Neviditelný pes První český ryze internetový deník. Založeno 23. dubna 1996

Čipové karty

No článek je opravdu pouze informativní, např. jeho tvrzení ohledně užití čipových karet tedy elektronického podpisu je zavádějící, především kvůli tvrzení, že je možné ho používat pouze na jednom počítači. Čipové karty jsou zřejmě zatím nejlepší a nejbezpečnější způsob zabezpečení (tedy do doby než někdo prolomí asymetrické šifrování s dnešní technikou to ale bude za statisíce let). Dnešní čtečky CCID standartu už nepotřebují instalaci driveru (MS od verze XP to má zabudované) a existují i v podobě miniaturníhoi keysticku pro SIM karty, je tedy možné je brát všude ssebou. Pokud to vaše banka nenabízí, jděte prostě k jiné. Je jen otázka času, kdy bude čipová karta součástí platební karty jako je to již v USA, pak budete mít přístup k účtu kdekoliv.

Re: Čipové karty

Tady mám dotaz: setkal jsem se se dvěma bankami (ČS, a.s. a ČSOB) s čipovou kartou s výše zmiňovanou čtečkou a u obou byl poměrně velký problém s instalací na WinXP, i s podporou obou bank to trvalo týden, zde si dovolím zapochybovat o té přenositelnosti ... ale na druhou stranu, víte o nějaké jiné bance s tímto systémem zabezpečení a máte s ní lepší zkušenosti? Zajímají mne praktické zkušenosti, ne jen teorie ... :-( Díky.

Odborna uroven clanku

Pro cloveka neznaleho je ten clanek bezpochyby prinosem. Ale uz jen trochu znaleho cloveka zarazi nasledujici tvrzeni napr. ohledne elektronickeho klice: "Nabourání této možnosti zabezpečení je možné pouze při fyzické krádeži tohoto klíče od jeho držitele a vyzrazení PIN kódu pro přístup do těchto elektronických kalkulaček." To samozrejme neni pravda. Nekdo se Vam naboura do pocitace a zajisti, ze misto se svou bankou budete komunikovat s jeho "proxy bankou", ktera bude prikazy preposilat vasi bance. Vy zadate prikaz pro prevod 1000 Kc na ucet X "proxy bance", ta vyda prikaz na prevod 1 mil Kc na ucet Y vasi bance, atd. Vase banka si vyzada potvrzovaci kod na 1 mil Kc, ale "proxy banka" ho bude prezentovat jako kod na 1000 Kc ... Samozrejme je pracne proxy banku naprogramovat, a proto se tento utok bezne nepouziva. Ale v principu mozny je. O odborne zpusobilosti autoru nehodlam polemizovat, ale musim rict, ze jiste pochybnosti ve me hlodaji.

Re: Odborna uroven clanku

To co pisete je samozrejme nesmysl, potvrzovaci kod v sobe obsahuje i vysi zpracovavaneho prikazu, takze vygenerovany kod pro 1000 Kc nikdy nebude stejny jako ten nutny pro prevod 1 mil Kc podstrceny tou Vasi proxy bankou. Proto docela pochybuju o Vasi odborne urovni :-) ... Kdyby to totiz bylo tak jednoduche, jak pisete, davno by to nekdo pouzil. Ta "proxy banka", o ktere pisete, se samozrejme bezne vyuziva jako fishing via e-maily a nasledne slouzi pro vylakani zakladnich pristupovych udaju, ci cisla karet apod.

Ja jsem tento clanek pochopil jako vseobecnou informaci pro nezkusene uzivatele, nebot tech je v teto republice stale jeste hodne. Ja sam se setkavam s lidmi, kteri proste nevedi, jak si zajistit rychly pristup ke svym financim (a to nejen v tehle republice). Jsou pak prekvapeni, co vsechno jsou jim banky schopny naslibovat a treba i nesplnit - viz jeden z webu autora, ktery se temito problemy primo zabyva - tam uz jsem se ted mrknul a nestacil jsem se divit.

Odborny clanek na tema sifrovani a cryptovani si pak prectu primo na forech a webech tomu primo urcenych ... takze na tenhle clanek bych tak rozhodne nepohlizel. Honza.

upřesnění

Ke změně tel. č. pro autentizaci plateb pomocí SMS přinejmenším ČS nevyžaduje fyzickou přítomnost nikoho nikde. Zabezpečení změny váže na zadání aktivačního protokolu resp. č. smlouvy služby servis24, přes kterou uživatel změnu provádí. Jak je to jinde, nevím.

Re: upřesnění

U Poštovní spořitelny je to přes formulář na pobočce...

Proc to delat jednoduse, kdyz se to da slozite

Proc to delat jednoduse, kdyz se to da slozite. Timto heslem se IMHO ridi ceske banky. Napr. elektronicky podpis je k nicemu, kdyz je utocnik nabouran v pocitaci a umi precist heslo, pak ziskat pro nej podpis je velmi jednoduche. Ostatni systemy stoji na zakldni premise: potvrzovaci kod jde jinym kanalem nez internetem a pocitacem (mobil ap.). Jsou to veci drahe a nekdy nespolehlive - vim jak dlouho nekdy trva prijeti sms. Banky v Rakousku nebo Nemecku pouzivaji transakcnich kodu - neni to nic jineho, nez seznam nahodnych cisel na papire, ktery si vyzvednete v bance nebo prijde postou. Pri zadani prikazu k uhrade je nutne pridat jeden kod ze seznamu, je to jednoduche, proste a levne. Papirek mohu mit ve stole volne polozeny, bez cisla uctu a pristupoveho hesla je nic. Utocnik smerujici pres internet muze ziskat jmeno a heslo, ale v papirku v supliku se nedostane. Nechapu, proc tak jednoduchy a bezpecny zpusob nemohou pouzit ceske banky.

Re: Proc to delat jednoduse, kdyz se to da slozite

No a tady je zakopan pes. Utocnik si muze odnest cely pocitac, ale pokud tam to heslo neni nekde ve wordu nebo v textaku, aby se nemuselo pamatovat, tak je mu to uplne na nic. Cely elektronicky podpis je postaven na tom, ze bez hesla se s nim neda nic podepsat a heslo se z nej neda zjistit. Ma to neco spolecneho z asymetrickou kryptografii. Utocnik smerujici pres internet muze ziskat kulovy, pokud mu to neumoznim. Komunikace se deje sifrovanym protokolem. Pokud je ale za pocitacem nejake pako, ktere zbesile klika na vsechno, co vidi na netu a co mu prijde v mailu, tak tomu nepomuze ani papirek s kody v supliku, protoze si tam urcite napise i cislo uctu a heslo

SMS mi docela vyhovuje,

u mé banky je platnost takto dodaného hesla omezena na 10 minut, takže i kdybych heslo po použití nevymazal a někdo mobil ukradl, už by mu ten kód celkem k ničemu nebyl.

Potvrzení transakce prostřednictvím číselného kódu odeslaného bankou na mobil zákazníka...

... mi s ohledem na jednoduchost připadne docela bezpečné. Přenechat zloději přihlašovací číslo a heslo k účtu a ještě vlastní mobil, to už je případ pro Dr. Chocholouška.

Pokud je mi známo,

tak pro změnu mobilního čísla pro zasílání SMS s číselným kodem pro jednotlivou transakci je třeba zadat také 4 náhodně zvolená čísla z vašeho osobního bezpečnostního kodu, který každý klient dostal doporučeně poštou. Takže i když se vám někdo nabourá do účtu, tak by mu to mělo být pendrek platné, pokud vám neukradne mobil. Nebo se mýlím?