Autentizační prvky a metody pod drobnohledem

Nevím čemu přesně říkáte "implicitně", ale klient je svéprávný a může se rozhodnout jaké zabezpečení si vybere. Zmíněná ČS nabízí také autentizaci pomocíautentizačnách kalkulátorů a čipových karet (to se mi nezdá málo). Jde o to, že není možné hodnotit podle něčeho implicitního. Když budete hodnotit maximálni bezpečnost jednotlivých automobilů, tak Vás také nebude zajímat počet airbagů v základní výbavě, ale počet možných airbagů, které je možné v tom autě mít.

Doplnění původní odpovědi. V článku jsou popsány vlastnosti jednotlivých metod. Musím uznat, že je asi chyba, že tam nejsou uvedeny výhody a nevýhody.Zkusím to ještě jednou a ve zkratce. Kdyby jste měl jakékoli dotazy, tak mě nebáhejte kontaktovat. Uvedu zde jen metody používané v bankovnictví a to v pořadí od nejméně bezpečných k nejvíce bezpečným
------------------------------ ------------------------------ -------- 1)Jmeno a heslo zadávané do webového formuláře
VÝHODY jednoduchost, zvyk lidí, není nutné u sebe něco nosit, je to použitelné skoro kdekoli
NEVÝHODY nízká úroveň bezpečnosti,
------------------------------ ------------------------------ -------- 2) Telefoní bankovnictví zde se zpravidla zadává nějaké identifikační číslo a několik pozic z PINu Například u jedné nejmenované banky stačí odposlechnout 4,2 relace a má útočník celé Vaše PIN a tím i kontrolu nad Vaším účtem.
VÝHODY asi pohodlnost a intuitivnost. Hodně lidí, ná také rodo, když hovoří s živým člověkem
NEVÝHODY klient komunikuje s bankou velmi často bez dostatečného soukromí a z togo opět vyplývá nízká úroveň zabezpečení. Navíc zde kromě klienta vstupuje ještě jednou nejrizikovější faktor (člověk). Tím se snižuje bezpečnost i spolehlivost.
------------------------------ ------------------------------ -------- Certifikát na nechráněném médiu
VÝHODY je možné to užívat skoro na jakémkoli počítači, neboť nejsou vyžadovány žádné ovladače. Při správném zacházení s certifikátem ,což je bohužel spíše vyjímka, je úroveň bezpečnosti napoužitelné úrovni.
NEVÝHODY úroveň bezpečnosti může nevhodným chováním klienta velmi klesnout
------------------------------ ------------------------------ -------- "SMS klíč"
VÝHODY není nutné u sebe nosit něco navíc, jedná se o dvoufaktorovou autentizaci
NEVÝHODY Nejedná se o standardní autentizační metodu, Implementace této metody nemá žádnou bezpečnostní certifikaci.
------------------------------ ------------------------------ -------- Autentizační kalkulátor s PINem
VÝHODY Jedná se o standardní řešení běžně užívané k autentizaci. Některé produkty užívané k tomuto účelu mají celosvětově uznávané bezpečnostní certifikace od renomovaných společností a sružení, které se tímto zabývají
NEVÝHODY Uživatel u sebe musí nosit další věc.
------------------------------ ------------------------------ -------- Čipové karty
VÝHODY asi nejvyšší možná úroveň bezpečnosti
NEVÝHODY Klient musí nosit čipovou kartu a případně i čtečku čipových karet. Na druhé straně je nutné říci, že pokud někdo s sebou nosí notebook, tak už ho jena PCMCIA karta (čtečka) asi nevytrhne.

No nevim, zda zabezpeceni bank je dostatecne, poud sporitelna implicitne nabizi pouze zabezpeceni heslem, to je dost malo, ne?????

Autor je znamý packal a vykradač cizých článků. Jako vždy nevyplodil nic nového, což ani nemohl, když vše už bylo jednou napsáno. Když se takovým znalcem bank a jejich bezpečnosti, tak by mě zajímalo nějaké hlubší porovnání než obecné konstatování "většina bank...". Nemluvě o tom, že některé banky sice nabízí čipovou kartu, ale ne pro účely internetového bankovnictví :(

Pane Šfránku, děkuji za Vaši úctu a věřte, že další píši také v plné úctě. Článek si neklade za cíl říkat některé banky dělají to a jiné ono. Už vůbec jsem se nechtěl pouštět do hodnocení jednotlivých společností. Ale když už jste začal, tak dovolte abych Vám řekl, ČS nabízí kromě autentizace jménem a heslem, také autentizaci pomocí autentizačního kalkulátoru, či čipové karty. Nevidím nic špatného na tom, že jakákoli instituce (tedy i ČS) unožnuje provádět platby po autentizaci jménem a heslem. Neříkám, že je to bezpečné, ale mě se líbí, že mám právo výběru. Nechci dělat reklamu, ale já používám něco bezpečnějšího než je jméno a heslo. Ale dokážu si představit člověka, který si řekne, že nechce platit za čipovou kartu a riskne si, že o své peníze přijde. Je bohužel pravda, že pak půjde brečet do nejmenované TV a celý národ ho bude litovat jak je na něj ta banka ošklivá a nechce mu odpustit to co si asi nevybral ale bylo vybráno pod jeho jménem a heslem. Všichni říkají, jak to má ten chudák platit, ale nikdo již nevzpomene na ty chudáky, kteří o své peníze nepřišli, neboť si koupili čtečku čipových karet a platí za obnovování čipové karty atd. Oni to ale dělají právě proto aby o své peníze nepřišli.

Nikdy jsem o peníze v zahraniční bance nepřišel a tak nevím jak to funguje. Nicméně z doslechu mám stejné informace jako VY, které říkají, že v zahraničí to banky klientům vracejí. Domnívám se, že je nutné učinit několik upřesnění.
1) Jistě se tímto způsobem nechovají všechny banky. 2) To, o čem mluvíte vypadá sice velice lákavě, ale z principu to nemůžefugovat všude a stále. Princip toho co uvádíte je velice jednoduchý. Marketingové oddělení řekne, že ovládání účtu bude velmi jednoduché pro uživatele. Aby to bylo jednoduché, tak jako první jde nutně "přes palubu" bezpečnost a již dopředu se počítá s nějakými "ztrátami", které banka velkoryse "zamázne", aby klient byl spokojen a noviny o tom nepsali.
Za sebe musím říci, že je mi tato filosofie silně proti mysli. Jde o to, že klient uzavře s bankou určitou smlouvu. V té je jasně řečeno za co odpovídá banka a za co klient.Zkuste mi prozradit, jak má banka ručit za to, co se děje například s mým certifikátem??? Navíc snad všechny (nebo skoro všechny) banky mají na webu doporučení pro klienty jak se chovat aby co vyloučili, či co nejvíce omezili zneužití svého účtu. Když se tím klient neřídí a porušuje smlouvu, tak dle mého názoru by měl nést následky.

Dobrý den v článku skutečně srovnání jsou. Z organizačních důvodů jej redakce rozdělila na dvě části. Četl jste pouze první část a patrně jste přehlédl upozornění, že zítra vyjde druhá část, kde budou popsány další metody včetně "SMS klíče". Navíc hned na počátku článku se píše, že jsou jednotlivé metody seřazeny dle stupně zabezpečení, jaký poskytují. Článek si neklade za cíl dělat detailní technický rozbor, neboť pro takový článek zde není prostor. Spíše jsem se snažil sepsat přehled metod autentizace a jejich srovnání.

test2

test

Zabezpečení u ČS je pod jakoukoli úroveň. SMS klíč nemají, leda čtečku, což je zcela nepohodlné a drahé. U ČSOB používám SMS klíč a je to bez problémů. Že by někdo ukradl heslo i mobil, to je dost nepravděpodobné a dalo by se to hned zablokovat. Proč to nemá ČS je mi záhadou. Když ale ještě před měsícem neměla internetbanking pro právnické osoby vůbec, tak se není čemu divit.

Možná je u nás lepší zabezbečení elektronického bankovnictví než v zahraničí, ale na rozdíl od zahraničních bank nejsou naše banky zodpovědné za škody způsobené neoprávněnou manipulací s účtem. Takže paradoxně méně zabezpečené zahraniční banky jsou pro klientovy peníze bezpečnější.

Trefil jste se :). Taky jsem utekl od CS, ale kvuli poplatkum - pripadalo mi, ze me obiraji a ze si nemusim nechat vsechno libit. Tak jsem vyuzil zruseni konta bez poplatku po posledni zmene sazebniku.
Ad IB u postovni sporitelny (pouzivam): Je tam hloupe, ze platite i za zjisteni zustatku (2Kc) nebo vypis uctu (3Kc) u programu Klasik. Kdo IB pouziva jen pro podani prikazu, je to idealni. Pokud zjistujete zustatek nebo vypis tak 5-7x mesicne, je to za stejne penize jako u konkurence. Pokud tyto operace provadite nekolikrat denne, pak je lepsi si priplatit program Electron, kde jsou operace zdarma.
Ad vypisy: MaxInternetbaning zobrazuje tusim vsechny trasakce. Nicmene oproti Servisu24 umoznuje vypis transakci pouze za posledni mesic.

Ano, právě proto jsem i já velkým příznivcem tohoto řešení, kalkulačka je jen další zbytečný cajk navíc.
Na okraj: používáte snad čerstvě internetbanking od Poštovní spořitelny? Viz třeba jinde Vaše trefná vyjádření k novým, cha, chááá, Maxkartám VISA? Já jsem si zatím stáhl po síti tu jejich příručku a zatím neměl čas k bližšímu zkoumání. Je to tzv. už hotové, tedy prakticky funkční? Nemám se obávat? Než si zase naběhnu: taková konkurenční Česká spořitelna, z které jsem utekl, ten svůj internetový mastodont onehdá sice spustila, ale měl jsem k dispozici "databázi" akorát transakcí prošlých právě jen přes internetbanking, což, jak uznáte, je v dobré společnosti nepřípustné omezení a chlívovina na desátou. Kupodivu potom za to, Česká spořitelna, od zcela nesoudných hodnotitelů a s dokonale vygumovanou pamětí dostala i nějaké to ocenění.

Tak nevim - ja autorizuji sve platby bez jakehokoli BPINu :) Proste dostanu od banky SMS s klicem a ten klic opisu do aplikace IB. Oproti kalkulacce to ma vsak preci jen vyhodu - nemusim ji kupovat ani s sebou vsude tahat. Jinak uroven zabezpeci pomoci kalkulacky neumim posoudit - nemam ji (a ani ji nechci).

Možná SMS klíč vynechal proto, že se jedná o dvoustupňovou metodu - je třeba mít klíč a zároveň znát BPIN. Ale to je jenom moje spekulace... Až na závislost na fungování GSM sítě je to podle mě stejně bezpečné jako "kalkulačka", vyhrazený elektronický klíč.

I potvrzovani "pouze" aktivnich opearci patri podle meho nazoru k autentizacnim prvkum. Autentizace zajistuje, aby operace provadel jen ten, kdo je k tomu opravneny. Z hlediska prehledu a hodnoceni autentizacnich metod je jedno, jestli k tomu dochazi pouze pri loginu nebo pri kazde aktivni operaci. Z hlediska bezpecnosti EB to uz sice jedno neni, ale o tom clanek stejne nejedna.

...také mi SMS klíč v článku chyběl. A přitom to je právě SMS klíč, co mne na autorově slibovaném hodnocení a porovnání s ostatními metodami zajímalo nejvíce. Velká škoda. Domnívám se, že metodologicky autor SMS klíč opomenul proto, že klíč se obvykle používá, jak jsem si udělal svůj názor, až ve fázi potvrzování jednotlivých transakcí (viz třeba nikoli nějaký internet, ale třeba obchodování přes RM-Systém). Ne tedy už hned při přihlašování do aplikace a na co jen, domnívám se, autor problém možná nemístně zúžil.

Pane Ludvíku, ve vší úctě, ten Váš drobnohled má nějakou špatnou optiku, protože jste toho opravdu moc nenašel.... Například vůbec nezmiňujete to, že některé banky (příklad ČS) umožňují po přihlášení jménem a heslem provádět ihned veškeré operace, zatímco jiné banky (příklad RB) umožní pouze prohlížení pohybů na účtu a pro aktivní operace (tedy manipulaci s účtem) vyžadují ještě další autorizaci (podpisový certifikát a další heslo). Pokud jste odborník v IT, očekával bych spíše pojednání o tom, čeho se při používání této služby vyvarovat a kde jsou slabá místa jednotlivých autentizačních metod.

Clanek pouze opakuje notoricky znama fakta a to jeste nektera vynechava (napriklad autorizace pomoci SMS klice). Prinosem by napriklad bylo srovnat uroven autentizace ceskych bank, aby mel ctenar srovnani. Ale je leto, sviti slunicko, lidi na dovolene, stejne to nebudou cist, tak co bych se snazil o nejakou kvalitu :)