internetového bankovnictví různých bank, přičemž všechny údaje byly získány z toho nejsnáze dostupného zdroje – jejich domovských stránek.

Citibank – Citibank Online

U produktu Citibank Online je pro přenos informací po nechráněném kanálu používán protokol SSL. Pro úspěšné přihlášení musí klient do internetového prohlížeče zadat číslo své debetní karty a vstupní kód označovaný zkratkou HPIN. Při následném ověřování klientovy totožnosti se praktikuje schéma autentizačního protokolu typu výzva-odpověď (challenge-response), kdy banka v prvním kroku pošle klientovi náhodné číslo – jedná se prakticky o onu výzvu. Na straně klienta se vytvoří odpověď zašifrováním tohoto náhodného čísla algoritmem 3DES, kdy jako další parametry do šifrování vstupují číslo debetní karty spolu s HPIN. Banka celý proces autentizace ukončí kontrolou správnosti odpovědi.

Česká spořitelna – Servis 24 Internetbanking

Pro přihlašování do aplikace Servis 24 Internetbanking lze volit z širší škály autentizačních technik. Kromě základního ověření totožnosti dvojicí identifikátor-heslo se dále nabízí možnost využití kódu z autentizačního kalkulátoru nebo klientského certifikátu. Při prvním použití musí být navíc služba Internetbanking aktivována zadáním dalších specifických údajů (číslo klientské smlouvy). Aktivní transakce, které přesahují uživatelem stanovaný limit, se musí ověřit pomocí autentizačního kalkulátoru DigiPass nebo klientského certifikátu. Přímo v aplikaci lze nastavit zasílání informačních zpráv o přijatých transakcích či změně zůstatku nebo překročení/poklesu zůstatku oproti nastaveným limitům. Také Česká spořitelna sází na šifrovanou komunikaci pomocí SSL, což je ovšem pravidlem prakticky u každé banky.

ČSOB – Internetbanking 24

Při zřizování služby Internetbanking má klient na výběr mezi dvěma způsoby autentizace – elektronickým podpisem nebo SMS klíčem. V případě prvně jmenované možnosti klient obdrží čipovou kartu, na níž jsou uloženy některé jeho údaje a certifikát k elektronickému podpisu. Do systému se pak přihlašuje pomocí této čipové karty a k autorizaci aktivních operací využívá elektronického podpisu, který se na čipové kartě generuje a je unikátní pro každou operaci. Čipová karta je navíc sama chráněna PIN kódem.

Pokud si uživatel zvolí druhou alternativu autentizace, tedy ověřování na základě SMS klíče, pak pro přihlašování využívá identifikační číslo a jemu odpovídající PIN kód. Autorizace aktivních operací je realizována zasíláním autorizačních kódu pomocí SMS na uživatelův mobilní telefon. Tento autorizační kód tvoří devítimístný řetězec jak písmen, tak čísel a pro každou operaci se generuje nový. Pro přehlednost je navíc zmiňovaný devítimístný kód rozdělován do skupin po třech znacích oddělených pomlčkou (například xvc-2fw-e6i).

eBanka

Pro přístup na svůj účet mají klienti eBanky k dispozici hned několik zajímavých technik zabezpečení přístupu – jedná se o takzvané Elektronické klíče. Ty zahrnují Mobilní Elektronický klíč, Mobilní Elektronický klíč SMS, Internetový Elektronický klíč a Osobní Elektronický klíč.

Mobilní Elektronický klíč využívá GSM SIM Toolkit, přičemž přístup k Mobilnímu Elektronickému klíči v telefonu je chráněn speciálním osobním identifikačním číslem a všechna komunikace s bankou probíhá šifrovaně.

Mobilní Elektronický klíč SMS nalezne uplatnění například u majitelů SIM karet bez podpory GSM SIM Toolkit. Pro přístup k účtu se využívá čtyřmístný číselný kód I-PIN, který uživatel získá v eBance při aktivaci Mobilního Elektronického klíče SMS (lze jej kdykoliv změnit).

Internetový Elektronický klíč slouží k vytváření a ověřování zaručených podpisů. Tyto podpisy se připojují ke každému pokynu a zajišťují jednoznačnou identifikaci uživatele i neporušenost pokynu během přenosu do banky.

Elektronický klíč je samozřejmě chráněn přístupovým heslem.

Osobní Elektronický klíč není ničím jiným než hardwarovou alternativou, přístup k němu je chráněn čtyřmístným PIN kódem.

GE Money – Internet Banka

K ochraně přístupu do Internet Banky je vyžadována znalost správného hesla, všechny aktivní operace klient navíc musí potvrdit podpisovým certifikátem. Heslo pro přístup do Registrační autority uživatel získává při podpisu smlouvy, nelze jej změnit, a po jeho prvním použití ho již není možné samostatně pro přístup do Registrační autority použít. U dalšího produktu Internet Banka Genius stačí k připojení osmimístné heslo, nejsou zapotřebí žádné certifikáty.

HVB – Online Banking

Služba Online Banking sází na zabezpečení pomocí hardwarového autentizačního kalkulátoru, takzvaného bezpečnostního klíče. Vzniklé autentizační kódy mají platnost 30 vteřin a generují se po zadání správného PIN kódu. Pokud uživatel třikrát za sebou zadá špatný autentizační kód, dojde k zablokování přístupu do aplikace Online Banking. Pro každou transakci je nutné vygenerovat nový autentizační kód a PIN kód pro přístup do bezpečnostního klíče lze kdykoliv změnit přímo pomocí kalkulátoru.

Komerční banka – Mojebanka

Pro založení a používání služby Mojebanka si klient v první řadě musí vytvořit vlastní osobní certifkát (Komerční bankou autorizovaný veřejný RSA klíč délky 1024 bitů), který bude potřebovat pro budoucí přihlašování a podepisování jednotlivých transakcí. Generování osobního certifikátu probíhá ve třech základních krocích:

1. Klient na domovských stránkách Komerční banky spustí Certifikačního průvodce, vyplní v něm elektronickou žádost o osobní certifikát a odešle ji do banky.
2. Klient navštíví pobočku Komerční banky, u které má veden svůj účet, a uzavře zde potřebnou smlouvu.
3. V certifikačním průvodci si klient vyzvedne funkční osobní certifikát, se kterým může okamžitě používat službu Mojebanka.

Přístup k osobnímu certifikátu uživatele je chráněn heslem, které si určuje a zná pouze uživatel, nebo PIN kódem v případě čipové karty.

Raiffeisen Bank – Internetové bankovnictví

Při prvním přihlášení do aplikace Internetového bankovnictví klient potřebuje své přihlašovací jméno a heslo pro první přihlášení (oba údaje klient získá při zřizování služby). Pro používání Internetového bankovnictví pouze pro pasivní operace, tedy bez možnosti zadávat platební příkazy, není vyžadován Podpisový certifikát – v kontrastu s variantou Internetového bankovnictví včetně aktivních operací. K dokončení prvního přihlášení je ještě nutné si zvolit nové přístupové heslo, které musí být minimálně osm znaků dlouhé a musí obsahovat alespoň jednu číslici a alespoň jedno písmeno. Pomocí tohoto nového hesla pak v budoucnu probíhá přihlašování do aplikace Internetového bankovnictví. Zadávání příkazů a žádostí musí být potvrzeno pomocí podpisového certifikátu, který je chráněn zvláštním heslem.

Živnostenská banka – NetBanka

Také aplikace NetBanka důvěřuje technologii elektronického podpisu. Pro přístup do ní je zapotřebí znát uživatelské jméno, heslo a mít SSL certifikát. Při provádění libovolné finanční operace navíc přichází na řadu i podpisový certifikát.