Názory k článku
Jak bezpečné je vaše internetové bankovnictví?

Podle mě je součástí bezpečného bankovnictví i to, co není vidět a banky z pochopitelných důvodů o tom nezveřejňují podrobnosti - systém odhalování podezřelých transakcí a přístup k reklamacím.

Také by měl být dodržen princip adekvátnosti ochrany. Čím dokonalejší ochrana, tím zpravidla více obtěžuje klienta a je náročnější na podporu. A může také klienty úplně odradit. Zdá se mi, že když banka s celosvětovou působností, jako je Citibank, používá pouze heslo a nechce žádné certifikáty, kalkulátory, SIM Toolkity nebo SMS, tak snad ví, co dělá. Pro méně zkušeného uživatele může být použití takových technik problém, v některých kombinacích OS/prohlížeč certifikáty nemusí dobře fungovat, zadávání údajů o platbě do "kalkulačky" od ebanky je dost nepohodlné, SMS se občas opožďují...

Proto také tak dlouho trvá zavádění bezpečnějších platebních karet - jednoduchost vítězí.

Faktická - nevím jaké máte zkušenosti s bankovními SMS ale já je u eBanky používám a ani u mě (Oskar) ani u ženy (Paegas) jsem nikdy neviděl žádné viditelné zpoždění. Vždy SMSka s heslem přišla do max 5 sekund. Eurotel nemohu posoudit ale nepředpokládám, že by byl horší.

Já měl Ebanku a Oskara, většinou to opravdu chodilo do 5 sekund, ale párkrát to byly i desítky minut. Možná je to teď lepší, nevím, účet u Ebanky jsem před časem zrušil.

V jiných diskusích jsem četl, že Oskar a T-Mobile jsou v pohodě, ale s Eurotelem že bývají problémy. Je to ale informace z ruhé ruky, tak nevím, jak je přesná.

Eurotel vpohode - bezi to fakt rychle. Obcas byva spozdeni, ale to je treba 31.brezna kdyz vsichni plati dane :-) Ale to je proste sim, ze tam plati ted den kupa lidi :-D

Ja mam zkusenosti s SMS potvrzovanim u CSOB. Je tam casovy limit 10 min na zadani kodu a u T-Mobie jsem s tim nemel nikdy problem, chodi to vzdy v prubehu prvni minuty. Toto reseni mi prijde velmi elegantni, jednoduche a relativne i bezpecne. Rozhodne lepsi, nez pouze login a heslo. Je to jedna z mala prednosti CSOB...:o)

Taky mám ČSOB a pro změnu Oskara a stejně jako Vám, i mě chodí autorizační kód v průběhu první minuty. Spíš bych tipnul, že během 30 sekund od zadání transakce.

Obecne je SMS zcela negarantovany kanal. Mne treba dnes dorazila SMS posilana na Eurotel se sedmi hodinovym zpozdenim!

parkrat za necely rok se mi stalo, ze SMS nedosla, tak jsem ji nechal poslat jeste jednou a dosla za par vterin.

Osobne bych si do banky, ktera dostatecne nechrani pristup k uctu, penize nedal, pristup pres mobil u eBanky mi pripada trivialni je daleko spolehlivejsi nez pristup pres PIN.

Ano. Pristup pres mobil je skutecne velmi jednoduchy. Prakticky se to nelisi od bezneho zadani hesla s tim rozdilem, ze si zadne heslo nemusite pamatovat a pokazde je jine.

A pro zneuziti staci telefon (nejlepe zaply) ukrast a dostatecne rychle se dostat k internetu.

Ano, zcela běžně se stává, že v okamžiku kdy platím via net vtrhne do bytu či kavárny zločinec, ztluče mě, ukradne mobil a ještě přepíše účet příjemce... a vygeneruje tak nový kód.... a ještě se vrátí mě dokopat, abych mu sdělil MPIN. ;-)

Coz ale stale nedosahuje miru bezpecnosti face-to-face generovanych OTP (ano, na MEk mne do dnes nikdo nedostal, radsi dinosaurus, ale v bezpeci, za tech par stovek to stoji).

Ja to pouzivam s ET a problemy s tim nejsou. Jen asi dvakrat zhruba pred rokem dorazila sms tak pozde, ze uz byla neplatna. Jinak je to kolem 5-10 sekund.

Používám připojení přes GPRS u Eurotelu. Při použítí služeb Intentetbankingu ČSOB (s ověřením přes SMS zasílanu na stejný telefon, přes který se připojuji) se mi stává, že mi SMS s potvrzovacím kodem přijde v čase +10min (téměř na sekundu přesně). Interval, kdy je možné operaci potvrdit je právě těch 10minut. Proto je pro mě služba prakticky nepoužitelná a s posláním 300Kč bojuji už třetí den, takže budu muset použít internetové přípojení ze zaměstnání. Platební příkazy zadávám přes internet velmi zřídka (tak jednou za 1/4 roku) a pokaždé je to stejný boj. Občas, na druhý třetí pokus, nebo když opetaci odložím na další den, se povede, že SMS příjde včas (v tomto kole bohužel ani jednou). Dle helpline je důvod následujíci.

cituji:

banka odesílá autorizační kód okamžitě, ale ve chvíly kdy se odesílá z SMS centra EUROTEL ještě probíhá načítání stránky takže je datový kanál pro odeslání SMS obsazem. SMS je odeslána znovu po internalu, který je nastaven v SMS centru. A to v některých případech může přesáhnout i 10 min.

konec citátu

Z korespondence s helpline jsem pochopil, že banka o problému ví, ale není tam cítit ani náznak snahy o řesení (např. posílat SMS se zpoždení pár sekund; čas kdy se stránka přes GPSR načte se dá s jistou přesností odhadnout).
Máte-li někdo stejný problém jako já, můžu proto doporučit jediné řešení - zamyslet se nad výběrem jiného vhodného produktu (banky).

pokud cekate sms, zkuste vytocit nejake cislo a to prozvonit
prerusi se tim spolehlive gprs a uvolni misto pro prichod sms

JJ, to je ono. Autor se o tom sice přímo nezmiňuje, ale předpokládám že očekává sms na stejný telefon, kterým je připojený - no a pak vznikají takové fámy..

Aha zmiňuje, no tak tím spíš..

Zahranicni banky nam prave zavideji, ze se nam podarilo vyhnout se jejich chybam (diky pozdejsimu zavadeni e-bankingu) a rovnou jsme klienty natlacili do bezpecnejsich autentifikacnich metod nez pouha hesla. Problem je, ze na Zapade si klienti zvykli na jednoduchost a primet je se "prudit" s certifikaty je problematicke. Pak jsou z toho vsechny ty problemy s phishingem a podobnymi hratkami.

No vzhledem k opravdu vstricne politice nasich bank v oblasti ochrany klientu proti zneuziti jejich prostredku (zadna neni) se neni cemu divit, ze sami klienti vyzaduji vysoke zabezpeceni. U slusne banky ruci klient za podvodne oprace do velmi nizkeho limitu. V Cesku klient zacaluje vsechno a banky se panicky brani prevzit alespon nejakou ochranu nad klientem - at uz se jedna o elektronicke bankovnictvi nebo platebni karty.

Nějaká osobní zkušenost ? Nebo jen pivní řeči ?

Neviem presne ako je to s rucenim u transakcii cez internet, ale zato priklad s platobnou kartou u CSOB:
Zhruba pred pol-tristvrte rokom (mozno aj viac, nepamatam si presne) zacala zavadzat CSOB cipove karty, kde nestaci len podpis, ale zaroven aj pin. Pri preberani karty som dostal ponuku na poistenie karty (tusim 150-200 na rok). Lenze plati to len ak vam niekto neukradne pin. Tj. v pripade sfalsovania podpisu. Kedze cipove karty vyzaduju vzdy pin, tak je to uplne zbytocne. Vraj existuju starsie terminaly, ktore cip nevedia precitat, ale zatial som sa s takymi nestretol. Tolko k ochrane proti podvodnym platbam. Nemyslim si, ze by to pri internetovom bankovnictve bolo ine.

Terminály, které neberou čipové karty ještě existují. Navíc karta se dá zneužít i jinak než jen protažením mg. proužku čtečkou. PIN zná jenom držitel karty, takže za jeho zneužití nemůže nést banka odpovědnost. Celkově mi ty podmínky ČSOB připadají logické.

Mám elektronickou VISA kartu, čipovou, která však krom čipu má i magnetický proužek...Právě proto, že se čipovky teprve zavádějí (alespoň podle infa mé banky - ČSOB).

Pokud musim s cipovou kartou zadavat pin pri kazdem nakupu i v tech nejmensich obchodech, tak muj pin zna teoreticky kazdy, kdo ma pristup k tomu zarizeni... Verim tomu, ze vyloudit muj prave zadany pin z bankomatu je znacne obtizne, takze toto "riziko" s klidem podstupuji. Pokud nekdo upravi zarizeni v obchode tak, ze si zapamatuje nejenom cislo karty, ale i pin, tak sem totalne v pytli a nikdy se niceho u banky nedomuzu... Cipova karta nechrani klienta... Chrani banku.. Prenasi dalsi rizika na klienta.

Hlavni vyhodou chipove karty je, ze ji nelze trivialne zkopirovat. Takze uz nehrozi to co dnes, ze v restauraci si vasi kartu klidne zkopiruji vcetne pinu diky upravenemu zarizeni a pak si vyrobi duplikat. Vyrobit duplikat k chipove karte neni tak jednoduche.

Vse je jednoduche k mire investic... tak jako lze tisknout bankovky odpovidajici kvality, tak jako lze vyrabet libovolne karty apod. tak jde i vyrobit kopii cipove karty, nevedomost a pocit falesneho bezpeci je u cechu uzasny...:-)

Je to jeste lepsi, pokud vim, tak maj banky napr ve smlouve ke karte, ze ruci za ztraty az 24h po nahlaseni kradeze/ztraty karty => naprosta neschopnost zajistit okamzite blokovani karty.

Aha, Lupa se musi dvakrat potvrzovat...
Takze jak jsem psam v zahozenem prispevku :-( - podivejte se do smluv k uctu, k platebni karte apod. A skutecne tam zjistite ze nase banky neruci za nic. Naopak jim musite horko tezko dokazovat, ze ten podpis zezadu na karte vypadal uplne jinak, nez ten na uctence apod.
Plus perlicka - tech 24 hodin vynasobte dvema, protoze nekteri obchodnici zuctovavaji platby obden a pro ne se ta lhuta prodluzuje...

Ve smlouvách to mají, ale mě zajímá, jestli se někomu skutečně stalo, že by mu banka odmítla uhradit škodu s odvoláním na tuhle podmínku. Že by žádal blokaci karty, za dvě hodiny by mu z ní někdo vybral a banka by ho poslala do háje.

Ale kulovy - mam s bankou smlouvu na 24 hodin od nahlaseni? (neni ta formulace nahodou do 23:59 nasledujiciho dne - to je dost podstatny rozdil!!!) Pokud ano, tak mne jine logisticke procesy jsou srdecne ukradeny a kdyz bude banka cukatura, staci ombudsman.... - po shlednuti nekolika reportazi mam pocit, ze ten na banky plati jak cert...

Čipové karty ČSOB jsou obyčejné hybridy a bohužel se s nimi dá platit bez PINu na imprinteru.Až se někdy dočkáme čisté čipovky můžeme se bavit o bezpečnosti plateb kartou.

Pletete si embosovane karty pro imprinter (tj. absolutne nechranene) a elektronicke s magn. prouzkem. A cipova karta to je dalsi, treti krok v ochrane karet.

Nemate pravdu. Chip nijak nesouvisi s tim jestli je karta embosovana ci nikoliv. Chip muze byt jak na elektronicke tak i na embosovane karte. Stejne tak neplati, ze neembosovana karta je vyssi stupen ochrany. Tyto karty jsou brany jako lite verze pro mene narocne zakazniky a jejich pouzitelnost (napriklad v zahranici) je *VELICE* omezena. Jsou to proste kusy plastiku urcene primarne na vybirani z bankomatu a sem tam na nejakou tu platbu ve velkem tuzemskem obchode.

Souhlasim, embosovane karty, nyni treba i s cipem, jsou (stale) preferovane z duvody rozsireni "zehlicek" u maloobchodniku po svete. Problem je v tom, ze tam, zejmena v Americe banka ruci i za offline operace, provedene ihned po nahlasene kradezi. U nas je ta doba podstatne delsi tusim pri pouziti "zehlicky" i nekolik dnu, takze by vam behem te doby zlodej-znalec po malych castkach mohl pekne vyluxovat ucet. Ale je faktem, ze pro drzitele gold karty par (desitek) tisic asi nebude podstatne...

Nejsem autor názoru, nicméně nelze tvrdit, že to jsou pivní řeči. Stačí si přečíst obchodní podmínky jednotlivých bank. V nejlepším případě začnou ručit od půlnoci dne, kdy kartu zablokujete. Do té doby Vám přes imprintery v obchodech vyluxují účet.

To neni tak uplne jednoduche. Banka kartu zablokuje okamzite a od te chvile neni mozne provadet zadne transakce pres MUZO. Takze zbyvaji akorat ty popularni zehlicky, ovsem ty ma dneska par procent obchodu. Navic obchodnici se zehlickami obvykle vetsi transakce overuji telefonicky, ci-li zase smolik pacholik. Mnohem vetsi riziko nez zneuziti ztracene karty jsou karty okopirovane vcetne PINu ruznymi zpusoby. Tam na to totiz prijdete az kdyz vam zmizi penize.

Krome toho, ze v pripade eBanky ta stoplistace stoji u MC i dnes 1.900,- Kc (zde), tak je garantovana do 24:00 dne nahlaseni (zde - Odpovednost eBanky). Nejaka zehlicka za X dnu mne fakt netrapi a je to problem jinych...

Krome toho bych si dovolil podotknout, ze v pripade vetsi castky (napr. nad 4.000,- Kc) ma pravo obchodnik po Vas chtit prokazat svou totoznost (OP) a od 1.1.2005 ma pravo obchodnik na Vas prevest poplatky, ktere karetni asociaci odvadi (EuroPay) - podminkou je viditelne informovani klienta na platebnim miste (pokladna) pred provedenim transakce - zatim toho zrejme nikdo nevyuziva, ale co neni muze byt...

Pokud za pivni reci povazujete podminky smlouvy, pak si je vedte jinde. eBanka v tomto to dokonce dovedla ab absurdum, kdy klient platil ne zrovna zanedbatelnou castu (tusim, ze 200 nebo 500 Kc) i v pripade OPRAVNENE a uznane reklamace platebni kartou...

Ale Pajo.. platils to ty osobne? Tohle se tykalo pouze plateb pres internet a neplatilo to pro transakce "internetovou" kartou (kterou kratce predtim zavedli). No a ted uz to neplati vubec, jenom neopravnena reklamace internetove platby fyzickou kartou je drazsi nez reklamace platby "internetovou" kartou.

To ze uz toto ustanoveni neplati je pro mne novinka. Jednak se na aktualni cenik Alfa programu jiz neda dostat - mozna je nekde hluboce zanoren aby nebyly videt ty palky za jine sluzby:-), jednak je zcela postaveno na hlavu to, ze platim za reklamaci - radnou, uznanou a opravnenou... - to myslis vazne, ze si koupis zbozi (odeberes sluzby) a jen z toho duvodu, ze nekdo jiny udela chybu zaplatis 500,- Kc? A ta super duper Inet karta je fakt kauf... to uz je lepsi (mimo jine i pro tvoji serioznost) investovat 500,- Kc rocne do vedeni dalsi platebni karty (radne) a tou platit ciste na Internetu...

Na cenik programu Alfa se dostat da: http://www.ebanka.cz/index_OF_1.htm a to dokonce primo ze stranek eBanky. Schvalne, kdo najde, odkud vede link :) Sam jsem kvuli tomu kdysi musel volat na infolinku. Ve tri v noci, jak je mym zvykem, a beru jako velkou vyhodu, ze jsem s tim nikdy nemel problem.

Nechapu, co ma internetova platebni karta spolecneho se serioznosti. Je to normalni EC/MC karta, jenze virtualni tj. neexistuje v plastikove podobne a da se pouzit pouze pro MOTO transakce. Ona se snad u obchodnika da nejak odlisit od te "skutecne"? Nedavno jsem si ji poridil a zatim jsem spokojen. Obzvlaste se mi libi moznost automatickeho zamykani po provedeni platby. Kvuli tomu jsem si ovsem musel zmenit cenovy program, jelikoz Alfa to nepodporuje.

Co se tyce tech 500 Kc, mate zvlastni zpusob argumentace. Nejdriv bud 200 nebo 500, nevim jiste a pak najednou 500, ackoli tolik to nikdy nebylo. Jinak souhlas, platba za opravnenou reklamaci je nesmysl. Nove programy to uz nemaji, Alfa pro e-commerce ano. Doporucuji pozadat banku o vysvetleni a domahat se napravy. Nedavno jsem absolvoval vymenu nazoru na podobne tema s osobni bankerkou; cim vic nas bude, tim lip. Nektere poplatky jsou skutecne nesmyslne a je treba to dat najevo.

Hmm.. na tom linku je prehled osobnich financi, clovek inteligentni by zalovil v polozce Cenik a sazby, lec tam nic nenachazi, nu dobra, je to historicka vec, tak pujde do dokumentu, lec taky mimo... - Mne osobne to ted prilis nevadi, banka je povinna (a cini to) mne informovat o zmenach v sazebniku nebo podminkach, takze to projdu vzdy kdyz neco zmeni...

Co se tyce tech 500,- kc - muzete tedy rici kolik to je, mne tech 500,- Kc potvrdilo nezavisle na sobe nekolik jinych lidi, proto jsem z argumentace 200 | 500 presel na 500

Co se tyce poplatku je vcelku iluzorni, ze timto dosahneme nejakou zmenu - asi si pamatujete aferku okolo zruseni dvou mesicnich vyberu z bankomatu zdarma, pripadne zcela zruseni diskusnich for ze stranky tehdejsiho vedeni jeste Expandia banky...

Internet card neni plnohodnotna karta - sam jste na to narazil, kdyz jste chtel provest operace, ktere s beznou kartou ve svem programu muzete - musel jste prejit a verim, ze pri vyssi mire snahy tech "vyjimek" najdete daleko vice...(BTW to zamykani a odemikani na strane klienta je stale ta podivuhodna castka, jejiz vyse se Vam v plnohodnotne EC/MC vyplati jiz u nekolika transakci za rok?)

No jo, ten link je blbe. Zase jedny inteligentni stranky, ktere nezobrazuji spravne linky. Omlouvam se, mel jsem to zkontrolovat a ne slepe zkopirovat z adres baru. Spravny link je taky: http://www.ebanka.cz/Ceniky/FO-Cenik-Alfa-Beta-Gama.htm a Cenik a Sazby je spravny zacatek, jak se tam proklikat :)

Spravna castka podle toho ceniku je 250 a 350 Kc, kolik to bylo v minulosti nevim zcela jiste, ale 500 skoro urcite ne.

Co se tyce stiznosti, ano, pokud k tomu budeme pristupovat takhle, niceho nedosahneme. Ja si naopak myslim, ze veci se menit daji a mam v tomhle smeru dobre zkusenosti. Je pravda, ze prevazne v zahranici. Nicmene, i eBanka nektere pozadavky potichu uznala a upravila. V posledni diskusi jsem aspon dosahl toho, ze mi nektere poplatky stornovali. Proste si myslim, ze kdyz clovek s necim nesouhlasi, ma se ozvat a snazit se o zmenu. V tehle zemi je bohuzel zazity opak a verim, ze je to jeden z duvodu, proc jsou banky proti zahranici tak drahe.

Co se tyce internetove karty, pro MOTO transakce to je plnohodnotna karta. Asi jsem se spatne vyjadril -- typ uctu jsem musel menit proto, ze zamykani a odemykani neumoznuje program Alfa pro zadnou kartu. O zadnych vyjimkach nevim. Mam pocit, ze za jeden cyklus zamknuti/odemknuti platim 2.90 (Plus zdarma) a je to stejne pro internetovou i normalni kartu. Mozna byste si o tom mel nebo precist nebo si zavolat na infolinku, evidentne jste si zafixoval mylne informace.

Bezpecnost neco stoji a posilani hesla po siti ve mne pocit bezpeci opravdu nenavozuje...

PS: Uvedomil jste si, ze jako osamoceny poutnik nemuzete banku zruinovat uspesnou reklamaci?

V trochu bombastickém nadpisu je položena otázka "Jak bezpečné je vaše internetové bankovnictví?", ale tato otázka zůstává otevřena i po dočtení článku. Nemělo by se to spíš jmenovat "Stručný přehled autentizačních technik"? :)

Hrozbou číslo jedna je momentálně takzvaný phishing, kdy je uživatel vyzýván k zadání svých údajů na falešné stránky banky. Dosavadní případy se zatím týkaly jen zahraničí, ale i v ČR je nutné uvažovat mírně paranoidně a všechny podezřelé události ověřovat.

Některé ověřovací metody před phishingem chrání, některé ne. Zjednodušeně se dá říct, že prosté ověření jménem a heslem je zranitelné, ale je chyba klienta, že své heslo někomu vykecal. A tak na to pohlíží i banky.

Větším rizikem jsou zachytávače kláves (keyloggery), díky kterým lze obejít i dokonalejší techniky. Samotné certifikáty obvykle nestačí. Naopak ověření transakcí přes SMS je poměrně bezpečné.

Tyto případy jsou i v ČR. Nedávno proběhla médii zpráva, že KB nechce odškodnit klienta, jehož účet byl vykraden právě pomocí odchytávače kláves. Klient zas argumentoval, že "měl antivirus".

Absolutní minimum pro ochranu: nespouštět software z neprověřených zdrojů, kvalitní antivirus, kvalitní firewall, bezpečný prohlížeč WWW. Nepoužívat internetové bankovnictví založené na prostém ověření jména a hesla. Nedůvěřovat, prověřovat.

To ze mel klient antivirus je sice mozne, ale nikoliv relevantni. Klient je zodpovedny za bezpecnost sveho pocitace. Z hlediska banky to byla spravne autorizovana transakce a tudiz ji banka zprocesovala. Problem je jednoznacne na strane klienta.
Otazkou je jestli byl vubec pouzit odchytavac klaves. Spousta klientu si nechava svuj stroj udrzovat sousedovic Pepikem, heslo k certifikatu mu bud rovnou reknou (nejde mi banka) a nebo ho maji v textaku primo na plose. No a kdyz se Pepik rozhodne neco si privydelat, tak ...
Uz uplne zbesile je, kdyz si klient necha zprovoznit bankovnictvi externi firmou a preda jim k tomu vsechny podklady. Pak uz je samozrejme jakekoliv zabezpeceni na nic.

> Z hlediska banky to byla spravne autorizovana transakce a tudiz ji banka zprocesovala. Problem je jednoznacne na strane klienta.

Blbost. Klient netusi, kam penize odesly, naopak banka to musi vedet zcela presne, logicky by se mela starat ona. Osobne vubec nechapu proc je kolem toho takovej humbuk, ze strany banky prece stacilo platbu reklamovat, nejlepe v kombinaci s zalobou na majitele ciloveho konta.

Banka samozrejme v takovem pripade bezodkladne kontaktuje organy cinne v trestnim rizeni (sam jsem se jednou takove akce zucastnil), nicmene to uz je pro okradeneho trochu pozde.
Majitel ciloveho konta muze zrovna lezet na Hlavaku pod lavickou s okenou v ruce, pripadne to muze byt ukrajinsky delnik, ktery uz pul roku neni v republice.

Klient by si toho mel vsimnout treba na vypisu transakci, zmene zustatku apod. Z hlediska banky to je prece platba jako kazda jina ...

Napada me, ze kdybych na vas chtel utocit, tak si najdu nezabezpeceny pocitac a pak vam na vas ucet budu posilat nejake castky treba kolem 500-1000. Pokud by na vas kazdy poskozeny rovnou podal zalobu, nebudete delat nic jineho nez tyhle zaloby vyrizovat. Nemluve o tom, ze muzu nejake penize poslat vam (aby se poskozeny "zabavil") a dalsi posilat na ucet v zahranici nebo jeste lepe na nejake to fiktivni tuzemske konto, kde nemusi dohledat nikdo nic.

Outsourcing i v oblasti finacnictvi je naprosto normalni - taky Vas prekvapuje, ze do Vaseho ucetnictvi vidi osoba, ktere je po tom kulovy jake spinavosti provadite?:-) Vse je otazka dohod, smluv a penale... proste tato cinnost se nesmi vyplatit...

Ano souhlasim, to je muj pripad. Seefove jsem musel vysvetlit ze nemuze nechat valet svuj Nootebok kde se ji zliby, k overeni dochazi pomoci certifikatu. Ja na nej mam pristup a stacilo by pouzit program na odchytavani klaves a mam bez problemu jmeno a heslo do banky. A nejaka ohrana mi muze bejt ukradena :-) i kdyby byla nejlepsi na svete. Jako nejlepsi moznost proto povazuju osobní elektronickej klic, kterej nosim v kapse. Pak se muzu pripojit odkudkoliv, klidne i z ciziho počitace a nemusim mit obavy o to ze my nekdo vyluxuje ucet, protoze pokud ho ztratim tak zavolam do banky a ta ho okamzite zablokuje a na muj ucet se nikdo nedostane.

Nejlepší ochrana proti phishingu je mozek...
Na všechno ostatní je potřeba kvalitní a bezpečný způsob komunikace s bankou. Pokud někdo používá pouze heslo nebo má certifikát v texťáku na ploše, tak dobře mu tak...

Dobry den - jak to presne myslite?
Existuji (nebo donedavna existovaly) bugy, pri jejichz vyuziti jste videl v url browseru klasickou adresu banky, ale mohlo se klidne jednat o podvrzene stranky nekde v Rusku. Tady vam mozek moc nepomuze.

Je nonsens takové věci psát kamkoliv do formulářů "pro ověření" a tak podobně. Myslím, že samy banky před tímto varují.

cokdyz vam nekdo naedituje soubor 'hosts' ve windows
xx.xx.xx.xx www.banka.cz

tim se obejde DNS a vy se pripojite uplne na jiny server - vytahnou z vas heslo ani nemrknete - proste se budete prihlasivat ke svemu uctu...
staci aby vas pak presmerovali na spravny server, kde se treba vypise spatne zadane heslo - myslite si ze jste se preklikli a nevenujete nicemu pozornost

obrana - jde jen o to, jak jste pozorni pri kontrole SSL certifikatu (za pouziti frejmu si ani nevsimnete ze jiz jste na jinem serveru s trusted SSL certifikatem)

:-) k cemu asi mame fingerprint? Ano, je treba pouzivat mozek a ne delat chytraka v oblasti o ktere nic netusime...:-) - uz jste zkousel kliknout na ten klic a dat si informace o certifikatu?

ad zabezpecene ssl:

co mam povedat banke, ktora ma certifikat podpisany sebou ? tam si proti phishingu nic nepomozem, ci hej ?

Takovou banku bych doporucil nepouzivat...

proč?

stačí si zkontrolovat fingerprint certifikátu s tím, který jste si zjistil v bance a jste v suchu.

nechápu proč všichni musí vidět certifikát jakési autority, z hlediska důvěryhodnosti je jistě lepší vytisknutá vizitka donesená přímo z banky, než nějaká neznámá zámořská "autorita"

Ovsem, jak si to bezpecne overit? Telefon nemusi byt bezpecny (pro ne-paranoiky mozna dostatecny), na prepazce vam kvalifikovane neporadi (pokud tam nestravite den) ...

Mimochodem, pro vetsinu technickych podpor je pozadavek na fingerprint natolik nestandardni, ze vam vetsinou odpovi az nejaky technik (ktery to IMHO stejne zjistit tak, ze se podiva pres prohlizec na stranky bankovnictvi).

A nepoužívat k platbám počítače, u nichž nedůvěřuji osobě, která má administrátorská práva, nebo na kterém není pravidelně prováděna bezpečnostní aktualizace. Na takovém počítači raději nabootovat systém z doneseného CD/DVD/USB flash disku.

Coz predpoklada, ze duverujete autorovi distribuce a programum na ni a pak take HW, na kterem to spoustite. Klavesnice muze byt odposlouchavana, monitor take apod. A to klidne tak, ze to nepoznate.

Nejspolehlivější je tedy notebook, vlastní, na kterém pracujete jen vy sám a máte ho patřičně zabezpečený, kdyby došlo ke zcizení. Pak můžete "bankovničit" kdekoliv, kde se připojíte k internetu.

Reiffeisen banka má také ověřování pomocí SMS kódů.
Je to jen tak pro doplnění.

Důležitým prvkem bezpečnosti je i informace o transkacích. Například tak, že je po každé transakci poslána SMS nebo e-mail. Pokud zareaguji na neoprávněnou transakci rychle, mám téměř 100% šanci, že se ji podaří zastavit.

Nebo tak, že se mi po přihlášení zobrazí, kdy jsem se naposkedy přihlásil a co jsem dělal - to mi umožní zjiatit, jestli někdo jiný nemá přístup na moje konto.

A diky tomu, ze jsou dnesni banky* tak silene pomale :). Tak prece to ma alespon jedno zanedbatelne pozitivum ;).

Přimlouvám se za doplnění přehledu jak je které bankovnictví odolné proti keyloggerům...

Pro pohodlí čtenářů by to tam asi mohlo být zmíněno. Ale každý na to může přijít sám.

Stačí si položit otázku: Mám internetové bankovnictví, které funguje tak a tak. Co se stane, když někdo sleduje můj počítač pomocí keyloggeru a je tedy schopen zaznamenávat obrazovky i stisknuté klávesy?

Příklad: certifikát nestačí, útočník s keyloggerem má můj certifikát a zná jeho klíč (heslo). Ověření přes SMS je odolné - útočník může požádat o transakci, ale nemůže si ji potvrdit.

Ověření přes SMS bude odolné jen do té doby, než se začnou mezi zloději šířit přístroje na odposlech mobilní komunikace, podobně jako se dnes šíří čtečky magnetických proužků. Nebo stačí, aby si někdo okopíroval vaši SIM kartu a zapnul kousek od vás rušičku mobilního signálu.

Jediné zabezpečení SMS totiž vyplývá z GSM protokolu.

To je sice možná (trochu zveličená) pravda, ale útok louskáním GSM už je o dost složitější. Riziko pro nás, běžné uživatele s pár korunami na účtě, je naštěstí mizivé :)

jenomze treba u ebanky to nejsou obycejne smsky ale specialni sifrovane, ktere kdyz nekdo zachyti tak je stejne neprecte

navic, vy si odposlech mobilu taky predstavujete jak hurvinek valku, co

Hurvinek by to mel slozitejsi, poslouchat mobil opravdu tezke neni. Totiz, kdyz budu dostatecne blizko (stovky metru), nepotrebuju ani nabourat GSM, staci poslouchat ten konkretni mobil.

Ověření přes SMS bude odolné jen do té doby, než se začnou mezi zloději šířit přístroje na odposlech mobilní komunikace, podobně jako se dnes šíří čtečky magnetických proužků.

1. Jak už bylo napsáno výše, tohle zloděj pro pár tisíc dělat nebude.

2. Pokud se bude jedna o milióny, tak asi nebudu používat oveření přes SMS. ;-)

No a u ověření přes GSM Banking by tenhle problém být neměl, protože je, pokud vím, přenos zpráv šifrovaný.

Ne tak docela. Overovani pres sms je v sifrovane podobe a sms desifruje az aplikace sim toolkit na vasi sim karte. A pokud je mi znamo, zatim nejde takovou sim kartu zkopirovat i s aplikaci. Takze dotycnemu sice sms prijde ale v nepouzitelne podobe. Tohle je fakt hodne neprustrelne.

Keylogger umoznuje predat utocnikovi vse, co vytukate na PC klavesnici. Takze castecne (riziko prodlevy) odolna jsou jednorazova hesla (napr. pres SMS nebo kalkulator). Bezpecne jsou napr. sifrovaci karty (napr. nedobytne USB tokeny s SSL klicem) a nejlepe s vlastni integrovanou numerickou klavesnici na zadani passphrase (ochrana pri odcizeni). Je to jedna z nejsilnejsich autentizacnich metod, bohuzel jeji cena a rozsirenost v nabidce bank je pro normalniho cloveka ponekud neprijatelna.

V čem vidíte problém jednorázových hesel?

Když někdo odposlechne jednorázový kód, je mu zcela k ničemu. Jde použít jen jednou a mění se dle platby. Takže při změně částky či čísla účtu je jiný.

Různé USB tokeny jsou sice hezké, ale musíte mít podporu OS a někdy i prohlížeče, jinak je to jen drahý přívěšek na klíče. S autentizační kalkulačkou se nemusíte bát přístupu na bankovnictví ani z neznámého počítače a funguje to i v lynxu.

A jak moc je proti odposlechu odolná čipová karta KB můjklíč se čtečkou ?

Nevím, o jaký typ karty jde.

Pokud se jedná o inteligentní čipovou kartu, kdy vlastní certifikát nemůže opustit kartu a odpověď se šifruje přímo na kartě, odposlech na dnešní úrovni techniky není možný.

Pokud se jedná o kartu, která pouze obsahuje certifikát, pak není rozdíl oproti certifikátu na disketě nebo disku a zákeřně pozměněný software počítače jej zkopíruje.

Vas optimismus nesdilim. Dnes muzete pomoci specialnich metod reversniho inzenyrstvi ziskat z jakekoliv karty cokoliv. Tyto "utoky" jsou provadeny ve spickove vybavenych laboratorich. Z cipu je odstranen plastovy kryt, napriklad pomoci par z kyselin. Takto "nahy" cip muzete analyzovat pomoci laserovych paprsku (miniaturnimi laserem vypalenymi otvory), teplotniho vyzarovani, ... Proti temto utokum na temer "atomarni" urovni v podstate neni obrany.

Kdyz jsme u toho sifrovani, jako priklad lze uvest chybu v algoritmu COMP 128, ktery se pouzival k ochrane udaju na SIM karte. Za cca. tri hodiny bylo mozno kartu rozkodovat a udelat jeji klon

A to všechno pro pár tisíc na běžném účtě, tomu já říkám bussiness. :D :D

V podstatě jsme každý den svědky, kterak zloděj krade chipovou kartu, podrobí ji výzkumu ve špičkově vybavené laboratoři, na základě zjištěných dat vyrábí kopii a tu hodlá použít, aby narazil na limit pro použití u obchodníka nebo terminálu. Např. hash se dá taky vypočítat a SSL komuniace odposlechnout a modifikovat, ale vrásky to nikomu nedělá - proč asi.

Pokud se nepodepisuje kazdy jednotlivy prikaz, ale jen se pres to prihlasujete, podleha to man-in-the-middle utoku.

Navic - co takhle Trojan, ktery pocka, az tu kartu pripojite a odemknete, a pak si tam na podpis posle svoje vlastni bajtiky?

obavam se, ze mate v tabulce prohozena cisla pro Ceskou sporitelnu (ma byt 3/je 1) a Citibank (1/3).

Ta reklama na Eurotel vpravo me brzo nadlouho vyhosti z vaseho serveru. Prebira aktivitu okna! Jak ji tam muzete mit
??

Mozilla + Adblock a nevim o cem mluvis.

a chcete -li i opravdu browsit.. pak IE a SP2

Ne ne, jedine Maxthon, maximalne Opera

Tak si ho na chvíli vypni. :p

Ja tomu mozna nerozumim, ale ma smysl z internetoveho bankovnictvi pro bezny ucet(!), kde je limit tak jeden mesicni plat, delat takovou kovbojku? Je to jak sci-fi nebo Putinuv jaderny kufrik...

Certifikaty, opticke klice, asymetricke sifry, autentizacni sms/kalkulacky...Hmm zni to drsne, a hlavne je to pekelne drahe, ale vsech tech softwarovych inzenyru, co to vyvinuli bych se zeptal: 'A umela by v tom vase babicka zaplatit ucet za elektriku?'

Ja mam ucet v Nemecku, v LBBW.de, internetove bankovnictvi je zdarma, stejne jako vetsina ostatnich sluzeb. Samozdrejmosti je podpora vsech prohlizecu i W3C standardu. Zabezpeceni se mi zda dokonale ve sve jednoduchosti.

Pri zalozeni bankovnictvi si na zaklade postou dosleho PIN zvolim PIN nove 4-8 mistne, a protoze si ho zvolim, je snadneji zapamatovatelne a nemusim si ho nikam psat. To je dostacujici pro pasivni operace, vypisy, etc..

Pak papirovou postou dostanu list s 50ti TAN (transacni cislo) kterym jednorazove autentifikuju kazdou operaci, kdy se hybe penezi. Po pouziti ho skrtnu. Papir s TAN je sam od sebe nepouzitelny, takze ho muzu nechat 'nebezpecne' povalovat v hornim supleti ve stole v praci, a jeho kopii doma.

Pokud nekdo sniffne PIN (a pri https:// to neni az tak jednoduche) je mu k hovnu bez TAN, pokud TAN, muze se s nim vyfotit, protoze bylo prave pouzito a je uz k nicemu.

No a kdyz dochazeji TAN na papire (zbyva jich min jak 5), banka automaticky posle novy TAN list.

Uz jsem chtel psat o tomto systemu a chtel jsem se dotazat na bezpecnost.
Muj nazor na vec: V dnesni dobe maji vsichni sifrovanou komunikaci, tam nebezpeci nehrozi. Co hrozi jsou phiseri a "odposlech" klavesnice. Ucinna obrana jsou jednorazova hesla, ktera jdou jinym kanalem: SMS, autentizacni kalkulacka, RSA klic nebo papirova hesla (=TAN) a nejsou ulozena v pocitaci. Kazdy z techto zpusobu ma sve vyhody/nevyhody. Papirovy TAN je nejjednodussi a nejlevnejsi az se divim, ze to u nas nikdo nepouziva.

Ted uz nepouziva.
Pouzivala to Moravia Banka, tam se dokonce elektronicky poslane transakce (pres modem, internet byl tehdy temer scifi) potvrzovaly "konfirmacnim listem" na kterem byl kod transakce a dopisoval se tam TAN. To se odfaxovalo a tim byla transakce finalne potvrzena ;-)

Byl to sileny opruz - zadat transakci do softu, odeslat modemem, vytisknout konfirmacni list, napsat na nej TAN a odeslat faxem... Jeste ze to uz dneska jde jinak ;-)

TANy u nás používá GE Money Bank volitelně u Telefon Banky, což je pro mě nepohodlná konverzace s automatem (IVR), kterou lze potvrdit zadáním jednoho TAN kódu s tabulky. Umím si představit phishing útok, kdy útočník požádá o zadání PINu, TANu - a pak je použije.

Něco podobného používala KB v dobách BBS a už tenkrát mě to přeukrutně lezlo na nervy, hledat nějaký papír. Teď používám profibanku s certifikátem z jednoho PC, které je chráněné i hw firewallem, instaloval jsem si ho sám a pracuju pod Userem, takže ten keylogger bych si tam musel nainstalovat leda sám.
Pro drobné soukromé platby mám eBanku se SIM Toolkit autentizačním kalkulátorem.

...tenkrát mně... fuj, to jsem čuně.

kdepak - mě

Ale vzdyt preci vsechny tyhle veci podlehaji man-in-the-middle! Vzor: Pripojite se na phisherovu stranku. Phisher se pripoji na stranku banky a neco preposle. Vy se zacnete na phisherove strance prihlasovat, phisher to preposle bance. Banka vam posle SMS. Vy odpovite na phisheruv web - a phisher je prave prilogovan k vasemu uctu!

Ano... v tomto pripade se dokaze prihlasit na ucet a ma k dispozici pasivni operace... Dokaze tak maximalne zjistit kolik mam na uctu... 100x jednodussi by pro nej bylo uplatit ucetni, at mu to cislo vrkne..
Ale neudela zadny prevod.. zadnou aktivni operaci.. Kazda z takovychto operaci ma vlastni autorizacni retezec, ktery je generovan na zaklade udaju o platbe. Cisla uctu, castky a ja nevim co jeste.. Vyrobim prikaz k uhrade a necham si poslat na mobil retezec... Zapisu do prohlizece... A zaskodnik zjistil kam posilam penize a to je zase tak maximum toho, co muze udelat.. Pozmenit prikaz nemuze, protoze by nesouhlasil autorizacni retezec a banka by prikaz odmitla.. Mozna (opakuji _mozna_) by dokazal muj prikaz zduplikovat a poslat ty stejne penize na stejny ucet jeste jednou... Kazdy retezec ma nejakou platnost a nevim, jestli ho po "pouziti" banka nejak zneplatni...
No.. V kazdem pripade si onen man-on-the-middle muze o nejakem majetkovem prospechu nechat jenom zdat.. Takze neverim tomu, ze vy s enekdo do neceho takoveho pustil..

trosku poupravim tok vasich myslenek ohledne preposilani dat na banku.
Pripojim se na podvrzene stranky banky, prihlasim se (stranky vse preposlou na banku, dotycny ma pristup) jak rikate pouze na cteni, zadam prikaz, prevod z uctu na ucet (kdo rika, ze preposlane udaje na banku budou stejne), pride mi potvrzovaci sms (na udaje ktere na banku zadal podvodnik) a ja mu ji prepisu a autorizuji transakci ...

Potvrzovaci SMS je zhruba ve tvaru "Prevod z uctu 12345 an ucet 98765 castka xy, var.sym 555"-Autorizacni retezec je 564654654....
Soucasne podotykam, ze tyhle udaje jsou na te stejne obrazovce, kam musim ted ten kod zadat, takze je muzu lehce porovnat...
Pokud by mi prisla autorizace s jinymi udaji, nez jsem nabusil do prohlizece, bylo by mi to minimalne divne :-)

Proboha, od toho je snad na serveru banky certifikat ne ????
Pokud si nejsem pri kazdem prihlaseni schopen zkontrolovat fingerprint toho certifikatu, nepatri mne veci jako Internetove bankovnictvi do ruky...

takze na kazdy prikaz k uhrade opisujete 50 cislic? ufff, to teda dekuju.. to uz driv dojdu do banky ;]]

He? Jakych padesat cislic? Normalne se prihlasim cislem uctu a PIN (ktere jsem si zvolil takze se dobre pamatuje) a pak transahci potvrdim cislem TAN (6 cifer) Jeste stale to nechapete? I kdyz vy mozna sve cislo uctu znat nepotrebujete, ne?

Jinak js e-baking pouzivam hlavne proto ze mi vadi nemecky socializmus, smutny pripad toho jak muze dopadnou prilis socialni stat je bankvni sektor. Otevreno od 10-16, so/ne vubec. Ja jako vedec obcas v praci i spim, a volny vikend si pamatuju jen z Ceska. Nicmene uznavam, ze to delam i proto ze mne to bavi, nejen zivi.

Vidim velke riziko zneuziti v pripade TAN. Jestli jsem to dobre pochopil, TAN cislo neni nijak svazano s konkretni transakci, jedno (neppouzite) TAN cislo se da pouzit pro autorizaci lib. transakce, ze?

Staci mit zadni vratka do pocitace - mit ten keylogger - tim ziskate to PIN.
Dale bude program cekat, az se nekdy prihlasite do banky a zadate prikaz na zaplaceni elektriny treba za 1000Kc.
Program zaskodnika v tomto okamziku prevezme komunikaci s bankovnim serverem a vyrobi na zaklade znameho PIN a TAN prevod na jiny ucet a treba rovnou castku 10x vyssi.

Asi to v praxi neni tak uplne jednoduche, ale kdyz bude mit zaskodnik pristup k danemu pocitaci, tak by nemel mit problem vyporadat se se vsim - jedine co neni schopen zjistit jsou ty TAN kody, a ty mu laskave do pocitace doda uzivatel. Pripadne, pokud ten papir nechavate skutecne valet nekde, tak si to treba ofoti mobilem na nasteve + vam nainstaluje ten keylogger do pocitace. A muzete se jit klouzat.

No nic proti, ale systém, který používá například eBanka je mnohem lepší a ani moc neobtěžuje.

Zadám klientské číslo, nechám si poslat číslený kód (heslo) na mobil, kde ho můžu zobrazit po zadání čtyřmístného PINu (to je jediné heslo, které si musím pamatovat), potom se přihlásím. Transakci potvrzuji stejným způsobem. Jednoduché, bezpečné, lepší než papír s padesáti TANy.

PS: Když vyčerpáte TANy, tak vám zase musí poslat poštou nové?

V ankete podle meho chybi volba pro mne napriklad velmi rozhodujici - Casty pobyt v zahranici
Pro tyto ucely je podle mne eBanka bezkonkurencni (na dalku si muzete zazadat o novou kartu nebo PIN atd.)

V úvodu chybí v přehledu informace o čipových kartách ČSOB jako variantě zabezpečení, která je podle mne (byť nejsem příznivcem ČSOB) na stejné úrovni jako autentizační kalkulačky. Je drahá ta čtečka karet, ale zní to bezpečně.

ja ji-tu ctectu- dostal zdarma pri zalozeni uctu :-)

Čipové karty jsou na trochu nižší úrovni než autentizační kalkulátory, protože nejsou odolné proti key loggeru (kromě čteček s vlastní klávesnicí, které vyžadují PIN při každé akci a neakceptují PIN z počítače). Je sice pravda, že útočník se musí vejít do doby, kdy máte kartu ve čtečce, což mu útok dost ztěžuje, ale u autentizačního kalkulátoru takovou šanci nemá vůbec.

A ten PIN bez karty mu k něčemu je?!

:) Ne, ten PIN bez karty mu není k ničemu, to dá rozum. Proto přeci píšu, že útok se musí zvládnout v době, kdy oprávněný uživatel má kartu ve čtečce. Příště čtěte pozorněji.

Nemohu s vámi souhlasit - čipové karty jsou z hlediska zabezpečení na podstatně vyšší úrovni než obyčejné kalkulátory. Rozdíl je v použité kryptografii - kalkulátory běžně používají symetrickou kryptografii a čipovky asymetrickou. Se symetrickou kryptografií je ten problém, že se transakce autorizuje a ověřuje stejným symetrickým klíčem, takže absolutně nemáte kontrolu nad tím, kolik lidí k němu mělo a má přístup. Jedna kopie klíče je v kalkulátoru, aby jste mohl transakce autorizovat, další v bance, aby banka mohla autorizaci ověřit, data produkčních systémů jsou pravidelně zálohovány (1 nebo spíš N dalších kopií - ke kterým má přístup několik administrátorů), dále kalkulátor nějaký výrobce vyrobil (samozřejmě i s klíčem, ke kterému se při výrobě/expedici/přepravě dostalo dalších N lidí). A teď věřte tomu, že nikdo z celého popsaného řetězce nemá na vaši banku zlost nebo si nechce na váš účet přilepšit. V podstatě kdokoliv může mít kopii vašeho klíče a dlouhý čas připravovat útok, aniž vy něco tušíte!!!
Co se týče asymetrické kryptografie, pro potvrzení transakce máte soukromý klíč, banka má pro ověření veřejný. V případě použití čipových karet je soukromý klíč generován přímo na čipové kartě uvnitř čipu a nelze jej vyexportovat ven. Proto jediné teoreticky možné zneužití je zcizení vaší karty včetně PINu.
Nic proti kalkulátorům, jen jsem chtěl ukázat, že i kalkulátory mají své mouchy.

Jeste neco - nosit s sebou vsude autentizacni kalkulator je docela opruz (i kdyz bezpecnost je dost vysoka, ne-li nejvyssi).
Banky ale ten zacinaji konecne zavadet elektronicke chipove karty - proc rovnou nemaji zabudovanou malou klavesnici a funkce autentizacniho kalkulatoru? Kartu stejne clovek nosi porad u sebe a byl by klid.
Elektronika dneska je na takove urovni, ze by se to na kartu vlezlo (tlacika mohou byt senzorova, nemusi se jednat o klasicka zamackavaci tlacitka)

No je to menší opruz než instalovat na cizí počítač activex pro čtení ze čtečky a usb čtečku :)

I když částečně souhlasím, nechápu proč nikoho nenapadlo realizovat kalkulátor jako Java Midlet v mobilu. Nebo napadlo?

eBanka (asi i jiné banky )na to používá SIM Toolkit aplikaci, novější SIM od Oskara (asi i od jiných operátorů ;-)) umožňuje nahrát tam aplikace 10 bank, k čemu midlet?

Presne. Navic treba z Siemensu jde JAVA aplikace v pohode vytahnout a zjinych jiste taky vytahnout pujde lip nez ta sim toolkit aplikace. A pak je cely kalkulator na nic. Nehlede na nenutnost mit porad jeden mobil

že se vůbec obtěžuju tady o něčem diskutovat, když někteří lidé ani pořádně nerozumí příspěvku na který odpovídají...

a) sim toolkit je závislý na sim, midlet pouze na mobilu (a nakonec to nemusí ani být mobil, ale cokoliv co umí J2ME, tj. standard - Palm...)
b) proč by měl být kalkulátor na nic, pokud půjde jak vy říkáte "vytáhnout"? klidně může být dostupný přímo zdrojový kód toho "kalkulátoru" a s bezpečností to naprosto nebude souviset!

A výhoda je, že není třeba nic do mobilu (kromě PINu) datlovat, narozdíl u "kalkulačky", kde je autentifikace opravdu zdlouhavá věc.

A jak to activex nainstalujete na GNU/Linux?
Budete se par dni trapit s WINE?

Opruz to sice je ale neni podminkou ho nosit porad u sebe. Nechavam ho doma kde take realizuju vetsinou transakci. Pro pripad, ze potrebuju neco nekde na cestach mi staci mobil se sim toolkitovou aplikaci a sifrovane sms. Pouzivat muzete oboji.

Přesně tak to taky dělám, ale všimli jste si někdo, že třeba na zrušení trvalýho příkazu u ČS internetovýho bankovnictví není autentizační kalkulátor třeba?
To je docela blbý, protože pokud k vlastnímu přihlášení nepoužíváte autentizační kalkulátor, tak jste chráněni už jen kódem a heslem.

super, ale nejede v firefoxu

Jede ve Firefoxu (a macovském Caminu), Safari i v Opeře. Samozřejmě při potvrzování transakcí pomocí SMS, zkoušet čipovou kartu na Macu mne ani nenapadlo.

Me jde v Mozille vse pasivni, ale pri potvrzeni transakce pres SMS se mi nerozsviti (cesky receno nezenabluje) po zadani SMS kodu to blbe tlacitko Odeslat - takze pro aktivni operace musim pouzit MSIE...

presne tak, tudiz nepouzitelne
(jeste nekolik dalsich vychytavek jim tam nefunguje)

samotnou Mozillu jsem zatím nezkoušel, ale v Opeře když chci aby mi to fungovalo, tak musím krom povolení referreru ještě nastavit "Identify as Mozilla 5.0", takže je mi divné že v samotné Mozille by to nechodilo ...

jakou máte verzi?

Bohuzel, je to tak. Komunikuji na toto tema s podporou CSOB a Postovni sporitelny uz pomerne dlouho a vysledkem jsou jen sliby a mlzeni :-(. Pritom je chyba nejspis jen v nejakem Java Scriptu (!!!) a zrucny programator by to opravil za par hodin. Jelikoz pouzivam, jak pracovne tak doma, vsude SuSE Linux, je to neprijemne, ale reseni existuje - prohlizec Opera - pokud jej nastavite tak, aby se identifikoval jako MSIE, funguje to vcelku vpohode. Trial verze Opery je zdarma a od plne verze se lisi jen zobrazovanim reklamnich textu, coz se da prezit - potrebuje - li ji clovek jen pro praci s CSOB.
Pokud jste na Linuxu a vlastnite nejakou licenci Windows, kterou nechcete pouzivat (napr. stara W98), lze MSIE provozovat i na Linuxu (ta licence slouzi jen k tomu, aby to bylo legalni) - instalace MSIE do Linuxu pomoci WineTools je trivialni.

Ano to mne taky prudi - ja jim tu chybu v javsacriptu nasel, poslal opraveny radek, napsal jim, ze opravdu neni dobre pouzivat veci jako document.all ... a nic.
Zadna odpoved, zadna zmena.

Me jde v Mozille vse pasivni, ale pri potvrzeni transakce pres SMS se mi nerozsviti (cesky receno nezenabluje) po zadani SMS kodu to blbe tlacitko Odeslat - takze pro aktivni operace musim pouzit MSIE...

Toto se dá řešit spuštěním javascript:document.frm1.Sign.disabled=false;void(0) (dejte si to do bookmarku) po zadání kódu. Tlačítko "Odeslat" se Vám zaktivuje a vše proběhne bez problémů (testováno na MAX Internetbanking PS). Sice je to poněkud krkolomné, zato však funkční a na IE už zbyde jen ten wupdate...

Kdyz jsem naposledy (cca 2 mesice nazpet) hlasil problem s nefungujicimi aktivnimi operacemi na CSOB helpdesk, tak mi bylo receno, ze na odstraneni problemu se pracuje (zrejme musi nekdo schvalit zmenu jedne radky kodu) a ze pry do pul roku (!) to bude fungovat i v Mozille. duh.

zacinam vazne premyslet o zmene banky.

Kazdy system ma neco. Ja mam ucet u KB a kalkulacku nepotrebuji. Co ale potrebuji je MSIE 6 a administratorske pravomoce abych tam nainstaloval silene ActiveX komponenty. Coz pouziti bankovnictvi omezi na muj soukromy pocitac doma a sluzebni v praci. Ten druhy ovsem pouze s laskavym povolenim admina.

Zpětná zpráva s kódem od banky obsahuje i detaily té platby - kolik korun a na jaký účet posíláte - takže hned vidíte, jakou operaci tím potvrzujete. Možná to ostatní banky mají stejně, nevím, chtěl jsem to jenom zmínit pro úplnost. Řekl bych, že to prakticky není zneužitelné.

Muj nazor je v tom, ze cela problematika s bezpecnosti platebnich karet, odpovednost, je u nas zamerne prehozena na stranu uzivatele. Oproti sluzbam bank treba ve statech je dle solidnosti klienta (je-li zodpovedny vuci splatkam, poplatkum, pravidelnemu obratu atd.) prehozena zodpovednost za provedene platby na stranu banky t.j. ze je klientovy, v pripade, ze je zneuzita jeho platebni karta a zda odsouhlasi ci ne platbu - no toto je potom bez problemu dale eskalovano bankou, ktera ma za platbu odpovednost.
Jeden kamarad z US mi otevrene na otazku, proc nechce otevrit bussines v CR odpovedel kratce - u vas jsou zakony, ktere umozni krast a tak proste tady investovat nebudu, no a asi ma pravdu :(

ActiveCard vyuzivana v eBance je v soucasne dobe jedina pro me znama metoda, ktera garantuje bezpecnost transakci na zcela nezabezpecenem kanalu, soucasne s kombinaci celosvetove dostupnosti.
Az nekde mimo CR budete chtit manipulovat s uctem a k dispozici budete mit jen uzavreny internetovy kiosek, tak to opravdu ocenite. RSA tokeny, certifikaty jsou v takove chvili uplne na nic, stejne jako mobil diky "skvele" odezve.

r.

Při náznacích chvály v diskusi na eBanku mohu pouze říci, že my u eBanky účty rušíme a nemohu ji nikomu doporučit ani ve firemní ani v soukromé a už vůbec ne v neziskové sféře. Ať si má internetové bankovnictví jaké chce, to samo o sobě nestačí a nedělá solidní banku bankou a není základem přístupu ke klientovi, za to celková politika banky ano. Odcházíme už jenom pro kvalitu jejich služeb, chování a jednání jejich zaměstnanců, rozhodovací mechanismy, jejich přístup ke klientům, jejich přístup k reklamačnímu řízení atd. atd. Pohár trpělivosti aspoň u nás po několika letech přetekl, pan Kellner si již na nás vydělal dost a protože podobné přístupy jsme dosud nikde jinde nezažily a nic se nelepší, ba naopak, a opakují se, tak i za cenu všeho toho papírování ohledně změny některých účtů, přesměrovávání, inkasa atd. jdeme pryč.
PS: Dnes jsem byl v jiné bance zařizovat drobnost a nedalo se to srovnat, v tom přístupu, kdy na Vás jen nehledí, jak Vás co nejvíce oškubat a nepřipouštět žádnou diskusi, nešlo jen o to, že nám nabídly kávu, ale o to že bylo cítit zájem vyřešit vše korektně a k obojaké spokojenosti atd. eBanka mi v leččems začíná připomínat Union banku těsně než zkrachovala a při reklamě "nemusím" , "nemusím" se už jen směju.

Velmi emotivni. Mohl byste byt konkretnejsi? Nebo se rozhodujete o bance podle jednoho kafe? Ted asi budete tezko posuzovat vasi novou banku na zaklade dlouhodobych zkusenosti, ale poteste nas alespon s tim o cem je clanek, tedy jak uzasne chrani vase penize ta nova banka...
Souhlasim s vami ze eBanka je opravu hodne draha. Ale ma rozhodne co nabidnout a prijde mi ze za moje penize dostavam kvalitni protihodnotu.

jiste emoce nejsou dobra vec pri sdelovani sveho pohledu ale ten je vzdy subjektivni..

ale nicmene vim, o cem mluvite, pamatuji na Expandia Banku a s tou nynejsi eBanka zase az tak moc spolecneho nema.. Pamatuji si jak jsem po nejake dobe v zahranici zasel dat svych par desitek tisic euro a byl hned svedkem posmivani se klientovi a servani jineho..

ale i kdyz jsem se pokousel utect, zatim jsem nenasel banku, ktera by byla o tolik lepsi aby to vyvazilo snadnost ovladani uctu..

No, ja s Expandii skoncil driv nez jsem zacal. V jejich pocatcich me pracovnice na prepazce odmitla zalozit novy ucet, na ktery jsem chtel okamzite v hotovosti slozit 100000Kc. Ze pry na zakladani noveho uctu musim byt objednan a to ja nejsem. A na muj nevericny pohled mi jeste tvrdila, ze tak to chodi v kazde bance. Tak jsem ji pri jejim presvedceni nechal, presel ulici a behem par minut zalozil ucet v KB. Bez objednani. Uz nikdy jsem pak Expandii nevyzkousel ani nikomu nedoporucil. Zabezpeceni je samozrejme dulezita vec. Ale, nakonec, neni to to jedine, co vas na bance obvykle zajima ...

Podobne jsem to resil i ja, prisel jsem rano do ebanky vedle tesca, a panacek, ktery nemel co na praci a cucel do stropu me objednal tusim na odpoledne. Schuzka se vsak nekonala, protoze ja do banky preci nemusim, nemusim. (2x)

Nazdar Dane,

mě tohle docela naštvalo, když mi ukradli mobil a chtěl jsem poslat znovu aktivační SMS na stejné číslo jako už ji jednou poslali.

Ale podle nich jsem kvůli tomu musel přijít osobně na pobočku se dvěma průkazy totožnosti.

Tak jsem zavolal na jejich 800 linku a chtěl se objednat. Ale všude prý měli až do odpoledne plno.

Tak jsem se vypravil do nejbližší pobočky (Václavské náměstí), asertivně překonal odmítnutí, že nejsem objednán, a byl parkticky ihned obsloužen.

Ovšem ten přístup ke klientům mě tak štval, že jsem s nimi pak už brzy skončil, jak s firemním, tak se soukromým účtem. A i to zrušení účtu jsem zvládnul bez objednání.

U některých příspěvků by stálo za to vidět ip adresy. Čtu, čtu, a pořád nevidím, čím konkrétně pisateli ublížili. Skoro to budí dojem, že někde v PR oddělení byli přehnaně pilní.

Podle příspěvku asi pisateli nenabídli kafe, nebo se na něj nějaká holka málo usmála nebo měla malý výstřih nebo co.

Především do eBanky mě nic nenutí chodit jak je rok dlouhý, což považuju za výhodu.

Poplatky jsou drahé, ale při slevách za obrat na útu to není oproti konkurenci až takový rozdíl. Internetové služby jsou pořád míli před konkurencí.

Tabulka na konci článku s názvem "Spektrum autentizačních technik" ne naprosto zavádějící. Slušelo by se od autora v rámci objektivity spíše vložit tabulku s názvem "Úroveň zabezpečení", protože TO je skutečnost, která lidi zajímá, ne takový nesmysl jako spektrum autentizačních technik.

Bohuzel iNET bankovnictvi v CZ neni zdaleka tak bezpecne jako ze hranicemi, kde je napr. bezne ze cloveku nestaci k prihlaseni POUZE heslo ale je potreba zadat take jeden z nahodne generovanych pinu, obsazeny na karticce zaslane klientovi (byva jich obvykle desitky, mala karticka velikosti vizitky a kdyz je klient spotrebuje, zasle se na jeho adresu nova karta s novymi piny). Jenze - banky se snazi usetrit na kazde malickosti, bohuzel na ukor klientovy bezpecnosti. Konkretne u CSOB je minimalne jedna chyba v logickem navrhu aplikace, ktera ji dela snaze zneuzitelnou. Kontaktoval jsem pred vice nez pul rokem technickou podporu, ale do dneska vse zustalo pri starem, samozrejme. Jeste ze na uctech v CZ nic nemam, mit tam vetsi castky tak do iNET bankovnictvi rozhodne nejdu.

:-)))) pokud tomuto rikate vetsi bezpecnost asi jste se minul forem...:-)

Raiffeisen Bank má nyní nově již také SMS kody na váš mobilní telefon. Navíc při aktivních operacích lze zvolit z těchto dvou možností: certifikát nebo SMS

štěnička :)

http://www.mujweb.cz/www/satanovoucho/