Neviditelný pes
Neděle 2. 6. 2024Jarmil polojasno10 °C

Diskuse k článku

FINANCE: Internetové bankovnictví pod lupou

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

  • Příspěvků: 34
  • Poslední: 23.7. 2007 11:19
  • Řadit dle: vláken
  • času vložení
Johny 19.7.2007 19:42

Čipové karty

No článek je opravdu pouze informativní, např. jeho tvrzení ohledně užití čipových karet tedy elektronického podpisu je zavádějící, především kvůli tvrzení, že je možné ho používat pouze na jednom počítači. Čipové karty jsou zřejmě zatím nejlepší a nejbezpečnější způsob zabezpečení (tedy do doby než někdo prolomí asymetrické šifrování s dnešní technikou to ale bude za statisíce let). Dnešní čtečky CCID standartu už nepotřebují instalaci driveru (MS od verze XP to má zabudované) a existují i v podobě miniaturníhoi keysticku pro SIM karty, je tedy možné je brát všude ssebou. Pokud to vaše banka nenabízí, jděte prostě k jiné. Je jen otázka času, kdy bude čipová karta součástí platební karty jako je to již v USA, pak budete mít přístup k účtu kdekoliv.

PN 19.7.2007 21:40

Re: Čipové karty

Tady mám dotaz: setkal jsem se se dvěma bankami (ČS, a.s. a ČSOB) s čipovou kartou s výše zmiňovanou čtečkou a u obou byl poměrně velký problém s instalací na WinXP, i s podporou obou bank to trvalo týden, zde si dovolím zapochybovat o té přenositelnosti ... ale na druhou stranu, víte o nějaké jiné bance s tímto systémem zabezpečení a máte s ní lepší zkušenosti? Zajímají mne praktické zkušenosti, ne jen teorie ... :-( Díky.

zzz 19.7.2007 16:04

Odborna uroven clanku

Pro cloveka neznaleho je ten clanek bezpochyby prinosem. Ale uz jen trochu znaleho cloveka zarazi nasledujici tvrzeni napr. ohledne elektronickeho klice: "Nabourání této možnosti zabezpečení je možné pouze při fyzické krádeži tohoto klíče od jeho držitele a vyzrazení PIN kódu pro přístup do těchto elektronických kalkulaček." To samozrejme neni pravda. Nekdo se Vam naboura do pocitace a zajisti, ze misto se svou bankou budete komunikovat s jeho "proxy bankou", ktera bude prikazy preposilat vasi bance. Vy zadate prikaz pro prevod 1000 Kc na ucet X "proxy bance", ta vyda prikaz na prevod 1 mil Kc na ucet Y vasi bance, atd. Vase banka si vyzada potvrzovaci kod na 1 mil Kc, ale "proxy banka" ho bude prezentovat jako kod na 1000 Kc ... Samozrejme je pracne proxy banku naprogramovat, a proto se tento utok bezne nepouziva. Ale v principu mozny je. O odborne zpusobilosti autoru nehodlam polemizovat, ale musim rict, ze jiste pochybnosti ve me hlodaji.

JK 19.7.2007 17:03

Re: Odborna uroven clanku

To co pisete je samozrejme nesmysl, potvrzovaci kod v sobe obsahuje i vysi zpracovavaneho prikazu, takze vygenerovany kod pro 1000 Kc nikdy nebude stejny jako ten nutny pro prevod 1 mil Kc podstrceny tou Vasi proxy bankou. Proto docela pochybuju o Vasi odborne urovni :-) ... Kdyby to totiz bylo tak jednoduche, jak pisete, davno by to nekdo pouzil. Ta "proxy banka", o ktere pisete, se samozrejme bezne vyuziva jako fishing via e-maily a nasledne slouzi pro vylakani zakladnich pristupovych udaju, ci cisla karet apod.

Ja jsem tento clanek pochopil jako vseobecnou informaci pro nezkusene uzivatele, nebot tech je v teto republice stale jeste hodne. Ja sam se setkavam s lidmi, kteri proste nevedi, jak si zajistit rychly pristup ke svym financim (a to nejen v tehle republice). Jsou pak prekvapeni, co vsechno jsou jim banky schopny naslibovat a treba i nesplnit - viz jeden z webu autora, ktery se temito problemy primo zabyva - tam uz jsem se ted mrknul a nestacil jsem se divit.

Odborny clanek na tema sifrovani a cryptovani si pak prectu primo na forech a webech tomu primo urcenych ... takze na tenhle clanek bych tak rozhodne nepohlizel. Honza.

zzz 19.7.2007 17:59

Re: Re: Odborna uroven clanku

Obavam se, ze jste to nepochopil. Vase banka dostane od proxy banky prikaz na 1 mil. Kc. Vygeneruje potvrzovaci kod na 1 mil Kc a zasle ho proxy bance. Ta ho ukaze zakaznikovi, ale bude ho prezentovat jako potvrzovaci kod pro 1000 Kc. Zakaznik to cislo vytuka na kalkulacce a proxy bance posle zobrazene cislo. Ta ho proste jen preposle Vasi bance. Proste trik je v tom, ze ten potvrzovaci kod sice obsahuje vysi prikazu, ale zakaznik si toho nemusi vsimnout. Napr. banka, kterou uz 4 roky pouzivam, nikde neuvadi, jaky je vztah mezi potvrzovacim kodem a prevadenou castkou. Vase banka to mozna uvadi.

jkotek 20.7.2007 16:08

Re: Re: Re: Odborna uroven clanku

Naopak jste pouziti elektronickeho klice nepochopil Vy. Do klice uzivatel nezadava nejake hausnumero od banky, ale jednotlive atributy platby. Typocky zdrojovy a cilovy ucet a castku. Timto zpusobem nema sanci proxy banka ovlivnit kam a kolik penez bude prevedeno. Pokud se pokusi platbu presmerovat na jiny ucet tak bude kod vygenerovany klientem neplatny.

zzz 20.7.2007 21:51

Re: Re: Re: Re: Odborna uroven clanku

Je mozne, ze ve svych uvahach nekde delam chybu, nicmene zatim si ji nejsem vedom. Uvazte nasledujici priklady komunikace se Swedbank:

1. Prevadim 100 000. Banka generuje kod "1000 0000", ktery zadavam do kalkulatoru a vysledek posilam zpet.

2. Prevadim 10 000 000. Banka generuje kod "1000 0000", protoze pri platbach nad 1 mil. Kr halere z kodu vynechava.

Do kalkulacky zadavam stejny kod jako v pripade prevodu 100 000 Kr. Uz chapete, ze ten kod je nejednoznacny?

(Priklady jsem netestoval, protoze tolik penez na konte nemam a uvedene pokusy by bezpochyby vzbudily pozornost vedeni banky.) Nicmene ta diskuze je vicemene akademicka, protoze utocnik si muze pockat na platbu, ktera je dostatecne vysoka a tu prevest na svuj ucet. Samozrejme je nutne, aby utocnik napred definoval svuj cilovy ucet. Ve Swedbank je kazdy cilovy ucet nutne potvrdit kodem kalkulacky. Nikde ale neni definovano, jak souvisi potvrzovaci kod a cilovy ucet. Pokud proxy banka nabidne logicky vypadajici cislo, pak si toho podvodu bezny zakaznik stezi vsimne. Mozna popisujete elektronicke klice ceskych bank, ale Swedbank zadne dumyslne mechanismy zakodovani vyse platby a ciloveho uctu do potvrzovaciho kodu nema.

Petr 23.7.2007 11:19

Re: Re: Re: Re: Re: Odborna uroven clanku

Aha, takže jsme nakonec zjistili, že až tak jistý se svým původním tvrzením nejste. Přitom váš první příspěvek kritizoval odbornou úroveň původního článku. To se nedělá, to od vás není hezké zzz

graver 19.7.2007 10:02

upřesnění

Ke změně tel. č. pro autentizaci plateb pomocí SMS přinejmenším ČS nevyžaduje fyzickou přítomnost nikoho nikde. Zabezpečení změny váže na zadání aktivačního protokolu resp. č. smlouvy služby servis24, přes kterou uživatel změnu provádí. Jak je to jinde, nevím.

RomanL 19.7.2007 10:59

Re: upřesnění

U Poštovní spořitelny je to přes formulář na pobočce...

highway 19.7.2007 9:03

Proc to delat jednoduse, kdyz se to da slozite

Proc to delat jednoduse, kdyz se to da slozite. Timto heslem se IMHO ridi ceske banky. Napr. elektronicky podpis je k nicemu, kdyz je utocnik nabouran v pocitaci a umi precist heslo, pak ziskat pro nej podpis je velmi jednoduche. Ostatni systemy stoji na zakldni premise: potvrzovaci kod jde jinym kanalem nez internetem a pocitacem (mobil ap.). Jsou to veci drahe a nekdy nespolehlive - vim jak dlouho nekdy trva prijeti sms. Banky v Rakousku nebo Nemecku pouzivaji transakcnich kodu - neni to nic jineho, nez seznam nahodnych cisel na papire, ktery si vyzvednete v bance nebo prijde postou. Pri zadani prikazu k uhrade je nutne pridat jeden kod ze seznamu, je to jednoduche, proste a levne. Papirek mohu mit ve stole volne polozeny, bez cisla uctu a pristupoveho hesla je nic. Utocnik smerujici pres internet muze ziskat jmeno a heslo, ale v papirku v supliku se nedostane. Nechapu, proc tak jednoduchy a bezpecny zpusob nemohou pouzit ceske banky.

jarda 19.7.2007 10:24

Re: Proc to delat jednoduse, kdyz se to da slozite

No a tady je zakopan pes. Utocnik si muze odnest cely pocitac, ale pokud tam to heslo neni nekde ve wordu nebo v textaku, aby se nemuselo pamatovat, tak je mu to uplne na nic. Cely elektronicky podpis je postaven na tom, ze bez hesla se s nim neda nic podepsat a heslo se z nej neda zjistit. Ma to neco spolecneho z asymetrickou kryptografii. Utocnik smerujici pres internet muze ziskat kulovy, pokud mu to neumoznim. Komunikace se deje sifrovanym protokolem. Pokud je ale za pocitacem nejake pako, ktere zbesile klika na vsechno, co vidi na netu a co mu prijde v mailu, tak tomu nepomuze ani papirek s kody v supliku, protoze si tam urcite napise i cislo uctu a heslo

PP 19.7.2007 10:29

Re: Proc to delat jednoduse, kdyz se to da slozite

Tyhle "tabulky" se používaly i v Česku, v dřevních dobách elektronického bankovnictví (via BBS). Měly tu nevíhodu, že si je lidé kopírovali (domů, do práce, jednu zmenšenou kopii do peněženky...). Navíc - i "útočníkovi" stačilo pořídit si kopii (= fyzicky "nic nechybí") a pak se jen dostat přes jméno+heslo.

Proto se od toho upustilo, stejně, jako se upouští od "certifikátů" prostě nahraných v počítači. (Taky stačilo udělat si kopii...)

PP 19.7.2007 10:31

Re: Re: Proc to delat jednoduse, kdyz se to da slozite

Fuj!. "nevýhodu" - kaji se. (Kdo dal "ý" a "í" tak blízko sebe na klávesnici!?!)

baf 19.7.2007 10:58

Re: Re: Proc to delat jednoduse, kdyz se to da slozite

Tady si myslím že je hlavní výhoda a síla SMS. Nikam nic neinstaluju, mimo mobilu nic navíc nepotřebuju, můžu odkudkoliv, kde to považuju za přijatelný (do internetový kavárny bych nešel) a jedno přihlašovací jméno s heslem si snad pamatuju

HA 19.7.2007 7:27

SMS mi docela vyhovuje,

u mé banky je platnost takto dodaného hesla omezena na 10 minut, takže i kdybych heslo po použití nevymazal a někdo mobil ukradl, už by mu ten kód celkem k ničemu nebyl.

baf 19.7.2007 8:02

Re: SMS mi docela vyhovuje,

Ale přijde mu heslo při dalším přihlášení

PP 19.7.2007 8:42

Re: SMS mi docela vyhovuje,

Přesně tohle - desetiminutový limit - je důvod, proč nepoužívám SMS ověřování: průměrná doba doručení zprávy je u mne cca 45 minut (někdy i "druhý den") a operátor mi lstivě navrhuje řešení v přechodu na jiný, pro mne mnohem méně výhodný tarif.

Ladislav N. 19.7.2007 8:52

Re: Re: SMS mi docela vyhovuje,

To sídlíte na jiné planetě, že doručení SMS trvá tak dlouho? 8-o U Vodafone na území ČR a v jednom městě je to otázka okamžiku...

PP 19.7.2007 8:58

Re: Re: Re: SMS mi docela vyhovuje,

Kdepák - jen mám jeden dost starý tarif na dost staré SIMce. Mohu dostat novou, zdarma, ale jen s novým tarifem - což by mne stálo několik desetikorun měsíčně navíc...

baf 19.7.2007 9:23

Re: Re: Re: Re: SMS mi docela vyhovuje,

A co takhle změnit operátora? Já mám ne zrovna up to date předplacenku a bydlím v "opičích horách" , moje banka dává platnost SMS 5´ na přihlášení a 1´ na potvrzení aktivní operace a je to celkem v poho (pravda, někdy potvrzení projde na druhý pokus, protože v SMS jsou kontrolní data z příkazu a mě chvilku trvá než to ze svého historického mobilu s malým displejem odkontroluju).

PP 19.7.2007 9:58

Re: Re: Re: Re: Re: SMS mi docela vyhovuje,

Jak píšu - mám "optimální" tarif, změna by mne stála peníze. I změna oparátora - ta teprve, protože máme všichni v okolí stejného operátora.

PP 19.7.2007 10:00

...

Ostatně - já si nestěžuji. Že mi chodí ty dvě SMS, co mi za měsíc někdo pošle, až po hodině, mi vůbec nevadí. Jen u té banky jsem musel přejít na jiné řešení.

Ladislav N. 19.7.2007 10:04

Re: Re: Re: Re: Re: Re: SMS mi docela vyhovuje,

Tak bych to řešil pravidelně udržovanou SIM karou Vodafone (předplacenkou) jenom pro bankovní operace. Nakonec - znám šikuly, kteří mají více mobilů i simkaret všech českých operátorů a využívají to, co je pro ně výhodnější. Navíc - při různých akcích (a u Vodafone vždy) je SIM karta za cenu kreditu na ní uloženého.

PP 19.7.2007 10:18

Re: Re: Re: Re: Re: Re: Re: SMS mi docela vyhovuje,

Ještě toho trochu! Já jsem rád, že s tím mobilem nemusím moc operovat - a najednou bych musel mít dva nebo přehazovat karty?!

baf 19.7.2007 10:39

Re: Re: Re: Re: Re: Re: Re: SMS mi docela vyhovuje,

Potom je ještě potřeba tu předplacenku udržovat při životě (anebo průběžně měnit číslo pro posílání SMS s heslem). Nevím jak jinde, ale u kysíku žije karta za 200 nebo 250 celý rok a jednou za rok je akce, kdy k dobití přidaj 200 (a to mi potom na rok vystačí:-):-)). Neberte to jako reklamu na kysík, mám ho proto, že ho maj moji blízcí, ale jinde by to mohlo být podobné.

Ladislav N. 19.7.2007 12:18

...Re: SMS mi docela vyhovuje,

Kyslík tohle dodržuje, to je fakt. T-Mobile ale na přelomu roku sliboval po dobití navíc kredit za 50,- a při dobití do půlroku dalších 50, ale slib nedodržel. Hlavně, že rozesílal SMSky, aby lidi motivoval. Divná firma. Proto taky leží její SIM v šuplíku téměř nepoužívaná i s mobilem stále na příjmu.

Roman 19.7.2007 23:05

Re: Re: Re: SMS mi docela vyhovuje,

Mám taky internet banking u České spořitelny, předplacenou kartu od Vodafonu a přijetí SMS s kódem je do několika sekund po stisknutí tlačítka na webovém formuláři. Obecně mi mobilní doručení kódu přijde jako rozumný kompromis mezi bezpečností a použitelností - tahat s sebou speciální kalkulátor? klíč na flashce? čipovou kartu? pokud budu mít na účtu statisíce, pak bych o tom asi uvažoval...

Ladislav N. 19.7.2007 2:54

Potvrzení transakce prostřednictvím číselného kódu odeslaného bankou na mobil zákazníka...

... mi s ohledem na jednoduchost připadne docela bezpečné. Přenechat zloději přihlašovací číslo a heslo k účtu a ještě vlastní mobil, to už je případ pro Dr. Chocholouška. ;-P

PP 19.7.2007 8:46

Re: Potvrzení transakce prostřednictvím číselného kódu odeslaného bankou na mobil zákazníka...

Jsou banky, kde je počáteční přihlášení redukováno na načtení certifikátu ze souboru na disku a doplnění hesla, což při oblíbeném nastavení "pamatovat si hesla" vede k tomu, že jen ťuknete" na tlačítko "Přihlásit" - a pak nastupuje ten mobil, ukradený zároveň s počítačem...

Dr. Chocholoušek by musel mít zvláštní oddělení pro "kancelářské krysy".

Načíst starší