Od poloviny prosince loňského roku už v České spořitelně (profil, názory) neseženete autentizační kalkulátor, jednu z nejbezpečnějších forem přímého bankovnictví. Místo něj si můžete pořídit klientský certifikát, který je snáze zneužitelný, náročný na instalaci a svázaný pouze k jednomu počítači. Banka to zdůvodňuje mezinárodními zkušenostmi a trendem ve vývoji zabezpečovacích prvků, jenž prý vede k používání certifikátu.
Přitom podle Jiřího Nápravníka, odborníka v oblasti bezpečnosti informačních systémů, je ve světě jasně vidět příklon bank k používání kalkulaček. Možná má Česká spořitelna k prosazování certifikátů za každou cenu i jiný důvod, a sice že je vydává její dceřiná společnost První certifikační autorita.
Vzácná bezpečnost přímého bankovnictví
Přihlašování do přímého bankovnictví ověřuje banka pomocí uživatelského jména a hesla, což je pochopitelně nejméně bezpečný, ale zato levný způsob, dále pomocí certifikátů, nejbezpečnější řešení pak představují autentizační kalkulátory. Většina bank nabízí možnost certifikátů (uložených na čipové kartě, která komunikuje s počítačem přes čtečku), avšak pouze v eBance (profil, názory) a HVB Bank (profil, názory) dostanete kalkulátor (zjednodušeně si jej představte jako zasílání hesla přes SMS zprávy).
Jak vidí výhody a nevýhody certifikátu a kalkulátoru Česká spořitelna: |
|
Máte-li autentizační kalkulátor, používáte pro přihlášení vždy nové heslo, které se vytváří mimo váš počítač, a které nemá pod kontrolou ani provozovatel internetbaningu. Nehrozí tedy možnost opakovaného zneužití. Jedinou možností zneužití je odcizení kalkulátoru, u něhož byl zároveň poznamenán PIN nebo zloděj PIN zná. Máte-li certifikát, existuje kromě odcizení čipové karty, u které byl poznamenán PIN, ještě jedna možnost. "Pokud je možné sledovat stisky kláves, je možné stejně úspěšně sledovat i komunikaci mezi operačním systémem a čtečkou čipových karet, a následně tu samou komunikaci již bez vědomí uživatele zopakovat," vysvětluje Nápravník a dodává: "Znamená to, že data uložená na čipové kartě nebo jiném podobném paměťovém médiu jsou sice bezpečně uložena a bez přístupového PIN kódu se k nim nikdo nedostane, jenže co když škodlivý program získá přístupový PIN?" Navíc skutečnost, že došlo ke zneužití zjistíte většinou až z výpisu z účtu, kdežto krádeže si všimnete dřív.
Porovnání technické stránky čipové karty a autentizačního kalkulátoru |
Technická stránka |
Čipová karta |
Autentizační kalkulátor |
Závislost na napájení |
Ano, přes čtečku z počítače. |
Vlastní baterie, podobně jako běžná kalkulačka. Životnost baterií je 12 až 24 měsíců. |
Instalace programu do počítače |
Pouze z počítače, u kterého je připojena odpovídající čtečka čipových karet. |
Bez omezení. |
Možnost zneužití |
Prostřednictvím specializovaného škodlivého kódu, který odposlechne PIN a následně sám provede komunikaci s čipovou kartou. Nebo po odcizení čipové karty, u které byl poznamenán PIN. |
Po odcizení autentizačního kalkulátoru, u kterého byl poznamenán PIN. |
Identifikace zneužití (nebo odcizení) |
V případě specializovaného škodlivého kódu velmi omezená. Zneužití klient zjistí až z výpisu z účtu. |
Rychle, podobně jako v případě platební karty. Klientovi chybí konkrétní předmět. |
Další použití |
Jako úložiště privátního klíče pro zaručený elektronický podpis. V takovém případě je i zaručený elektronický podpis (privátní klíč) ohrožen útokem škodlivého kódu podobně jako řešení pro internetbanking. Nebo jako čipová platební karty, pokud s takovým postupem bude souhlasit příslušná karetní asociace. |
Identifikace uživatele pro telebanking, GSM banking nebo pro ověření podpisu na papírovém platebním příkazu na pobočce banky. |
Zdroj dat: Jiří Nápravník |
Dražší a kvalitnější musel ustoupit
Nevýhodou kalkulátoru je, že vyžaduje servis a poradenství. To znamená, že se postupem času vybíjí baterie v kalkulátoru, pokud několikrát zadáte špatně úvodní PIN, kalkulátor se vám zablokuje nebo se po pádu na zem mechanicky poškodí. Nevýhodou certifikátu kromě menší bezpečnosti je nutnost instalace obslužného softwaru na daném počítači, tedy na rozdíl od kalkulátoru, který je přenosný a účet můžete obsluhovat téměř z každého počítače, bezpečně i přes telefon, čipovou kartu můžete použít pouze z počítače, u kterého je připojena odpovídající čtečka.
Za jeden kalkulátor jste v České spořitelně zaplatili 1 350 Kč, za kompletní set pro klientský certifikát (tedy čipovou kartu, čtečka čipových kareta certifikát) dáte 990 Kč.
Ať kalkulátor, tak certifikát, u obou se jedná o vyšší stupeň zabezpečení přímého bankovnictví. Jeden je méně zneužitelný, měl by tedy být šířeji používán, avšak opak je pravdou, navíc dochází k jeho rušení. Česká spořitelna to zdůvodňuje trendem ve vývoji zabezpečovacích prvků a mezinárodními zkušenostmi. Na zkušenosti a požadavky svých klientů se ale asi zapomněla zeptat.
Co nás čeká v roce 2006? |
Letos je před námi mnoho důležitých změn. Týkají se oblasti daní, také budeme moci začít využívat společné zdanění manželů, vzrostou sociálních dávky, zároveň ovšem i ceny energií atd. Připravili jsme pro vás sérii článků, ve kterých vám všechny významné změny přiblížíme a pomůžeme vám je co nejlépe využít. Neboli - Peníze 2006: s čím počítat a jak to spočítat.
|
Dotklo se vás zrušení autentizačních kalkulátorů? Necháte si jednání České spořitelny líbit, nebo budete bojovat za vyšší bezpečnost přímého bankovnictví? Podělte se s námi o své zkušenosti a
Diskuze
Příspěvek s nejvíce kladnými hlasy
12. 1. 2006 10:59
to je zvláštní, já ho mám 5 let a dosud jsem nazaznamenala žádný problém
Zobrazit celé vláknoSkrýt celé vlákno
Příspěvek s nejvíce zápornými hlasy
10. 1. 2006 8:57, MarBen
Mě nejvíce vyhovuje zabezpečení pomocí mobilního telefonu ve spojení se zašifrovanými sms zprávami. Používám u eBanky i ČS (zde by to mohli ještě dost doladit).
V diskuzi je celkem (39 komentářů) příspěvků.