Internetbanking: vylučuje bezpečnost pohodlí?

Důležitým faktorem úspěšného internetového bankovnictví je přiměřená kombinace komfortu a bezpečnosti. Obecně platí, že čím vyšší zabezpečení účtu zákazník vyžaduje, tím složitější mechanismy k tomu musí používat a tím méně je služba uživatelsky příjemná.
Při vstupu do aplikace internetového bankovnictví se musí uživatelé identifikovat a autorizovat svůj přístup. Existuje několik způsobů. Některé banky zvolily zasílání přístupových kódů na mobilní telefon, jiné autorizační kalkulačky, které po zadání PINu vygenerují pokaždé jiný originální přístupový kód. Další variantou jsou digitální certifikáty a šifrovací klíče, které mají klienti uložené v počítači, na disketě nebo čipové kartě.

Spořitelní pohodlí

Uživatelsky nejpříjemnější je varianta, kterou zvolila Česká spořitelna (profil, názory). Ta vsadila na pohodlí klientů, avšak zároveň na "odlehčenou" variantu zabezpečení. Pro autorizaci uživatelů stačí pouze zadat klientské číslo a heslo, které banka zákazníkovi přidělila pro službu Servis 24. Není tedy nutné instalovat žádné digitální certifikáty nebo jiné potřebné součásti. Tato možnost ovšem platí pouze pro transakce v omezené výši, standardně do 50 000 Kč. U vyšších už je třeba využít takzvanou autentizační kalkulačku. Tu si ovšem může za 300 Kč od banky koupit každý klient.

Nevýhodou této varianty je to, že případnému útočníkovi stačí znát pouze jméno a heslo, aby se dostal k účtu. "Existují programy, které dokáží odposlouchávat klávesnici," říká šéfredaktor Softwarových novin Ivo Minařík. "A v tom tkví i problém způsobu, který zvolila Česká spořitelna. Pokud někomu dokážu odposlouchávat to, co napsal na klávesnici, dostanu se k jeho účtu. Pokud by byl přístup chráněn zároveň certifikátem nebo kalkulačkou, pouhý odposlech klávesnice nestačí. Útočník musí překonat ještě další překážku," dodává.

Na začátku dubna zavedla banka podle informací na webových stránkách "vyšší standard zabezpečení komunikace" pro službu Servis 24 Internetbanking. Vyšší bezpečnost podle Věry Čárné z oddělení firemní komunikace banky zajišťuje používání nových verzí internetového prohlížeče. Aplikace bude podporovat pouze verzi Microsoft Internet Explorer 5.5 a vyšší. Tiskový mluvčí firmy Microsoft Jiří Grund nám sdělil, že ve vyšších verzích prohlížeče se zlepšuje způsob přenosu dat. Šifrování je složitější, pro potenciálního útočníka by tedy bylo těžké kód rozluštit.
"Při operacích, kdy je nutné kryptovat data, tedy případ bank, se používá většinou protokol https. Data se kryptují šifrovacím klíčem," vysvětluje Tomáš Klubal z firmy Netdogs. "Na tom, jak je klíč dlouhý, záleží, jak rychle se šifrování rozluští. V minulosti většina prohlížečů používala 40bitový klíč, tu také používá verze 5.0. Do verzí 5.5 a vyšších je zabudován HighEncryption pack, díky kterému se klíč zvýší na 128 a rozšifrování by trvalo podstatně déle." V obou případech rozluštění není otázkou několika hodin. Navíc i odborník by potřeboval síť počítačů a postupně zkoušet každý bit.

Tato změna se tedy dotkne pouze uživatelů, kteří používají staré verze prohlížeče. Ti si musí nainstalovat verzi novou, kterou si lze stáhnout zdarma ze stránek Microsoftu. Způsob přihlašování se nezmění.

Banka také nabízí zasílání SMS na klientův mobilní telefon při každé transakci. Pokud tedy někdo zjistí heslo a zadá falešnou transakci, majitel účtu se o tom hned dozví a má dost času něco podniknout.

Preferují bezpečí

Mezi bezpečnější systémy, kde případnému útočníkovi nestačí pouhý odposlech klávesnice, patří digitální certifikáty. V tomto případě dostanou klienti po sepsání smlouvy obálky s hesly, které potřebují pro vstup do certifikační autority (hesla platí pouze jednou), kde se vygenerují a do svého počítače instalují certifikáty sloužící k identifikaci a podepisování.
U Komerční banky musí klienti o certifikát zažádat přes internet nebo na pobočce. Samotný certifikát si pak lze stáhnout z internetu nebo vyzvednout v bance. Při přihlašování klienti pouze zadávají cestu a heslo. Stejně funguje internetbanking i u Živnostenské banky, u které se internetový prohlížeč při přihlašování zeptá, který certifikát použít jako autorizaci pro vstup do aplikace a pak už stačí znát jen uživatelské jméno a heslo.
U ČSOB se do systému uživatelé přihlásí pomocí čipové karty, pro autorizaci aktivních operací využijí elektronický podpis, který se na čipové kartě generuje a je unikátní ke každé operaci. Klientovy údaje čipovou kartu nikdy neopustí a není je možné z karty přehrát jinam. Karta je chráněna pomocí PINu, bez něhož ji nelze použít a zneužít v případě ztráty nebo krádeže.
Elektronický podpis poskytuje zabezpečení na vysoké úrovni, v případě využívání čipové karty je ovšem nutné pořídit si čtečku čipových karet. Protože je certifikát uložen na disketě či čipové kartě, je internetbanking možné využívat na různých počítačích.

Ani u certifikátů však není bezpečnosti 100%. "Certifikáty jsou uloženy v počítači, uživatel k němu ovšem potřebuje heslo, které lze také odposlechnout," konstatuje šéfredaktorka SWnet Lenka Valtová. "Aby ale útočník mohl napadnout internetové bankovnictví, musel by ukrást i certifikát z počítače. Riziko tedy existuje například u veřejných počítačů, třeba v internetových kavárnách, kde má k počítačům přístup kdokoliv," dodává.

Zaklíčováno

Mezi nejbezpečnější systémy patří například  kalkulátory, které generují pokaždé jiný originální přístupový kód pro potvrzení transakcí. Zákazníci si nemusí nic instalovat do počítače, musí si však od banky koupit bezpečnostní klíč, tedy kalkulačku. Ta po zadání čtyřmístného hesla a stisknutí příslušného tlačítka vygeneruje šestimístný kód, který uživatelé aplikují pro vstup do internetbankingu. Pro každou aktivní transakci (platební příkaz, SIPO a další), musí být vygenerováno nové číslo. "Kalkulačka" je přenosná a je chráněna čtyřmístným přihlašovacím heslem. S tímto zabezpečením se setkají například klienti HVB Bank (profil, názory) nebo České spořitelny.

Dále jsou to elektronické klíče, na které klienti narazí u eBanky (profil, názory) či ČSOB (profil, názory). Ty  generují kódy nutné pro vstup do aplikace a potvrzování transakcí. Elektronické klíče plní dvě funkce: autentizační a certifikační.
Autentizace napomáhá k prokazatelnému ověření totožnosti protistran. Banka pomocí autentizačního kódu zjistí, zda s ní komunikuje oprávněná osoba. Certifikace slouží pro jednoznačné potvrzení správnosti předávaných dat, tedy například potvrzení příkazu k úhradě. Pokud certifikační kód nesouhlasí, banka operaci neprovede.

U eBanky si lze zvolit Osobní, Mobilní nebo Internetový elektronický klíč, ČSOB nabízí pouze takzvaný SMS klíč (tedy obdobu mobilního).
Osobní je v podstatě kalkulačkou, která generuje kódy umožňující identifikaci.
U druhé možnosti jde o posílání autorizačního kódu, nahrazujícího elektronický podpis, na mobilní telefon. Kód má omezenou časovou platnost a lze ho použít pouze jednou (pro další transakci je nutný nový kód). Bezpečnost je v tomto případě zvýšena tím, že data o transakci a klíč nutný k její autorizaci jdou ke klientovi různými kanály. Pro využívání tohoto klíče potřebují klienti bankovní SIM kartu, na níž si nechají nahrát bankovní aplikaci. Při prováděné transakcí, ke kterým potřebují zákazníci autorizační kód, jen na webu kliknou na tlačítko "Certifikuj" a banka jim zašle kód na mobil. Nevýhodou může být situace, kdy klienti potřebují využívat internetového bankovnictví a nacházejí se v oblasti bez GSM signálu.
Třetí varianta vyžaduje vytvoření soukromého a veřejného šifrovacího klíče. S použitím těchto klíčů lze získat autentizační kód přes internet, odpadá tak nebezpečí prostředí bez signálu.

Podle Valtové se skutečně jedná o nejbezpečnější zajištění internetbankingu. Protože tyto systémy generují pokaždé jiné časově omezené heslo, útočník by  musel uživatele přepadnout a ve stejnou chvíli se i přihlásit.

Používáte internetové bankovnictví? Víte, jak je systém zabezpečen? Máte se zabezpečením služby nějaké negativní zkušenosti?