Vlákno názorů k článku Jak bezpečné je vaše internetové bankovnictví? od Jirka - Ja tomu mozna nerozumim, ale ma smysl z...

Ja tomu mozna nerozumim, ale ma smysl z internetoveho bankovnictvi pro bezny ucet(!), kde je limit tak jeden mesicni plat, delat takovou kovbojku? Je to jak sci-fi nebo Putinuv jaderny kufrik...

Certifikaty, opticke klice, asymetricke sifry, autentizacni sms/kalkulacky...Hmm zni to drsne, a hlavne je to pekelne drahe, ale vsech tech softwarovych inzenyru, co to vyvinuli bych se zeptal: 'A umela by v tom vase babicka zaplatit ucet za elektriku?'

Ja mam ucet v Nemecku, v LBBW.de, internetove bankovnictvi je zdarma, stejne jako vetsina ostatnich sluzeb. Samozdrejmosti je podpora vsech prohlizecu i W3C standardu. Zabezpeceni se mi zda dokonale ve sve jednoduchosti.

Pri zalozeni bankovnictvi si na zaklade postou dosleho PIN zvolim PIN nove 4-8 mistne, a protoze si ho zvolim, je snadneji zapamatovatelne a nemusim si ho nikam psat. To je dostacujici pro pasivni operace, vypisy, etc..

Pak papirovou postou dostanu list s 50ti TAN (transacni cislo) kterym jednorazove autentifikuju kazdou operaci, kdy se hybe penezi. Po pouziti ho skrtnu. Papir s TAN je sam od sebe nepouzitelny, takze ho muzu nechat 'nebezpecne' povalovat v hornim supleti ve stole v praci, a jeho kopii doma.

Pokud nekdo sniffne PIN (a pri https:// to neni az tak jednoduche) je mu k hovnu bez TAN, pokud TAN, muze se s nim vyfotit, protoze bylo prave pouzito a je uz k nicemu.

No a kdyz dochazeji TAN na papire (zbyva jich min jak 5), banka automaticky posle novy TAN list.

Uz jsem chtel psat o tomto systemu a chtel jsem se dotazat na bezpecnost.
Muj nazor na vec: V dnesni dobe maji vsichni sifrovanou komunikaci, tam nebezpeci nehrozi. Co hrozi jsou phiseri a "odposlech" klavesnice. Ucinna obrana jsou jednorazova hesla, ktera jdou jinym kanalem: SMS, autentizacni kalkulacka, RSA klic nebo papirova hesla (=TAN) a nejsou ulozena v pocitaci. Kazdy z techto zpusobu ma sve vyhody/nevyhody. Papirovy TAN je nejjednodussi a nejlevnejsi az se divim, ze to u nas nikdo nepouziva.

Ted uz nepouziva.
Pouzivala to Moravia Banka, tam se dokonce elektronicky poslane transakce (pres modem, internet byl tehdy temer scifi) potvrzovaly "konfirmacnim listem" na kterem byl kod transakce a dopisoval se tam TAN. To se odfaxovalo a tim byla transakce finalne potvrzena ;-)

Byl to sileny opruz - zadat transakci do softu, odeslat modemem, vytisknout konfirmacni list, napsat na nej TAN a odeslat faxem... Jeste ze to uz dneska jde jinak ;-)

TANy u nás používá GE Money Bank volitelně u Telefon Banky, což je pro mě nepohodlná konverzace s automatem (IVR), kterou lze potvrdit zadáním jednoho TAN kódu s tabulky. Umím si představit phishing útok, kdy útočník požádá o zadání PINu, TANu - a pak je použije.

Něco podobného používala KB v dobách BBS a už tenkrát mě to přeukrutně lezlo na nervy, hledat nějaký papír. Teď používám profibanku s certifikátem z jednoho PC, které je chráněné i hw firewallem, instaloval jsem si ho sám a pracuju pod Userem, takže ten keylogger bych si tam musel nainstalovat leda sám.
Pro drobné soukromé platby mám eBanku se SIM Toolkit autentizačním kalkulátorem.

...tenkrát mně... fuj, to jsem čuně.

kdepak - mě

Ale vzdyt preci vsechny tyhle veci podlehaji man-in-the-middle! Vzor: Pripojite se na phisherovu stranku. Phisher se pripoji na stranku banky a neco preposle. Vy se zacnete na phisherove strance prihlasovat, phisher to preposle bance. Banka vam posle SMS. Vy odpovite na phisheruv web - a phisher je prave prilogovan k vasemu uctu!

Ano... v tomto pripade se dokaze prihlasit na ucet a ma k dispozici pasivni operace... Dokaze tak maximalne zjistit kolik mam na uctu... 100x jednodussi by pro nej bylo uplatit ucetni, at mu to cislo vrkne..
Ale neudela zadny prevod.. zadnou aktivni operaci.. Kazda z takovychto operaci ma vlastni autorizacni retezec, ktery je generovan na zaklade udaju o platbe. Cisla uctu, castky a ja nevim co jeste.. Vyrobim prikaz k uhrade a necham si poslat na mobil retezec... Zapisu do prohlizece... A zaskodnik zjistil kam posilam penize a to je zase tak maximum toho, co muze udelat.. Pozmenit prikaz nemuze, protoze by nesouhlasil autorizacni retezec a banka by prikaz odmitla.. Mozna (opakuji _mozna_) by dokazal muj prikaz zduplikovat a poslat ty stejne penize na stejny ucet jeste jednou... Kazdy retezec ma nejakou platnost a nevim, jestli ho po "pouziti" banka nejak zneplatni...
No.. V kazdem pripade si onen man-on-the-middle muze o nejakem majetkovem prospechu nechat jenom zdat.. Takze neverim tomu, ze vy s enekdo do neceho takoveho pustil..

trosku poupravim tok vasich myslenek ohledne preposilani dat na banku.
Pripojim se na podvrzene stranky banky, prihlasim se (stranky vse preposlou na banku, dotycny ma pristup) jak rikate pouze na cteni, zadam prikaz, prevod z uctu na ucet (kdo rika, ze preposlane udaje na banku budou stejne), pride mi potvrzovaci sms (na udaje ktere na banku zadal podvodnik) a ja mu ji prepisu a autorizuji transakci ...

Potvrzovaci SMS je zhruba ve tvaru "Prevod z uctu 12345 an ucet 98765 castka xy, var.sym 555"-Autorizacni retezec je 564654654....
Soucasne podotykam, ze tyhle udaje jsou na te stejne obrazovce, kam musim ted ten kod zadat, takze je muzu lehce porovnat...
Pokud by mi prisla autorizace s jinymi udaji, nez jsem nabusil do prohlizece, bylo by mi to minimalne divne :-)

Proboha, od toho je snad na serveru banky certifikat ne ????
Pokud si nejsem pri kazdem prihlaseni schopen zkontrolovat fingerprint toho certifikatu, nepatri mne veci jako Internetove bankovnictvi do ruky...

takze na kazdy prikaz k uhrade opisujete 50 cislic? ufff, to teda dekuju.. to uz driv dojdu do banky ;]]

He? Jakych padesat cislic? Normalne se prihlasim cislem uctu a PIN (ktere jsem si zvolil takze se dobre pamatuje) a pak transahci potvrdim cislem TAN (6 cifer) Jeste stale to nechapete? I kdyz vy mozna sve cislo uctu znat nepotrebujete, ne?

Jinak js e-baking pouzivam hlavne proto ze mi vadi nemecky socializmus, smutny pripad toho jak muze dopadnou prilis socialni stat je bankvni sektor. Otevreno od 10-16, so/ne vubec. Ja jako vedec obcas v praci i spim, a volny vikend si pamatuju jen z Ceska. Nicmene uznavam, ze to delam i proto ze mne to bavi, nejen zivi.

Vidim velke riziko zneuziti v pripade TAN. Jestli jsem to dobre pochopil, TAN cislo neni nijak svazano s konkretni transakci, jedno (neppouzite) TAN cislo se da pouzit pro autorizaci lib. transakce, ze?

Staci mit zadni vratka do pocitace - mit ten keylogger - tim ziskate to PIN.
Dale bude program cekat, az se nekdy prihlasite do banky a zadate prikaz na zaplaceni elektriny treba za 1000Kc.
Program zaskodnika v tomto okamziku prevezme komunikaci s bankovnim serverem a vyrobi na zaklade znameho PIN a TAN prevod na jiny ucet a treba rovnou castku 10x vyssi.

Asi to v praxi neni tak uplne jednoduche, ale kdyz bude mit zaskodnik pristup k danemu pocitaci, tak by nemel mit problem vyporadat se se vsim - jedine co neni schopen zjistit jsou ty TAN kody, a ty mu laskave do pocitace doda uzivatel. Pripadne, pokud ten papir nechavate skutecne valet nekde, tak si to treba ofoti mobilem na nasteve + vam nainstaluje ten keylogger do pocitace. A muzete se jit klouzat.

No nic proti, ale systém, který používá například eBanka je mnohem lepší a ani moc neobtěžuje.

Zadám klientské číslo, nechám si poslat číslený kód (heslo) na mobil, kde ho můžu zobrazit po zadání čtyřmístného PINu (to je jediné heslo, které si musím pamatovat), potom se přihlásím. Transakci potvrzuji stejným způsobem. Jednoduché, bezpečné, lepší než papír s padesáti TANy.

PS: Když vyčerpáte TANy, tak vám zase musí poslat poštou nové?