AbcLinuxu:/ Blogy / Kacířské myšlenky / Ze života / Komerční banka "vylepšila internetové bankovnictví"

Komerční banka "vylepšila internetové bankovnictví"

21.8.2006 21:17 | Přečteno: 1734× | Ze života |

Neradujte se předčasně, už ty uvozovky naznačují, že funkčnost pod GNU/Linuxem - nebo aspoň čímkoli jiným než MSIE, třeba i jen na Windows - se (aspoň zatím) nekoná. Ale i tak ta změna stojí za zmínku, protože dosavadní úroveň bezpečnosti se za dostatečnou označit nedala.

Kdo má účet u Komerční banky, asi už to ví. Od 25. srpna bude k autorizaci transakcí potřebovat nejen své elektronické klíče, ale i mobilní telefon. Na něj mu totiž přijde autorizační SMS, bez které nikdo nikam peníze nepošle. Jak se ještě zmíním, je to změna dost podstatná, protože nynější způsob autorizace byl docela výhodný pro útočníky různého druhu.

Banky používají různé druhy ověření totožnosti a práva provádět určité operace. Shrňme si nejrozšířenější z nich:

• Ochrana heslem. Způsob poměrně jednoduchý a přenositelný (z hlediska platformy), ovšem s velice nízkou úrovní bezpečnosti. Útoky jako phishing, man-in-the-middle nebo odchycení hesla keyloggerem lze realizovat velice snadno a po získání hesla je účet plně k dispozici. Tuto metodu už snad žádná banka nepoužívám, maximálně tak pro kontrolu zůstatku. Vylepšená verze se liší tím, že se zadávají vždy pouze některé znaky, ale o moc vyšší úroveň bezpečnosti to nepřináší.
• Heslo ke klíči + autentizační applet. Klient má svůj pár klíčů, které používá pro autentizaci, šifrování apod. Heslo k soukromému klíči zadává typicky přes nějaký applet. Toto řešení dosud používala právě Komerční banka. Bezpečnost je jen nepatrně vyšší než u hesla, protože stačí keylogger nebo jiná metoda odchycení hesla, v kombinaci s nějakým způsobem stažení souboru s klíči. Obojí bez problémů zajistí nějaký trojan, jak už se ostatně nejednou stalo. Řešení je obvykle špatně přenositelné.
• Kombinace jednoho z předchozích a TAN. Kromě nějaké metody použití hesla se pro každou transakci zadává také tzv. TAN (Transaction Authorization Number). Seznam TAN klient získá poštou nebo na pobočce. Výhodou je, že ani samotné prozrazení hesla neumožní převádět peníze. Nepříjemné je naopak získávání seznamů TAN, navíc hrozí jejich ztráta a případné zneužití.
• Heslo + klíče v chipu. Také poměrně často používaná metoda, opět málo přenositelná. Zabraňuje ukořistění soukromého klíče pouhým stažením souboru, bylo by nutné fyzicky ukrást (nebo zkopírovat) chip, což je poněkud obtížnější. Bez potřebného zařízení (čtečky) si ovšem neškrtne ani ten, kdo by chtěl tuto metodu normálně používat.
• TAN formou SMS. Namísto seznamu TAN na papíře se použije doručování formou SMS na konkrétní (pevně stanovené) telefonní číslo. Je to pohodlnější, i když to zase vyžaduje jiné věci (třeba signál mobilní sítě - někde to může být problém).
• Jednorázové heslo. Spočívá v tom, že se nějakým algoritmem vygeneruje jednorázové heslo (hash apod.) z normálního hesla a z informace poskytnuté serverem. Pokud by se heslo generovalo (a tedy i zadávalo) na počítači, bezpečnost by byla bídná - viz výše. Proto je potřeba použít externí zařízení (kalkulačku). I tak zůstává hrozba plného otevření účtu prozrazením hesla.
• Jednorázové heslo počítané v mobilu. Pravděpodobně nejlepší řešení. Formou SMS přijde TAN, z něj a z hesla se v bankovní aplikaci v mobilu vypočítá jednorázové heslo a to se použije k autentizaci a autorizaci. Není problém s přenositelností bankovnictví na počítači, útoky na počítač bezpečnost neohrozí, jediný možný útok by spočíval v získání hesla a současě krádeži telefonu.
• TAN přes mobil. Zjednodušená verze, nevyžadující použití hesla. Ovšem bezpečnost stojí a padá s mobilním telefonem, při jeho krádeži je (do zablokování) účet otevřený. Proto se používá spíš modifikace vyžadující k získání TAN dešifrování zašifrované SMS (kdy se samozřejmě použije heslo).

Je zajímavé sledovat, jak různé banky volí různé metody. Např. eBanka (kdysi Expandia Banka) začínala nejprve s autentizační kalkulačkou, pak přidala další metody (mj. TAN přes mobil). Jiné banky mívají nabídku trochu jinou, ale v zásadě už platí, že se vždycky najde nějaká dostatečně bezpečná a současně dostatečně přenositelná metoda. Pouze Komerční banka pokulhává a nabízí pouze verzi s klíčem buď v souboru nebo v chipu, od nynějška také vždy s TAN posílanými přes mobil.

I když samozřejmě pro výběr banky existují i mnohá jiná kritéria, pro leckoho právě tyto věci mohou být důležité. Právě nynější okamžik byl vhodný pro to, aby bylo původní mizerně zabezpečené bankovnictví nahrazeno lepším, které by bylo i přenositelné. Bohužel, nestalo se, banka nenásledovala své konkurenty, kteří v tomto ohledu vykonali velké množství práce, přestože mají třeba podstatně méně klientů, kterých by se to týkalo. Ať si to každý přebere jak chce, ale lze to považovat za důležitý signál pro budoucnost.

Odkazy:

• Seriál o internetovém bankovnictví v Linuxu
• Tisková zpráva o změně zabezpečení

Tiskni Sdílej:

Komentáře

Vložit další komentář

21.8.2006 21:37 OndraZX | skóre: 27 | blog: OndraZX | Frydek-Mistek
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Link | Blokovat | Admin

Zajimave informace - diky

21.8.2006 22:15 ajikdpoe | skóre: 23 | blog: dvh
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ja som nedavno cital "Vyhlad na najblizsich 50 rokov" a tam sa pisalo ze tusim v roku 2020 uz nikto nebude pouzivat elektronicke bankovnictvo (kvoli nemoznosti zabezpecenia). Alebo napr. koniec bankoviek lebo domace tlaciarne uz budu tak dokonale ze si kazdy bude moct tlacit super kvalitne bankovky doma. A v roku 2050 humanoidny roboti porazia anglicku reprezentaciu vo futbale. Btw. ja by som elektronicke bankovnictvo v zivote nepouzil (som totiz programator a viem o com to je).

21.8.2006 22:34 greggie
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

ale no tak, preco zasa tolko pesimizmu :)

kedze ta na ceste moze zrazit auto, tiez nechodis po ulici? :)

21.8.2006 23:07 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Btw. ja by som elektronicke bankovnictvo v zivote nepouzil (som totiz programator a viem o com to je).

Za nesrovnatelně nebezpečnější považuji platební karty (i když je také používám). Zdaleka ne všude se používá PIN (dokonce ani v mnoha velkých obchodech) a zhruba 4 z 5 pokladních absolutně nekontrolují podpis. Takže stačí ztratit kartu a je vymalováno

Jinak internetové bankovnictví používám především proto, že je to mnohem pohodlnější a rychlejší. Nemluvě o tom, že banky mají poněkud nevhodně volenou otvírací dobu

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

22.8.2006 07:28 miso | skóre: 36 | blog: iSCSI_initiator_howto | Praha
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Stratit? Myslis skopirovat magneticky pasik

Project Satan infects Calculon with Werecar virus

22.8.2006 13:20 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Zkopírování hrozí také, ale měl jsem na mysli spíš fyzickou ztrátu nebo krádež. Pak "nový majitel" může - do zablokování - vesele utrácet, protože leckdy nepotřebuje PIN. A u embosovaných karet je ztráta/krádež úplná pohroma, protože stoplistace je zdlouhavá a drahá. Mít embosovanou kartu bez pojištění je dost velké riziko.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

22.8.2006 08:32 JaSel | skóre: 17 | blog: kseles
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Myslím, že ten PIN se používá podle typu karty. Na některých vůbec, na některých vždycky. Aspoň jsem si to vždycky myslel a při výběru typu karty to beru jako jedno z kritérií.

22.8.2006 13:00 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

U embosovaných karet (s reliéfem) se PIN může používat jen tehdy, pokud jde o platbu přes terminál a ne přes imprinter ("žehličku"). Neembosované samozřejmě s imprinterem použít nejdou. Jinak ani u terminálu nevyžadují vždycky PIN - mnohé terminály prostě ani nemají klávesnici k jeho zadání.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

20.9.2006 16:30 Jitka
Rozbalit Rozbalit vše PIN u různých karet

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To je pravda, já jsem teprve teď, když jsem zjišťovala informace, kterou kartu objednat, zda Visa Electron nebo Maester Card našla informaci, že u MC je vždy zapotřebí zadávat heslo. Takže jdu do ní. Jinak dříve jsem měla pojištěnou Visu... což je tím pádem u MC zbytečné.

Jeste jsem to uplne nezkoumal, ale prislo mi, ze s tim neco delaji ... uz treba to, ze se mi v mozille povede vubec otevrit https://www.mojebanka.cz/InternetBanking/JSPLogin (https://www.mojebanka.cz) je celkem pokrok; uz by pomalu mohlo stacit priohnout identifikaci javy a hura na to.

Jinak mi to fakt neda :), ale ochrana heslem neni tak nebezpecna, jak se zda -- jenom je holt treba pocitat s tim, ze se zadava heslo. Proti phishing tu mame osvetu, man-in-the-middle je nerealizovatelny pri overovani certifikatu (coz by mel byt naprosto rutinni krok, ze to tak ani omylem neni je vec druha), odchycení hesla keyloggerem mozna na neduveryhodnych strojich, ktere by se ke komunikaci s bankou uz z principu pouzivat nemely.

-- "Ja vim, on vi, ty pico!"

21.8.2006 23:12 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Přesně tak, e-banking používám jedině z domu a většinou jen na pasivní operace.

21.8.2006 23:16 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

uz treba to, ze se mi v mozille povede vubec otevrit https://www.mojebanka.cz/InternetBanking/JSPLogin (https://www.mojebanka.cz) je celkem pokrok; uz by pomalu mohlo stacit priohnout identifikaci javy a hura na to.

"Otevřít" tu stránku v Mozille nebo Opeře už jde poměrně dlouho. Ale to je tak všechno. Je také otázka, jakou úlohu v tom hraje ActiveX.

odchycení hesla keyloggerem mozna na neduveryhodnych strojich, ktere by se ke komunikaci s bankou uz z principu pouzivat nemely

Jenže leckdy to v bankách (byl jsem např. svědkem minulý týden v ČSOB) nabízejí s tím, že lze k účtu přistupovat odkudkoliv, třeba z internetové kavárny. Pokud se použije OTP, pak ať na tom stroji má kdokoliv cokoliv, žádnou transakci prostě neudělá.

Kromě toho řada domácích uživatelů má na počítači různé červy typu W32/BadTrans (známý např. z někdejší infikace českého NBÚ), které funkci keyloggeru obsahují.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

22.8.2006 11:30 Ondřej Čečák | skóre: 33
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

"Jenže leckdy to v bankách (byl jsem např. svědkem minulý týden v ČSOB) nabízejí s tím, že lze k účtu přistupovat odkudkoliv, třeba z internetové kavárny."

Na druhou stranu AFAIK dle smlouvy "zodpovida za svou bezpecnost" sam klient, ne banka. Na dalsi diskuzi by ovsem bylo, jestli to je ferove a spravne.

-- "Ja vim, on vi, ty pico!"

21.8.2006 23:10 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Link | Blokovat | Admin

Podařilo se mi (myslim, ze to byla komercni banka) dostat se tam z Opery, dal sem "Zamaskovat jako IE" a ono to šlo

21.8.2006 23:26 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ono se to tváří, jako že to jde. Jenže to ohlásí "špatná verze podepisovacího appletu", přesměruje na průvodce a ten ohlásí závadu: nefunkčnost ActiveX.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

22.8.2006 12:18 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tak to se mi nestalo, naprosto v pohode se pres to dalo fungovat, tak nevím.

22.8.2006 12:23 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Je mozny ze to nebyla KB byl to servis24. Aha a to je ceska sporitelna, takze uz je mi to jasny

21.8.2006 23:25 Vašek Lorenc | skóre: 27
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Link | Blokovat | Admin

Bez potřebného zařízení (čtečky) si ovšem neškrtne ani ten, kdo by chtěl tuto metodu normálně používat.

Jen upřesnění -- USB tokeny čtečku nepotřebují a zpravidla s konkrétní aplikací fungují dobře.

...včetně majestátného loosa

21.8.2006 23:27 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano, USB tokeny čtečku nepotřebují, ale ne všechny banky je používají.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

21.8.2006 23:33 Vašek Lorenc | skóre: 27
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já neříkám, že je všechny banky používají, jen že tam tahle možnost chyběla :) Nemyslel jsem to zle.. aby tenhle příspěvek měl nějakou informační hodnotu -- ne vždycky jsou na tom USB tokeny s bezpečností dat dobře, viz např. Attacks on and Countermeasures for USB Hardware Token Devices (pozor, pdf).

...včetně majestátného loosa

22.8.2006 00:05 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

jen že tam tahle možnost chyběla

Jasně. A zapomněl jsem určitě i na nějaké další možnosti

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

22.8.2006 08:52 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Link | Blokovat | Admin

Velmi pěkný a poučný článek. V naší firmě jsme již před rokem od KB odešli a nejen kvůli internetovému bankovnictví. Ale pokud se bude KB tvářit, že neexistuje na světě nic jiného než IE a ActiveX, časem bude ztrácet další klienty.

Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.

22.8.2006 13:16 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Velmi pěkný a poučný článek.

Díky

V naší firmě jsme již před rokem od KB odešli a nejen kvůli internetovému bankovnictví. Ale pokud se bude KB tvářit, že neexistuje na světě nic jiného než IE a ActiveX, časem bude ztrácet další klienty.

Můj pocit je ten, že KB je hodně ovlivněna svou historií, tedy tím, že vznikla roce 1990 odštěpením od SBČS a převzetím podnikové klientely. Takže i když se později vrhla i do retailového sektoru, pro zásadní rozhodnutí bere v úvahu prakticky jen požadavky těch největších klientů - jenže struktura trhu jen dnes úplně jiná než na začátku 90. let. Bývalé státní podniky po privatizaci mnohdy přešly k jiným bankám. Takže se běžně stává, že KB zavede nějakou službu, která je již od počátku technicky zastaralá a nikdo o ni nemá zájem.

Samozřejmě i jiné banky mají řadu neduhů, ale většinou netrpí takovou těžkopádností a setrvačností.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

23.8.2006 08:42 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Dnes ráno v ČT bylo oznámeno, že z účtů klientů KB zmizely peníze. Nabourala se tam nějaká neznámá skupina a převáděla peníze z účtů do zahraničí. Myslím, že to souvisí se stupněm zabezpečení v této bance ...

Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.

23.8.2006 11:07 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

O tomhle bohužel nic nevím. Ale v předchozích případech to bylo tak, že na počítač oběti dostali trojana, který snímal klávesnici a také odeslal soubor s klíči.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

22.8.2006 09:56 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Link | Blokovat | Admin

Ja uz mam rok prosly certifikat, pac se mi tenkrat nepodaril znovu obnovit, do banky se mi nechtelo a k win se dostanu jednou do roka... Je to proste bida, mel jsem to jednou rozjete ve wine a jelo to, ale... Zase na druhou stranu si nemuzu stezovat na ty zenske u prepazdky, aspon v kr. poli pac ty si zaslouzi pochvalu! Ted tam ale budu muset skocit, pac to budu potrebovat... Jak je to s tema SMS? Budou zadara? Ci se budou platit? Nebo prechodne obdobi ala pohyby na uctech? Pac to budu potrebovat pouzivat z ciziny a jak to tam bude chodit...

22.8.2006 13:48 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jak je to s tema SMS? Budou zadara? Ci se budou platit? Nebo prechodne obdobi ala pohyby na uctech? Pac to budu potrebovat pouzivat z ciziny a jak to tam bude chodit...

Nikde jsem to nenašel. Ale do ciziny by to mělo chodit úplně stejně jako normální SMS.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

12.10.2006 02:53 Bochi
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jo, jasně, akorát že budete potřebovat číslo českého mobilního operátora. Takže to je použitelné tak nanejvýš pro lidi, kteří do ciziny občas zajedou na služebku nebo dovolenou. Pro lidi trvale nebo dlouhodobě v zahraničí to je na nic, protože kromě této nové vymyšlenosti KB by neměli k držení (a placení) českého čísla žádný důvod.

22.8.2006 14:44 multi | skóre: 38 | blog: JaNejsemOdsut
Rozbalit Rozbalit vše Re: Komerční banka "vylepšila internetové bankovnictví"

Odpovědět | Sbalit | Link | Blokovat | Admin

vsimli jste si jak jim krasne v KB funguje demoverze internetoveho bankovnictvi???
)) :-@

to ja sem zrovna nedavno musel aktualizovat certifikat, ale nejdriv nejak blbli widle a pak internet banking, treti den jsem byl uspesny. Tak ze mam zase rok klid od KB a widli a co vypravet.
Jinak pouzivam ucet u CS.

Fitness ajťák: kutilův web; bezdrátová čidla teploty vývoj softwaru linux server

Založit nové vlákno • Nahoru