Vlákno názorů k článku Podivné bankovní bezpečí od petr - První zarážející věc je že autor říká, že...

První zarážející věc je že autor říká, že internetové
bankovnictví je bezpečné. Není tomu tak. Stačí, když vám
někdo do počítače podstrčí trojského koně, který bude fungovat jako odposlouchávač hesel a ftp server. Děr
we windows je hodně, takže je velká šance že se to někomu podaří (ale nejspíš někomu úplně anonymnímu)-
Dozví se tak brzo hesla a stáhne si i vaše superbezpečné certifikáty.

Tohle se dá řešit nepříklad zasíláním přístupových hesel
na mobil, nebo generátorem kódů v podobě kalkulačky.

Další způsob, na který ale naše České a arogantní banky nepřišli je prostě vygenerovat tabulku kódů a při každém přihlášení použít jiný. Použitý kód si škrnout. Jednoduché,
účinné a mnohonásobně bezpečnější. Takto to provozuje třeba norksá banka Nordea.

Dále by se přihlašování sestávalo i z části hesla, které
si musí každý pamatovat. Takže aby se někdo dostal na účet,
musel by se dozvědět vaše stálé heslo, které není nikde napsané, a navíc mít onen papír s hesly... Takže kromě trojského koně musí mít i fyzický přístup k vašem věcem, což
je dost špatně splnitelné podmínka nějakého anonymního hackera ...

Důvodem proč k zneužívání moc nedochází je především to,
že peníze nelze vybrat v hotovosti, ale musí se převést na jiný účet, který by musel být založen s falešnými doklady, nebo na bílého koně.
Dohle je složitější, než se dozvědět nečí přístupové
údaje a stáhnout si jeho certifikát ....

Bankovnictví je u nás složité a často nebezpečné, protože
zdejší bankéři jsou hloupí a arogantní. Je to jednoduché. Tonelovat banky už nejde, tak okrádají klienty.

p.s. Např. ve Velké Británii je zvykem, že všechny základní služby jsou pro klienty úplně zdarma. Téměř to stejné ve Finsku - vlastní zkušenost.

Pridam take vlastni zkusenost - pouzivam nemeckou Postbank a jeji internetove bankovnictvi nemuzu si stezovat (nehlede na dalsi sluzby, ktere nabizi oproti nasim bankam standardne zdarma :-). Je to podobny system. Tabulka kodu pro potvrzeni operaci, jeden kod jedna operace. Jednodussi to byt snad nemuze. Jakmile spotrebujete vsecky kody banka posle dalsi. Prihlaseni prostrednictvim PINu a cisla uctu, vse samozrejme pres SSL.

"naše České a arogantní banky nepřišli je prostě vygenerovat tabulku"

Nechci se bank zastávat a tato výjimka se netýká přímo internetu. GE před časem zavedla telefonické bankovnictví, kde se mohly kromě stálého hesla používat jednorázové autorizační kódy. Jestli si správně pamatuju, říkali jim TAN. Za vygenerování tabulky TANů si účtovali nějaké peníze, nebylo to v ceně služby. Kódy z jedné tabulky se daly používat v náhodném pořadí. Když jste náhodou měl víc než jednu tabulku, použití kódu z novější tabulky zneplatnilo všechny dosud nepoužité kódy ze starších tabulek.
Nevím jestli to ještě funguje, nebo jestli mají obdobu pro internet.

Asi nerobite vela transakcii na den. Ak mi banka vygeneruje trebars 100 takychto kodov a ja denne spravim v priemere 35 bankovych operacii (niekde sa robi aj 10x viac) tak to aby som behal do banky pomali raz do tyzdna, resp. raz do tyzdna bezal na postu, lebo ta postarka - potvora leniva mi do prace na 9-te poschodie nic doporucene nedonesie. Ked vie banka z urcitostou, ze nadisiel ca mi poslat nove kody? Dnes spravim transakcii 40, zajtra iba 10, pozajtra 20 a popozajtra ak mi bude treba 50 tak mam smolu, lebo musim cakat na kody od banky...

Uprimne takyto system mala na slovensku svojho casu Postova banka a rychle som od nich zutekal. Skrtat kody kvoli pseudobezpecnosti?

Uprimne, kto sa bude snazit zistit moje heslo, pripadne kombinacie mojej gridkarty, pripadne spominanej "kalkulacky" kvoli tomu, aby mi z uctu ukradol kolko 1.000.000 korun? Myslite si niekto, ze sa najde blbec, ktory to riskne s tym, ze ho do 4 hodin od takejto cinnosti zavru? Len co spravi transakciu, dojde mi SMS o zmene stavu na ucte, pripadne e-mail (ten niekedy este skor) a ja hned kontaktujem banku ohladom neautorizovej zmeny na ucte.

Uz sa mi stalo raz, ze vdaka nejakej "sikovnej" zamestnankyni mojej banky odisla nejaka suma na iny ucet. Niekto dal hromadny prikaz a pri jeho prepisovani zle zapisala cislo uctu, z ktoreho sa stahuju prostriedky. O zmene som vedel okamzite a do hodiny som mal peniaze spat na ucte.

Ano mate pravdu. Tolik transakci denne jako Vy pres internet neprovadim. Pro me a troufnu si rici ze i pro kazdeho normalniho bezneho smrtelnika (Vy asi nebudete tento pripad :-) je uvedeny zpusob naprosto vyhovujici.

Pridam jeste dalsi svou zkusenost, a to ze pokud delam transakci vice, tak zajdu do banky osobne za svym bankerem, kde vse v klidu vyridim. Za to mi to stoji. A pokud i toto by na Vas bylo mnoho (cas jsou prece penize), pak si musite poridit duveryhodnou sekretarku :-).

No ja teda nevim. Mam ucet u Nordey, a ze by se mi to zdalo bezpecne, to snad ani ne. Veskere informace, ktere potrebujete k operacim na uctu mate na dvou papirech v supliku. Zadne heslo potreba neni. A pokud chci provadet operace odjinud, pak nezbyva nez tahat ty papiry s sebou, protoze pamatovat si vsechny ty posloupnosti cisel je nemozny.

To ze jsou vsechny sluzby zdarma je temer pravda. Prevod penez z uctu na cipovou kartu neco stoji. Ale jinak vse zdarma, svata pravda.

a to pouzivas tatrabanku???

V nemecku to funguje podobne. Https, zvoleny PIN a papir s 50ti TAN (transaction numbers) kazde na jedno pouziti. Bezpecne a pohodlne.

Toto není nic jiného, než velmi primitivní forma principu použitého u kalkulátoru (zde ty kódy generuje přímo kalkulátor) nebo mobilního klíče u eBanky, kde jsou šifrovaně zasílány po jednom do mobilu na vyžádání, čili popisovaný systém je sto let za opicemi.

Nechci vam brat iluze a branit ceske banky. Nicmene pres vsechny sve chyby maji ceske banky internetove bankovnictvi zajisteno na vyssi urovni nez je bezna v Zapadni Evrope nebo v USA. Diky tomu, ze u nas internetove bankovnictvi bylo zavadeno pozdeji, bylo mozne se poucit z chyb a rovnou nasadit asymetrickou kryptografii se soukromymi klici. Oproti tomu na Zapade zacali pred lety s obycejnymi plain hesly tak jak byli zvykli treba z telefonnich center. Kdyz se ukazalo, ze to nemusi vzdy stacit, bylo uz pozde, protoze klienti si zvykli na pohodlicko a odmitali nechat se prudit se soukromymi klici. U nas byli klienti bank k tomu nuceni hned od zacatku, takze jim nic jineho nezbyvalo a zvykli si. Pamatuji si jak pred par lety jsem se zucastnil vyberu noveho IT systemu pro banku a kdyz v ramci specifikace zadani jsme dodavateli rekli, ze vsechny transakce pres inet bankovnictvi jsou podepisovany certifikaty, tak se dost divili a rikali ze zadny z jejich dalsich klientu (velkych EU bank) to takhle nema a kvuli klientum, ze se bezne akceptuji milionove castky prevadene jen heslem.

no já nevím, ale velké firmy provádějící takovéto množství transakcí používají spíše homebanking, tj. speciální SW na PC, příkazy tam naimportují z ekonomického SW a posílají hromadně jako jednu dávku, tj. "spotřebují jeden kód za den"

no me to zni spis jako silny opruz. U eBanky proste pri prihlaseni, kazde aktivni operaci ci rekonfiguraci uctu kliknu, na mobil mi prijde cislo, to opisu a je to. Papir s kody mi prijde adekvatni tak pro phonebanking. Zadne obstaravani noveho lejstra s kody, chozeni na postu, ja sem ve sve bance byl pouze pri zakladani uctu.

Osobní klíč ("kalkulačka") u eBanky je v principu o třídu jinde - podepisuje i obsah transakce (číslo protiúčtu, atd.). Takže i když budu zadávat příkaz z cracklého počítače, pořád jsem v relativním bezpečí.

To ale u dobre utajenych TAN taky, problem s kompromitovanym kompem je u klíčů importovaných do počítače

Opravdu? Zadávám převod peněz, cracklý počítač zobrazí číslo protiúčtu 123456789/0100 a částku 2000, správně, to jsem chtěl. Ale do banky se správným TAN putuje číslo účtu 987654321/0200 a částka 2000000.

Jestli ono to spíš není odlišnými obchodními modely západních bank a odlišným způsobem jejich chování k zákazníkům. Ano, vystihl jste to, že západní trh je naladěn jinak, než ten český, takže na západě musí banky (i za cenu vysšších rizik, jdoucích na jejich vrub) vycházet vstříc svým "zhýčkaným" zákazníkům, zatímco frustrovaný a odevzdaný český zákazník si v našem prakticky nekonkurenčním bankovním prostředí nechá (s prominutím) srát na hlavu. Otázkou pak zůstává jen to, co kdo považuje za lepší. Já osobně rozhodně to první.

Mimochodem, totéž tvrzení se dá aplikovat i na nehorázné poplatky, které si banky v ČR účtují - jedná se opět o důsledek arogance českých bank, jejich de facto kartelu na malém českém trhu, atd.