Vlákno názorů k článku Jak bezpečné je vaše internetové bankovnictví? od Asistent - Ano souhlasim, to je muj pripad. Seefove jsem...

Ano souhlasim, to je muj pripad. Seefove jsem musel vysvetlit ze nemuze nechat valet svuj Nootebok kde se ji zliby, k overeni dochazi pomoci certifikatu. Ja na nej mam pristup a stacilo by pouzit program na odchytavani klaves a mam bez problemu jmeno a heslo do banky. A nejaka ohrana mi muze bejt ukradena :-) i kdyby byla nejlepsi na svete. Jako nejlepsi moznost proto povazuju osobní elektronickej klic, kterej nosim v kapse. Pak se muzu pripojit odkudkoliv, klidne i z ciziho počitace a nemusim mit obavy o to ze my nekdo vyluxuje ucet, protoze pokud ho ztratim tak zavolam do banky a ta ho okamzite zablokuje a na muj ucet se nikdo nedostane.

:-) k cemu asi mame fingerprint? Ano, je treba pouzivat mozek a ne delat chytraka v oblasti o ktere nic netusime...:-) - uz jste zkousel kliknout na ten klic a dat si informace o certifikatu?

Outsourcing i v oblasti finacnictvi je naprosto normalni - taky Vas prekvapuje, ze do Vaseho ucetnictvi vidi osoba, ktere je po tom kulovy jake spinavosti provadite?:-) Vse je otazka dohod, smluv a penale... proste tato cinnost se nesmi vyplatit...

Nejspolehlivější je tedy notebook, vlastní, na kterém pracujete jen vy sám a máte ho patřičně zabezpečený, kdyby došlo ke zcizení. Pak můžete "bankovničit" kdekoliv, kde se připojíte k internetu.

Coz predpoklada, ze duverujete autorovi distribuce a programum na ni a pak take HW, na kterem to spoustite. Klavesnice muze byt odposlouchavana, monitor take apod. A to klidne tak, ze to nepoznate.

Ovsem, jak si to bezpecne overit? Telefon nemusi byt bezpecny (pro ne-paranoiky mozna dostatecny), na prepazce vam kvalifikovane neporadi (pokud tam nestravite den) ...

Mimochodem, pro vetsinu technickych podpor je pozadavek na fingerprint natolik nestandardni, ze vam vetsinou odpovi az nejaky technik (ktery to IMHO stejne zjistit tak, ze se podiva pres prohlizec na stranky bankovnictvi).

Klient by si toho mel vsimnout treba na vypisu transakci, zmene zustatku apod. Z hlediska banky to je prece platba jako kazda jina ...

Napada me, ze kdybych na vas chtel utocit, tak si najdu nezabezpeceny pocitac a pak vam na vas ucet budu posilat nejake castky treba kolem 500-1000. Pokud by na vas kazdy poskozeny rovnou podal zalobu, nebudete delat nic jineho nez tyhle zaloby vyrizovat. Nemluve o tom, ze muzu nejake penize poslat vam (aby se poskozeny "zabavil") a dalsi posilat na ucet v zahranici nebo jeste lepe na nejake to fiktivni tuzemske konto, kde nemusi dohledat nikdo nic.

proč?

stačí si zkontrolovat fingerprint certifikátu s tím, který jste si zjistil v bance a jste v suchu.

nechápu proč všichni musí vidět certifikát jakési autority, z hlediska důvěryhodnosti je jistě lepší vytisknutá vizitka donesená přímo z banky, než nějaká neznámá zámořská "autorita"

Takovou banku bych doporucil nepouzivat...

A nepoužívat k platbám počítače, u nichž nedůvěřuji osobě, která má administrátorská práva, nebo na kterém není pravidelně prováděna bezpečnostní aktualizace. Na takovém počítači raději nabootovat systém z doneseného CD/DVD/USB flash disku.

ad zabezpecene ssl:

co mam povedat banke, ktora ma certifikat podpisany sebou ? tam si proti phishingu nic nepomozem, ci hej ?

Banka samozrejme v takovem pripade bezodkladne kontaktuje organy cinne v trestnim rizeni (sam jsem se jednou takove akce zucastnil), nicmene to uz je pro okradeneho trochu pozde.
Majitel ciloveho konta muze zrovna lezet na Hlavaku pod lavickou s okenou v ruce, pripadne to muze byt ukrajinsky delnik, ktery uz pul roku neni v republice.

cokdyz vam nekdo naedituje soubor 'hosts' ve windows
xx.xx.xx.xx www.banka.cz

tim se obejde DNS a vy se pripojite uplne na jiny server - vytahnou z vas heslo ani nemrknete - proste se budete prihlasivat ke svemu uctu...
staci aby vas pak presmerovali na spravny server, kde se treba vypise spatne zadane heslo - myslite si ze jste se preklikli a nevenujete nicemu pozornost

obrana - jde jen o to, jak jste pozorni pri kontrole SSL certifikatu (za pouziti frejmu si ani nevsimnete ze jiz jste na jinem serveru s trusted SSL certifikatem)

Je nonsens takové věci psát kamkoliv do formulářů "pro ověření" a tak podobně. Myslím, že samy banky před tímto varují.

Dobry den - jak to presne myslite?
Existuji (nebo donedavna existovaly) bugy, pri jejichz vyuziti jste videl v url browseru klasickou adresu banky, ale mohlo se klidne jednat o podvrzene stranky nekde v Rusku. Tady vam mozek moc nepomuze.

> Z hlediska banky to byla spravne autorizovana transakce a tudiz ji banka zprocesovala. Problem je jednoznacne na strane klienta.

Blbost. Klient netusi, kam penize odesly, naopak banka to musi vedet zcela presne, logicky by se mela starat ona. Osobne vubec nechapu proc je kolem toho takovej humbuk, ze strany banky prece stacilo platbu reklamovat, nejlepe v kombinaci s zalobou na majitele ciloveho konta.

Nejlepší ochrana proti phishingu je mozek...
Na všechno ostatní je potřeba kvalitní a bezpečný způsob komunikace s bankou. Pokud někdo používá pouze heslo nebo má certifikát v texťáku na ploše, tak dobře mu tak...

To ze mel klient antivirus je sice mozne, ale nikoliv relevantni. Klient je zodpovedny za bezpecnost sveho pocitace. Z hlediska banky to byla spravne autorizovana transakce a tudiz ji banka zprocesovala. Problem je jednoznacne na strane klienta.
Otazkou je jestli byl vubec pouzit odchytavac klaves. Spousta klientu si nechava svuj stroj udrzovat sousedovic Pepikem, heslo k certifikatu mu bud rovnou reknou (nejde mi banka) a nebo ho maji v textaku primo na plose. No a kdyz se Pepik rozhodne neco si privydelat, tak ...
Uz uplne zbesile je, kdyz si klient necha zprovoznit bankovnictvi externi firmou a preda jim k tomu vsechny podklady. Pak uz je samozrejme jakekoliv zabezpeceni na nic.

V trochu bombastickém nadpisu je položena otázka "Jak bezpečné je vaše internetové bankovnictví?", ale tato otázka zůstává otevřena i po dočtení článku. Nemělo by se to spíš jmenovat "Stručný přehled autentizačních technik"? :)

Hrozbou číslo jedna je momentálně takzvaný phishing, kdy je uživatel vyzýván k zadání svých údajů na falešné stránky banky. Dosavadní případy se zatím týkaly jen zahraničí, ale i v ČR je nutné uvažovat mírně paranoidně a všechny podezřelé události ověřovat.

Některé ověřovací metody před phishingem chrání, některé ne. Zjednodušeně se dá říct, že prosté ověření jménem a heslem je zranitelné, ale je chyba klienta, že své heslo někomu vykecal. A tak na to pohlíží i banky.

Větším rizikem jsou zachytávače kláves (keyloggery), díky kterým lze obejít i dokonalejší techniky. Samotné certifikáty obvykle nestačí. Naopak ověření transakcí přes SMS je poměrně bezpečné.

Tyto případy jsou i v ČR. Nedávno proběhla médii zpráva, že KB nechce odškodnit klienta, jehož účet byl vykraden právě pomocí odchytávače kláves. Klient zas argumentoval, že "měl antivirus".

Absolutní minimum pro ochranu: nespouštět software z neprověřených zdrojů, kvalitní antivirus, kvalitní firewall, bezpečný prohlížeč WWW. Nepoužívat internetové bankovnictví založené na prostém ověření jména a hesla. Nedůvěřovat, prověřovat.