Názory k článku ČSOB oficiálně spustila svou bankovní identitu. K čemu všemu se dá využít?

Psal jsem to včera jednomu redaktorovi Lupy a napíšu to ještě sem. Měl jsem spořící účet u Wustenrotu a od nového roku ho vzala pod sebe Moneta. 4.1. mi přišlo SMS vygenerované heslo a že si mám v IB nastavit nové heslo. To jsem udělal a všechno se tvářilo ok. Nicméně včera mi přišlo poštou jako obyčejný dopis mnou zadané heslo v plaintextu a že si mám nastavit další heslo. To jsem samozřejmě ihned udělal a volal jsem na klientskou linku, jak je možné, že mi heslo přišlo poštou. Prý se jedná o chybu a že mělo být v dopisu to heslo vygenerované bankou a ne to moje nastavené. Prý se ale nemám bát, že se jedná automatizovaný tisk bez přístupu lidí.
Musím říct, že mě podobné chování banky zarazilo. Asi bych nečekal, že má hesla někde jako plaintext a pokud z nějakého důvodu ano (nějaká povinnost), tak bych nečekal, že se něco podobného stane.

Já ty články o té bankovní identitě čtu a pořád vlastně nevím co mi to přinese kromě dalšího oseru? Absolutně netušim jak a co budu mým zákaníkům 55+ vysvětlovat.
Prozatím mi přijde, že to je strašlivý chaos.
Proč bych si proboha měl zakládat datovou schránku pomocí bankovní identity?
Proč bych měl vstupovat do dalšího smluvního vztahu místo použití jména a hesla vygenerovaného a uloženého třeba do keepasu? A jistotu resetu hesla díky jednotnému bezpečnému emailu.
Tohle je za mne jasně diskriminační systém, který znevýhodňuje lidi kteří IT moc nehoví. Mám známého, velmi manálně šikovného řemeslníka .. je mu 35let. Telefony a hesla si píše do notýsku. Každý rok mu obnovuju certifikát postsignum. Uplně se potí a šílí jen když se na to kouká co tam mačkám. Že bych mu to dokázal vysvětlit není šance. Stačí aby změnili text na tlačítku a konečná.
Je to další forma digitálního otroctví. Nutíte lidi mít telefony, nutíte lidi mít "chytré telefony", nutíte je aby si platili internet i v okamžicích kdy stačí osobní kontakt a tužka. Stavíte bariéry lidiem co tomu nehoví. Ve výsledku tohle jen zneužijou šmejdi jako další fintu jak z lidí tahat peníze.
Chápu že IT frikulíni žijící v bublině kravatových korporátů to co píšu absolutně nepochopí.
BTW: co elektronické občanky? Co občanky v mobilu? To bude další duplicitní systém k tomuto co? Fuj.

Problém IT a státní správy je jeden základní: konkrétní řešení stojí za nic.
Papírování a nutnost někam chodit jsme snad odstranili Datovou schránkou?
Papírování a nutnost někam chodit jsme snad odstranili elektronickými podpisy PostSignum?
Papírování a nutnost někam chodit jsme snad odstranili eObčankou / eIdentitou s čipem?
Proč se vymýšlí další vrstva tentokrát s názvem "Bankovní identita". Kolik dalších paralelních a překrývajících se systémů stát vymyslí?

Osobně mi to připadá jako další systém, který si někdo vymyslel a je zcela zbytečný. Neřeší žádný reálný problém, který někoho trápí. Ani lidi co IT rozumí po 3 článku na tohle téma si vlastně nejsou jistí jak přesně to bude fungovat. I díky tomu bude adopce v používání mizerná.
A když k tomu přidám stále stejné pochybné požadavky státní i bankovní sféry typu: vyplňte to >> vytiskněte >> podepište >> oscanujte >> pošlete nám to na mail. To že kontroly f.ú. požadují na fakturách vytištěné razítko is vytištěným podpisem jinak to neuznají (jen příklady informačního analfabetismu, se kterými jsem se za poslední rok setkal). Tak to ve výsledku pro cca 30% populace vytvoří reálnou bariéru a odsoudí je to k nepřístupu k šancím na šťastnější život. Je to to samé jako by jste zavedl povinnost naučit se plynně esperanto, aby jste si mohl podat žádost. Polovina mladých to zvládne. Z lidí nad 40let to zvládne max třetina s tím že se to bude blížit limitně k nule s postupujícím věkem. A že to přirovnání je přitažené za vlasy? Budete se divit, ale pro hodně lidí platí "naučit se používat esperanto" == "naučit se používat bankovní identitu"

Já tomu co popisujete rozumím. Kdo si to vlastně vymyslel? Banky? Stát? EU?
Proč nestačí eidentita na eObčance? Proč nestačí existující datová schránka? Proč nestačí elektronický podpis PostSignum? Až mi někdo vysvětlí proč toto všechno nestačí, tak zřejmě budu umět někomu vysvětlit proč má chtít "bankovní identitu".

Neočekává se, že si budete zakládat bankovní účet jenom pro to, abyste získal bankovní identitu. Naopak je to myšlené tak, aby lidí, kteří už účet v bance mají, k němu získali i bankovní identitu.

Vůbec nejde o nějaké jméno a heslo uložené v Keepasu. Jde o to, že je vaše identita ověřená – tj. někdo se zaručí za to, že ten, kdo v danou chvíli komunikuje se státem, jste opravdu vy. To by normálně znamenalo, že musíte jít na nějaký úřad, tam předložíte občanku a na základě toho si vytvoříte nějaký účet, který bude svázán s vaší osobou. Třeba v případě datových schránek byste takhle musel na CzechPoint. V případě bankovní identity to znamená, že to můžete udělat jenom na základě vašeho vztahu s bankou, ideálně jen přihlášením přes internetové bankovnictví – tedy nebudete muset nikam chodit, vyřídíte to z domova.

Používání bankovní identity není povinné, nikdo vás nenutí to používat. Bohužel zatím není možné její použití zakázat, takže třeba pokud někdo svůj přístup k bankovnímu účtu svěří třetí osobě pokoutně (tj. ne vytvořením dalšího uživatelského účtu a přiřazením oprávnění, ale tak, že prostě dá dotyčnému své přihlašovací údaje), může dotyčný jeho jménem jednat i se státem.

Další problém je samozřejmě to, proč zrovna banky, a proč už zase musíme jít specifickou českou cestou a nemůžeme se řídit eIDASem, který platí v celé EU.

A když už se o tom píše, tak by ještě chtělo zdůraznit, že to plaintext heslo přišlo jako běžný dopis (jak předchůdce píše - tedy ne doporučený) s odtrhávacími boky, který ani nebyl v obálce a šlo do něj bez odtržení nahlédnout. Mě ale přišel s původním heslem ze SMS, asi nejprve generovali hesla a posílali SMS a pak tiskli dopisy, ale Vy jste se trefil do okamžiku mezi, mě den trvalo, než jsem se k tomu dostal. Nicméně to, že mají přístup k negenerovaným plaintext heslům je obrovský průšvih.

A to jsem byl tak rád, že jsem se s Monetou před asi 5 lety úspěšně rozloučil.

Identita na eObčance stačí. Akorát si kvůli tomu musíte pořídit čtečku. Datová schránka stačí. Pokud ji máte. Tohle je prostě další možnost, jak poskytnout lidem možnost komunikovat se státem elektronicky něčím, co už mají, bez nástavbového opruzu.

Problém je jinde. Stát má rostoucí armádu úředníků a potřebuje je zaměstnat. Vedlejším efektem je rostoucí armáda úředníků ve firmách, která bojuje se státními úředníky. Čím efektivnější systém vyplňování a předávání formulářů bude, tím více bude potřeba formulářů, a více položek ve formulářích a více (virtuálních) razítek a (elektronických) podpisů.
Počítače byrokracii nezjednodušují, ale umožňují ji dělat mnohem detailnější.

Vymyslel si to pravděpodobně stát, protože hledá způsob, jak zařídit, aby víc lidí mohlo používat e-government. E-identita na občance nestačí proto, že to znamená pořídit si čtečku karet a naučit se s tím pracovat. Internetové bankovnictví už spousta lidí má. Datová schránka nestačí, protože ji spousta lidí nemá a nese s sebou dost podstatné „vedlejší“ efekty.

Elektronický podpis nemusíte používat jen od PostSignum, můžete používat jakýkoli z EU – jenom v ČR jsou (i s PostSignum) tři poskytovatelé. Ale hlavně elektronický podpis je něco jiného, než autentizace.

Bankovní identita je další způsob přihlašování. Pokud se přihlašujete e-občankou nebo datovou schránkou, bankovní identitu nepotřebujete. Ta je určená pro lidi, kteří nic z toho nemají.

Já vám nechci vyvracet, že tohle je fuj a tak. Taky se v tom neorientuji. Ale nerozumím tomu, proč by se neměla státní správa posouvat do digitálu. To jako fakt se vám líbí system Marie Terezie "vezmi si potvrzené lejstro a zanes si ho sám na další úřad, klidně i jen o jedno patro"? A plakat nad tím, že kdysi to šlo jen tužkou a teď ne je prostě jen otázka nákladů. Udržovat duplicitní tužkovej systém něco stojí. A asi není obecná shoda platit víc.
Vím že to není tak černobílé, ale změna je prostě jistá a průběžná. To že se něco mění je vlastně setrvalý stav. Jinak bychom skončili s tím systémem CK mocnářství a nehli se dál.

V článku to vypadá, že je třeba Smart klíč, ale jde i SMS. Takže jméno + heslo + SMS je taky záruka na úrovni značná (testováno v ověřovacím provozu).

Pokud to uživatelem zadané heslo umí vytisknout na papír, evidentně ho získat umí. Samozřejmě je možné, že si to dotyčný vymyslel, ale pokud vím, Moneta už to na Twitteru fakticky potvrdila.

To, že mají přístup k heslům v otevřeném tvaru, je průšvih – ale ne průšvih Monety, ale celého IT oboru, že nebyl schopen do teď vyvinout a nasadit standard, který by umožnil s heslem v otevřeném tvaru pracovat pouze v bezpečné části prohlížeče, kterou by opouštěl jen údaj, který by byl použitelný pro ověření uživatele, ale jeho znalost by nestačila pro přihlášení uživatele. Dneska se zdá, že tuhle fázi nakonec úplně přeskočíme a místo toho budeme používat nějaké autentizační tokeny.

Přístup k heslům mají totiž už v prohlížeči, pak se to heslo přenese na server a mají k němu přístup tam – a tam už nemáte vůbec žádnou kontrolu, co se s tím heslem děje.

Vy jste ale asi myslel to, že mají heslo v otevřeném tvaru (nebo jeho ekvivalent) uložené. To také nemusí být problém (když už to heslo tedy mají, protože jim ho prohlížeč poslal), heslo se dá uložit velmi bezpečně tak, že riziko jeho úniku je minimální. Stačí ho třeba zašifrovat veřejným klíčem a privátní klíč mít uložený někde off-line, jenom pro speciální případ, kdy bude potřeba to uložené heslo rozšifrovat.

Skutečný problém je to, že to uživatelské heslo takhle rozesílají. Za prvé to není ten výjimečný případ, kdy by bylo potřeba bezpečně uložené heslo získat. Za druhé proces úvodního nastavení hesla by měl být stejný, jako reset hesla. Tj. vytvoří se dočasné heslo, které platí souběžně s hlavním heslem (na začátku to hlavní heslo může být nastavené náhodně nebo tam může být speciální příznak „heslo nenastaveno“). Takže tady se vkrádá otázka, zda není řešen špatně i reset hesla a zda to nebude způsob, jak na účet udělat DoS.

Ano, tak mi to paní na klientské lince vysvětlila. Chyba nastala u toho, kdo si změnil heslo brzy poté, co dostal heslo SMS. Ten kdo čekal déle dostal původní vygenerované heslo.
A máte pravdu, papír jsem našel ve schránce. Nejednalo se o psaní do vlastních rukou.

14. 1. 2021, 11:21 editováno autorem komentáře

Pokud je to opravdu tak, tak jsem hodně rád, že tam nemám účet.

Čtečku mají běžně notebooky určené pro firemní využití, tam si nic kupovat nemusíte, protože to s eObčankou funguje.

Legraci si nedělám, v bezpečnosti to samozřejmě srovnatelné je. Teda pokud se bavíme o skutečně doporučených postupech, ne o tom vašem postupu – kterému odpovídá třeba i zahashování MD5 bez soli a pepře, z čehož nekvalitní hesla získáte raz dva. Že je to srovnatelné zjistíte tak, že porovnáte předpokládané vektory útoku a jejich pravděpodobnost, a porovnáte to s vektory útoku na jiné části systému, se kterými to srovnáváte. Opakování někde zaslechnutých pouček k porovnání opravdu nestačí – což je váš případ, protože pokud byste problematice rozuměl, nenapsal byste „jednosměrně nevratně přehašovat“. Protože „nevratně“ (v tom významu, jak jste to myslel) plyne z toho, že je to jednosměrné, a „jednosměrně“ je definiční vlastnost hashovacích funkcí. A naopak, nestačí to jenom nějak zahashovat – aby to bylo bezpečné, jsou na to hashování a další operace kolem dost podstatné další požadavky.

Že hash hesla spočítá JavaScript v prohlížeči není řešení, protože to pořád bude počítat kód, který ovládá provozovatel. Z hlediska bezpečnosti je jedno, jestli se k tomu heslu dostane v prohlížeči, odkud ho může poslat na server, nebo až na serveru. Pokud byste chtěl argumentovat tím, že je možné udělat audit kódu na klientovi – ano, můžete, ale při příštím načtení stránky může být ten kód jiný. Takže rozdíl mezi hashováním v prohlížeči a na serveru je asi stejný, jako mezi bezpečným uložením údajů pro ověření hesla pomocí hashování a bezpečným uložením výchozího hesla pomocí asymetrického šifrování – tedy drobné rozdíly v bezpečnosti tam jsou, ale jsou zanedbatelné vzhledem k tomu, jak obrovské bezpečnostní díry jsou všude kolem.

Souhlasím s Vámi až na jednu věc. Podle mě je problém právě to, že mají heslo v otevřeném tvaru. Sice můžete mít vše super bezpečné, ale to heslo tam někde je a může se stát chyba, tak jako v tomto případě. Osobně myslím, že se na sto procent nedá uhlídat nikdy nic.

Vyjádření Monety na Twitteru je tady: https://twitter.com/MONETAMoney/status/1348977667949932546 I když přihlédnu k tomu, že je to vyjádření marketingového oddělení a je trochu zmatené, plyne z toho, že mají hesla uložená tak, že dokážou získat otevřený tvar hesla.

Díky za info. To odpovídá. Manželce přišlo heslo také, takže jsem nebyl sám :)

Ono je tam ještě ten dopis - jak jsem psal, dá se do něj nahlédnout bez poškození obálky, proti tomu textu není žádný text na složené straně jen prázdný papír, takže při prosvícení obyčejnou baterkou si to heslo přečtete (i přes ten potisk, co tomu má zabraňovat). A ani nepoškodíte dopis. Pak už stačí jen sebrat vlastníkovi účtu mobil.

Druhou věcí je, že jejich nové bankovnictví je nějaká beta-verze, půlka věcí není dosud implementována a objeví se hláška o přesměrování do starého IB. Takže představa, že v databázi jsou plaintextová hesla nebo hesla kde je klíč v konfiguračním souboru skriptu IB mi vůbec nepřipadá nepravděpodobná, bohužel.

Děláte si legraci ? "Stačí ho třeba zašifrovat veřejným klíčem a privátní klíč mít uložený někde off-line" není v bezpečnosti srovnatelné ani náhodou s doporučeným postupem heslo okamžitě jednosměrně nevratně přehašhovat.
Jinak to co popisujete - aby se heslo neposílalo drátem , ale hash se spočítala už v prohlížeči není samozřejmě žádný problém a v javascriptu stránky se to běžně dělá.

Já jsem myslel, že poštou i SMS rozesílali stejné heslo. Ono je to tak, že to mají jako dva faktory, takže poštou přišlo něco jiného, než SMS? To ale nemusí znamenat, že komponenta pro rozesílání SMS umí přečíst obě hesla.

Mimochodem, ovládnutí bankovní komponenty pro rozesílání SMS fakt nepovažuji za významné riziko. To jste někde dost hluboko v bankovním systému, pokud byste dokázal ovládnout tuhle komponentu, má banka nejspíš daleko větší problém.

Stále ale platí staré známé pravidlo: „Vůbec nevadí, když hesla ukládáte třeba v otevřeném tvaru. Vadí, když se z něčeho pozná, že to tak děláte.“

Neřešte čtečku, to je zcela okrajová záležitost. Počítač taky musíte někdy koupit.

Jako člověk, který nějakou dobu dělal v bankovním IT (byť ne v ČSOB) dost pochybuji, že by skladovali heslo tak, aby se dal získat původní tvar. Pro banku není žádný důvod to tak dělat a jen to přináší bezpečnostní riziko. Nějaký no-name e-shop ano, ale v bankovnictví je bezpečnost přeci jen na vyšší úrovni.

Co znamená „mají“? Pokud to znamená, že mají k heslu v otevřeném tvaru přístup – jak jsem psal výše, s tím oni nic neudělají. Pokud myslíte, že ho mají uložené – pokud by to bylo např. jak jsem psal výše, je riziko úniku menší než když jsou uložené jen (dobře udělané) hashe hesel. Větší riziko je, ž to heslo unikne někde mimo, před tím, než se zahashuje/zaši­fruje. U toho šifrování je samozřejmě otázka, zda půjde použít i pro ověření hesla – ne všechny šifrovací protokoly fungují tak, že když dvakrát zašifrujete to samé stejným klíčem, dostanete stejný šifrovaný výstup.

Co k tomu napsali prosím? Nějak jsem to nezaznamenal.

A ono je to ještě horší, než to na první pohled vypadalo. Myslel jsem, že vygenerovali heslo, poslali SMS a uložili jej do DB, pak jej vytáhli tou komponentou na tištěný dopis (sic).

V tom tweetu ale píší, že "Šifrování je obousměrné a dešifrování se používá pouze na těchto tiskových výstupech, jako je pošta nebo SMS.". Tedy komponenta, která má být použita na druhý faktor - rozesílání SMS - si umí nějakým způsobem přečíst heslo z databáze. Pokud tomu tak je, pak případnému útočníkovi stačí ovládnout pouze ji, a získá hesla, přesměruje autorizační kódy v SMS na jiné číslo a vybere účet.

Pevně doufám, že alespoň ten dešifrovací klíč byl vygenerován a uložen na nějakém tokenu, který po rozeslání SMS odpojili a uložili do trezoru a v systému je jen veřejný klíč, kterým se jednosměrně hesla šifrují. Ale začínám pochybovat, ten amatérismus z toho čiší. Jak tohle mohlo projít bezpečnostním auditem?

Nemohla by k tomu LUPA nebo měšec napsat článek?

Ne, těm co si ho včas nezměnili poslali stejné heslo. Šlo o něco jiného, o přístup k účtu. Tedy jeden faktor je znalost hesla, další je kód opsaný ze SMS. Člověk co má přístup k SMS komponentě má podle jejich vyjádření obojí najednou. A bude to na klientovi, že si obojí dostatečně neochránil, protože "v našem systému se to stát nemohlo".

Z toho marketingového vyjádření bych nevyvozoval, že komponenta pro rozesílání kódů přes SMS má přístup k dešifrovaným heslům. Musíte vzít v úvahu, že to psal někdo, kdo zabezpečení vůbec nerozumí, pro veřejnost, která tomu obvykle také nerozumí. Určitě tam nešlo o absolutní přesnost.

Mají (můj třeba jo), ale běžně? To musíte specifikovat v požadavcích, by default to tam vesměs nebývá, stejně jako třeba 4G modem. Volitelná komponenta, která věc prodraží, takže je tam na přání.
Na úřadě jsem viděl u slečny za přepážkou zase klávesnici se čtečkou čipových karet. Když to používají, tak je to dobré řešení, ale taky to není v klávesnicích běžně.

15. 1. 2021, 09:24 editováno autorem komentáře

Ale ta možnost je vcelku pravděpodobná. Zatím jde "jen" o peníze, ale MMB má v rámci Q1 také spouštět bankovní identitu, a tam už může jít o plnohodnotnou krádež identity. A nějakého insidera co má přístup k systému pro rozesílání SMS nikdy nemůžete vyloučit.

Pokud by systém pro rozesílání SMS mohl nepozorovaně zmanipulovat jeden člověk, má banka dost velký problém, i kdyby ten systém k žádným heslům přístup neměl. SMS se pořád často používají jako druhý faktor.

Mícháte dohromady 2 věci - to, že se chce státní správa digitalizovat (nyní bez ohledu na to, že to samo o sobě vůbec nemusí znamenat, ani neznamená snížení byrokracie), neznamená, že si to musí odsrat občan, mnoho věcí jde udělat jednoduše či ohleduplně, přičemž platí, že vždy musí pro občana zůstat možnost papírového přístupu!

Přesně tak. Kdo se někdy setkal s fungováním státní správy, ví, že zjednodušení zpracování stávající agendy nevede k zmenšení a zefektivnění aparátu, ale pouze vytváří nový prostor pro úřednickou tvořivost ve vytváření dalších <|>ovin.

Delam v IT skoro 30let a co se z toho zacina "vyvijet" me zacina doslova iritovat. Ne nadarmo nekdo vtipne poznamenal ze EU je gulag s wifinou. Takze muj postoj je asi takovy ze pouzivam digitalni sluzby jen ktere povazuji za prinosne a poskytji jim jen nutne minimum osobnich udaju. Takze takovehle "vychytavky" na mne pusobi jako rudej hadr na byka. Spojte si ucty v bankach, pouzivejte bankovni identitu apod. Dekuji nechci.