Podivné bankovní bezpečí

Internetové bankovnictví patří už i v České republice k základní výbavě místních bank, přesto je využívá o něco méně lidí, než by člověk při pohledu na nižší náklady internetbankingu čekal. Obecně se tahle záhada vysvětluje obavami lidí ze zneužití jejich konta - to, jak víme, je spíše nesmysl. Někdy mám ale dojem, že spousta konzervativnějších lidí by si internetové bankovnictví ráda pořídila - kdyby ale nebylo tak složité.

A nemyslím teď ani složitost ve smyslu obsluhy počítače a rozhraní internetových bank. To je ostatně nejčastěji řešeno skrz webový prohlížeč a stavěno pro pochopení i tím „nejobyčejnějším“ střadatelem. Skutečným oříškem, se kterým se každý zájemce o „banku doma“ musí vypořádat, je systém certifikátů a hesel, nutných pro její používání. A nejen pro používání – tajemné a složité procedury začnou ještě dříve: banka si vás pozve do pobočky, kde vám spolu s instrukcemi pro bezpečené používání (které by samy o sobě mohly někoho odradit, nakonec, je-li nutné být tak obezřetný, má smysl to riziko podstupovat?) předá obálku s přístupovým certifikátem. Následuje certifikát podpisový a jejich import do prohlížeče. Pravda, to platí jen u některých bank – jiné (ovšem je jich méně) používají heslo nebo elektronický klíč, generovaný pro každou transakci.

Dvě obálky plné certifikátů jsem dostal do ruky i já, když jsem si před dvěma roky zakládal účet u své (stále) nynější banky. V tu chvíli jsem to ocenil jako příjemně vysokou míru zabezpečení. Netrvalo však dlouho a odhalil jsem i odvrácené stránky „nutně vysokého“ bezpečí. Už při zprovozňování aplikace začala magie s hesly a přihlašovacími jmény: jedno jméno a heslo pro registrační autoritu a pro vstup do samotné internetbanky, následně volba hesel pro manipulaci s certifikáty. To jsem samozřejmě ještě překousl s vědomím nutné oběti pohodlí ve prospěch důvěry, avšak skutečné nároky na uživatele a jeho paměť měly teprve přijít. Aplikace totiž byla nastavena tak, aby se heslo pro přístup měnilo každý měsíc. Žádný problém, řeknete si, jenže: kolikrát za měsíc bankovnictví používáte? Jednou za týden? Dvakrát za měsíc?

Jelikož jsem poučen a zvyklý dodržovat maximum z pravidel pro volbu bezpečného hesla, volil jsem ta nejbezpečnější a samozřejmě si je nikam nepsal. Chvíli vydržel můj osvědčený postup zapnuté anglické klávesnice a přepisu sousloví s diakritikou jako „ModroučkýKobereček“ (výsledkem je řetězec „Modrou4k7Kobere4ek“, který je poměrně silný pro lámání i hádání), avšak při měsíční frekvenci obměny a běžném nákladu denních povinností brzy došlo k tomu, že jsem si na heslo za žádnou cenu nemohl vzpomenout. Bylo to „červené křesílečko“? Nebo jsem myslel na „pěnivý půllitřík“? Výsledkem byly tři špatné pokusy a zablokovaný přístup, který se musí řešit osobní návštěvou pobočky.

Když se mi to stalo poprvé, svoji situaci jsem úředníkovi vysvětloval skoro poníženě, protože přece jen to byl snad první případ, kdy jsem měl se svými hesly problémy. „To nic, to tu řešíme každou chvíli, pane,“ uklidnil mne však a vyžádal si moje přístupové jméno. Heslo vzápětí nastavil na nové a s úsměvem mě vyprovodil.

Protože jsem byl rád, že mám celou záležitost z krku, až venku před bankou jsem si uvědomil, že po mne nikdo za celou dobu nechtěl žádný průkaz ani jméno či jinou formu ověření identity. Přístupové jméno je pětimístné číslo a snadno jsem ho mohl odkoukat kolegovi v práci přes rameno! Teď by se tedy přinejmenším nemohl do svého internetového bankovnictví dostat. V tom ještě „lepším“ případě by mi stačilo sednout k jeho počítači, když bude v polední pauze na obědě, a převést si jeho peníze na účet na Krokodýlích ostrovech. Jelikož v dalších případech mého zapomenutého hesla po mě občanku vždy chtěli, šlo tehdy nejspíš o pochybení onoho úředníka – jenže, kolik takových se ještě asi stalo (či stane)?

Nezbývá, než být z celé situace zmaten. Uživatel je nucen ke krkolomným obětem v zájmu bezpečnosti svého účtu, avšak banka si svoji stranu odpovědnosti zjevně nedokáže ohlídat. Obrovská a často zbytečná bezpečnostní opatření, která si uživatelé údajně žádají, jsou tak v podstatě spíš součástí marketingových nástrojů bank. Nakonec, proč by vlastně nemohl stačit k obsluze účtu s platební kartou jen její PIN? Protože zdejší banky za ztráty klientů neručí, a ti se tudíž pohodlí brání? Jenže k placení v supermarketu, kde jim přes rameno při zadávání PINu zírá celá fronta lidí, kartu klidně používají – byla by obsluha internetového bankovnictví pouze s PINem skutečně nebezpečnější?

Stávající situace je tedy z hlediska bezpečnosti poněkud nevyvážená: vysoké zabezpečení svými rovněž vysokými nároky na obsluhu odrazuje řadu lidí od používání internetbankingu, přičemž zároveň spousta z nich bere za samozřejmé, že s platební kartou se ke svým penězům dostanou jen se čtyřmístným číslem. Zneužití platebních karet je přitom násobně častější (alespoň podle zpráv v médiích) než internetových přístupů. Strach z Internetu však nejspíš ještě chvíli bude trvat, a dokud banky nebudou ručit i za ztráty z „elektronických krádeží“, ke změně situace nejspíš nedojde. A co když vám nepohodlí s hesly vážně vadí? Pak zbývá jediné: nastavit si jejich platnost na co nejdelší dobu…

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.