Jak je to s bezpečností internetového bankovnictví?

V případě KB je pravděpodobné, že někdo získal z počítače klienta podpisový certifikát a zároveň přístupové heslo. Existuje několik možností. Klient mohl mít certifikát nahrán na pevném disku a bylo možné ho stáhnout. Heslo se dá zjistit např. skenováním klávesnice. Další variantou je phishing, kdy klienti sami dobrovolně poskytli přihlašovací údaje.

Provozní a uživatelská část

Bezpečnost internetového bankovnictví zahrnuje tři aspekty - identifikaci banky, identifikaci klienta a zabezpečení přenosu dat. Identita banky je ověřována certifikátem, který vydává nezávislá instituce (nejčastěji VeriSign nebo I.CA). Klient tak má jistotu, že stránky, jejichž prostřednictvím komunikuje s bankou, patří skutečně jí. Přenos dat je ve všech bankách řešen šifrováním na vysoké úrovni a lze jej považovat za dostatečně bezpečný.

Poslední část zabezpečení - identifikace klienta banky - je nejvíce viditelná a rozhoduje i o uživatelském pohodlí aplikace. Nejčastěji se využívá zabezpečení uživatelským jménem a heslem nebo certifikátem uloženým v souboru. Pokud má banka bezpečnější varianty přístupu (např. autentizační kalkulátor), jsou často brány jako nadstandardní a banka si za ně nechává platit. A klienti je nepoužívají: podle bank klienti preferují větší jednoduchost služby, a to i za cenu nižší bezpečnosti. Obecně platí, že čím vyšší je bezpečnost, tím menší je komfort pro klienta.

Základní úrovně ochrany

V ČR neexistuje produkt internetového bankovnictví, který by byl zcela nezabezpečený. Banky dávají klientovi na výběr, jaké riziko je ochoten přijmout a kterou metodu si zvolí. Zájem o technické prostředky zajišťující nadstandardní bezpečnost není mezi klienty příliš velký a to zřejmě kvůli poplatkům: např. u ČS vydání čipové karty se čtečkou stojí 670 korun, vygenerování klientského certifikátu na rok 320 korun.

Existuje několik úrovní ochrany, které budou popsány v dalším textu.

Uživatelské jméno (číslo) + heslo

Tento způsob přihlašování je nejjednodušší, ale nejméně bezpečný, nepomůže ani dostatečně dlouhé heslo. Dle průzkumu tuto metodu využívá téměř 80 procent uživatelů internetového bankovnictví v ČR.

Nevýhodou této varianty je, že případnému útočníkovi stačí znát pouze jméno a heslo, aby se dostal k účtu. Napadne-li počítač škodlivý kód schopný sledovat stisknuté klávesy (keylogger), oba tyto údaje snadno získá a může je odeslat podvodníkovi. Pokud není nutné následnou platbu autorizovat, představuje to velké riziko. Některé banky zvyšují bezpečnost tím, že pro zadání hesla je možné použít grafickou klávesnici, která je ovládaná myší. I tento způsob ale dokáže trojský kůň monitorovat.

Pokud klient zvolí tento základní způsob přihlášení, měl by se aktivně zajímat o doplňující bezpečnost, jako je např. nastavení denního limitu, automatické zasílání informačních SMS po každém zadání aktivní transakce či při změně zůstatku, možnost poskytování informací o provedených finančních transakcích (prostřednictvím e-mailu, SMS nebo faxu).

Víte o zajímavé české službě či projektu a rádi byste o něm dali vědět ostatním? Zajímá vás, co považují za nejlepší na českém Internetu odborníci i běžní uživatelé? Pak neváhejte a nominujte své favority v anketě Křisťálová Lupa 2006! Až do 22. září 2006 můžete ovlivnit, ze kterých projektů se bude vybírat vítěz pro tento rok. Dejte vědět provozovatelům služeb, co si o jejich nabídce myslíte a ovlivněte tak český Internet!

Autorizace SMS klíčem

K potvrzení každé jednotlivé transakce banka zašle unikátní kód v podobě textové zprávy na předem zaregistrované mobilní číslo. U eBanky, ČSOB, KB, ČS (od října 2006) je SMS klíč nutný pro všechny transakce bez ohledu na jejich výši. Výhodou je, že pokud dojde k útoku hackera, bez mobilního telefonu klienta nemůže provést žádnou transakci.

U KB se ale jedná o statický SMS kód, který platí po celou dobu přihlášení uživatele do internetbankingu. Autorizační SMS kód bude uživatel zadávat pouze při první aktivní operaci v rámci jednoho přihlášení; to znamená, že pokud bude klient zadávat více příkazů k úhradě za sebou, stačí mu zadat autorizační SMS kód jen při první autorizaci platby. Je zde určité riziko, že SMS kód může být odposlechnut.

ČSOB se připravuje nabídnout klientům možnost zvolit si SMS klíč také pro přihlášení do aplikace internetbanking.

Elektronický podpis

Pro přihlašování a podepisování transakcí potřebuje klient elektronický podpis - osobní certifikát klienta uložený v souboru nebo na čipové kartě. Tento způsob klade vyšší požadavky na bezpečné uložení a používání certifikátu. Základním pravidlem je neukládat certifikát na disk. Vždy by měl být nahraný na nějakém externím médiu (disketa, CD, USB disk), které bude připojeno jen při přistupování k účtu – po ukončení práce je nutno médium z počítače vždy vyjmout.

Vyšší bezpečnost poskytuje klientský certifikát uložený na čipové kartě. V tomto případě je nutné si pořídit čtečku čipových karet. Výhodou je nemožnost odcizení soukromého klíče bez fyzického odcizení čipové karty (klíč nelze z karty vyexportovat). Platí opět zásada, že karta se po použití vyjme ze čtečky a bezpečně uloží.

Elektronický kalkulátor

Mezi bezpečné systémy patří kalkulátory, které generují pokaždé jiný originální přístupový kód pro potvrzení transakcí. Klienti si nemusí nic instalovat do počítače, ale musí si koupit zařízení např. v podobě malé kalkulačky. Kalkulačka je přenosná a je chráněna čtyřmístným heslem. Po zadání hesla a stisknutí příslušného tlačítka vygeneruje šestimístný kód, který klient aplikuje pro vstup do internetbankingu. Pro každou aktivní transakci musí být vygenerováno nové číslo.

Internetová bankovnictví největších bank

Česká spořitelna – Servis24

• základní způsob: klientské číslo a heslo, grafická klávesnice, od 1. října 2006 povinná autorizace každé transakce prostřednictvím SMS bez ohledu na její výši;
• volitelné: automatické zasílání SMS, e-mailu po každém zadání aktivní transakce či při změně zůstatku;
• vyšší úroveň zabezpečení: autentizační kalkulátor, klientský certifikát uložený na čipové kartě.

Komerční banka – Mojebanka

• základní způsob: klientský certifikát v souboru + heslo, od konce srpna 2006 povinná autorizace každé transakce prostřednictvím SMS bez ohledu na její výši;
• vyšší úroveň zabezpečení: klientský certifikát uložený na čipové kartě + PIN kód.

ČSOB – Internetbanking 24

• základní způsob: klientský certifikát uložený na čipové kartě + PIN kód, pro autorizaci aktivních operací je využíván elektronický podpis, který se na čipové kartě generuje a je unikátní ke každé operaci;
• volitelné: autorizace transakcí SMS klíčem, který je po zaslání platný deset minut; zasílání zpráv o veškerých operacích na účtu.

HVB – Online banking

• základní způsob: PIN kalkulátor, který generuje po zadání PIN jedinečný bezpečnostní kód, který se používá při vstupu a potvrzování aktivních transakcí, platnost kódu je časově omezena.

Každá elektronická komunikace je spojena s určitým rizikem. Proto je vždy nutné najít vhodnou hranici mezi užitkem, mírou rizika a investicí do zabezpečení. Rizika lze minimalizovat, pokud se nebudete spoléhat pouze na nejjednodušší způsob zabezpečení, ale budete aktivně využívat kombinaci možných bezpečnostních prvků služby. Podle svých nároků i četnosti užívání internetového bankovnictví zvolte optimální způsob, kterým se budete do banky přihlašovat.

Ať už je internetové bankovnictví zabezpečeno sebelépe, bez dodržování základních pravidel bezpečnosti ze strany klientů se neobejde. Nerespektování základních pravidel bezpečnosti, uživatelské chyby a vyzrazení přístupu k účtu jsou nejčastější příčinou zneužití internetového bankovnictví.