Test bezpečnosti internetbankingu: zklamání

Jako uživatel prosím tvůrce internetového bankovnictví, dělejte aplikace raději jednoduché. Není třeba aby internetové bankovnictví obsahovalo všechny bezpečnostní prvky, na které si dokážou vzpomenout paranoidní recenzenti. A nebo škálovatelně. Mně stačí pouze transakce nad 50 tis potvrzovat autentizačním kalkulátorem. Jaká byla bezpečnost papírových formulářů příkazu k úhradě hozených do sběrného boxu nebo předaných paní v podatelně? Můj dyslektický podpis málokdy vypadal podle podpisového vzoru, nebyl by problém ho napodobit, přesto jsem si nikdy nedělal starosti s nebezpečím falešného příkazu k úhradě. Tu jistotu nedává technika podání příkazu bance, ale jistota možnosti reklamace, sledování reklamovaného převodu, přenejhorším žaloby pro bezdůvodné obohacení. Jsou jiné, pravděpodobnější způsoby jak přijít o peníze než falešným příkazem k úhradě. Třeba placením neustálých poplatků za předražené bankovní služby.

Vážený pane, tou chybou ohledně automatického odhlášení ve chvíli, kdy je session po určitou dobu neaktivní jsem si jist - v oné bance jsem dva roky pracoval a internetové bankovnictví testoval na mnoha alternativních prohlížečích a systémech (různé verze Windows, spousty distribucí Linuxu) - nyní již pracuji přes rok jinde a tento internet banking u stejné banky používám nadále spokojeně a k přechodu na jiný se nechystám (jednak funguje tam kde já potřebuji, nebudu komentovat, řekl byste že opět propaguji něco co mi přidává na chleba). Co se týče urážek, o žádných nevím, ale pokud Vám vyzněla "uznávám trochu ostřeji podaná pravda" jako urážka, omlouvám se tímto autorovi za to, že jsem psal reakci takto. Arogance moje v reakci je myslím srovnatelná s arogancí, jakou autor kosí jednotlivé banky - netvrdím, že to není potřeba - určitě ano, aby neusnuly na vavřínech a pracovali na inovacích a vylepšeních v oblastí bezpečnosti jejich systémů - nicméně měl by si nejprve opravdu ověřit vše velmi zodpovědně, jelikož nepíše o tvrdém plesnivém chlebu, nýbrž o penězích lidí a o ústavech, které by ho v krajním případě mohli i ... ponechávám na fantazii autora a jeho čtenářů. Co se týče příslibu drobného zisku od zmíněné banky, mohu Vás ujistit, že za příspěvky v diskusích dnes banky opravdu neplatí (ač by to bylo jistě příjemné), jediné za co jsem byl v tomto ústavu kdysi placen, byla odvedená práce na testování nových releasů jedné z aplikací o které autor píše - tudíž bych mohl s klidným svědomím tvrdit, že haníte moji práci a to se mi pane autore nelíbí. Toť vše co jsem měl na srdci...
Stanislav Puffler

Ač konkurenta, musím pana Pufflera plně podpořit. Článek je plný nesmyslů a podivných subjektivních závěrů autora, který si přitom nedal žádnou práci s tím, aby věci více porozuměl, prostudoval ji a věnoval ji tedy odpovídající kapacitu před tím, než začne něco podobného pod svým jménem na sledovaném serveru publikovat. Jsem z eBanky a mrzí mne, když někdo podobný shazuje práci a renomé jiných pouze tím, že si takto veřejně plácá, co se mu zlíbí a snaží se přitom tvářit seriózně.

Vážený pane,
pokud nejste odborník, nemůžete tedy ani pochopit. Pan Beneš pojal článek ve stylu filmu "Nepřítel státu" a do pozlátka bezpečnostních prvků zapojil lživé informace, aby svůj po většinou negativní a hanící článek trochu okořenil. Nepochybně si své fanoušky najde, ale člověk, který má jisté zkušenosti s internetovým bankovnictvím, bude reagovat stejně, jako většina přispěvatelů.
V předešlé reakci jsem nenašel urážku, naopak slovo blbec ve Vašem příspěvku bije do očí.
Pěkný den

Jestliže měl autor na zhodnocení jen půl hodiny (jak sám uvádí), nedivím se, že napsal to, co napsal.

Odborník nejsem, jen se zájmem sleduji tuto debatu a nad některými příspěvky se nestačím divit... Kromě toho, že jste upozornil na 1 chybu v článku (jestli to skutečně chyba je si nemohu ověřit), jste napsal, že máte na 1 věc jiný názor. Běžná věc. Zbytek vašeho příspěvku jsou jen urážky a arogantní invektivy. Nezlobte se, ale připadá mi, že spíše vy jste dostal od zmíněné banky příslib drobného zisku, aby se vykázala "expertním názorem". A nepochybuji o tom, že řada dalších "názorů" jsou z autorských dílen dotčených bank. Ale díky alespoň za některé komentáře, je vidět, že dosud existují lidé, kteří umějí diskutovat, respektují názor druhého a nejsou plni mindráků. Protože pak se nemusejí snižovat k tomu, aby své protihráče uráželi. To dělá jenom blbec.

Zdravím, dle mého názoru to pan Antonín Beneš psal za účelem drobného zisku na přilepšení si o víkendu, jelikož takhle hanit některé funkce internetového bankovnictví bez jejich řádného testování je fakt ostuda - nejen jeho, ale i serveru penize.cz - doufám, že můj příspěvek smažete páni administrátoři, jelikož pak budu mít teprve potvrzeno, že je Vám jedno co Vaši pisálci píší, ale důležité je, že Vám naskočí přístupy na web ve statistice a tudíž budete moci dráž prodávat reklamu. Osobně pracuji s bankovnictvím Raiffeisenbank (podotýkám ne v MSIE, ale většinou ve Firefoxu, Mozille či Opeře) a to co píše pan Beneš o tom, že se automaticky neodhlašuje je holá lež - chcete-li screenshoty pane Beneš rád Vám je pošlu na Váš e-mail. Co se týče autentizace do aplikace samotné - pro prohlížení účtu je dle mého názoru jméno, heslo a 128bit šífra díky SSL pro mé potřeby dostačující - samozřejmě je to otázka názoru, asi nejsem tak paranoidní jako Vy nebo nemám na účtě tolik peněz za lživé články, za které bych se styděl. Je mi líto, v mnoha věcech s Vámi nemohu souhlasit.
Stanislav Puffler DiS. IT Specialist (Eficia Praha spol. s r.o.)

Nebudete tomu věřit, ale byl u nás jeden zahraniční manager a tady ho okradli. On měl asi deset kreditních karet a na každou si napsal PIN. Stálo ho to tenkrát dlouhé peníze.

Mohl byste prosim upresnit v cem by se CS mela poucit od eBanky? Moznost vyberu ze 3 druhu zabezpeceni autentifikace Vam snad nabizi i CS, nebo se pletu? Mam osobni zkusenost s i-bankingem CS i eBanky a povazuji obe aplikace za velmi kvalitni (jak v ohledu zabezpeceni, tak z pohledu jednoduchosti pouziti). Nechci srovnavat s nabidkou ostatnich bank, protoze ty znam na stejne urovni autor a to nepovazuji za dostatecnou znalost k porovnani. Dekuji.

"... Taktéž dobrá rada jest, že bych neměl svou platební kartu popisovat pinem ..."
on si jeste nekdo pise PIN na kartu? Kazdy spravny profik prece vi, ze PIN se pise zasadne na bankomat :)

Vymazáno redakcí PCZ kvůli nefér vedení diskuze.

Naprosto hrozný blábolů plný článek, který psal hloupý zbrklý IT amatér, nemající ani kousíček praxe v bankovnictví. Asi tak by se to dalo shrnout.

i na toto se hodi citat: "Dobra, priznavam, jsem paranoidni ... ale, jsem paranoidni dost?"

dnes se da vse...

Napadnout token, který na 1 minutu generuje jedinečné číslo??? Jak?

Na tohle se da reagovat jedine citatem: "To ze jsi paranoidni jeste neznamena ze po tobe nejdou."

I token či kalkulátor se dá použít nebezpečně. Pokud nemusí uživatel do kalkulátoru (tokenu) opsat důležité údaje z platebního příkazu, lze takový systém (i když obtížně) napadnoout. Stále tu platí, že na nedůvěryhodném počítači není bezpečné pracovat.

Nepochopil jsem, co chtěl autor článku říct tím, že ho internetbanking eBanky ničím nezaujal. Můžete si vybrat 3 druhy zabezpečení podle vlastních požadavků. Třeba ČS by se mohla dost poučit o tom, jak se dělá bezpečný internetbanking. Jsem zklamán celou sérií článků o hodnocení internetového bankovnictví. Vůbec nedokážu pochopit názory lidí, které to celé hodnotí. Jako by vůbec nevěděli, co mají hodnotit...

"A zadavat nejake heslo pred kazdym prikazem?"
prusvih je, ze i toto nepomuze, pokud utocnik odposlouchava stisknute klavesy, nebo pokud vam kouka pres rameno.
"vzdy vite kam penize odesly, a banky jiste peclive zaznamenavaji i udaje o pocitaci z ktereho byl prikaz podan (IP adresa, cas atd.)."
ano, na nejaky stinovy ucet na falesnou obcanku nebo lepe nekam do ciziny (pokud by penize odesly v cas), IP nejake firemni wifi site, ktera je po malem zasahu pristupna kazdemu a cas v noci, kdy nebylo z kamer moc dobre videt na auta, ktera se kolem te dane budovy prohanely :)

Matematicky vzato máte pravdu, že menší množina znaků ve stejně dlouhém hesle znamená menší počet kombinací a tudíž snažší uhádnutelnost hesla. Ale pokud se aplikace či certifikát zablokuje po několika málo chybných zadáních hesla a odblokovat ji může jen banka na žádost majitele účtu, je velmi málo pravděpodobné, že by se někdo pokoušel odhalit heslo metodou pokus-omyl. Spíše se jej bude snažit získat zachytáváním stisknutých kláves, odezíráním z klávesnice, šacováním papírků kolem počítače, diářů a poznámek přímo v PC. Ono takové 10 znaků dlouhé heslo jen z písmen bez diakritiky a číslic (35 znaků) dává možnost 2,76x10^15 (biliard) možných kombinací. Zdá se Vám to málo?
Spíše pozor na různé šikovné prográmky. Při správném používání mohou být i užitečné, ale v rukou nezasvěceného? Např. před pár lety jsem dělal nějakou softwarovou údržbu na PC zákazníka, který měl nainstalovaného "Hlídacího psa". To je prográmek, který umí zamknout různé složky, programy a funkce Windows, internetové adresy atd. Jako ochrana před všetečnými dětmi nebo hravými zaměstnanci může být super. Ale v demoverzi těžko, neboť není chráněn heslem. Po několika minutách jsem majiteli sdělil jeho heslo do banky. Ten program totiž mimo jiné umí i zachytávat všechno, co vyťukáte do klávesnice a ještě uvede kdy a v jaké aplikaci! Totéž umí spousta spyware, které to ještě odešlou autorovi.
Já myslím, že skromnější heslo je mnohem menší problém, než nevědomost či lehkomyslnost uživatelů PC.