Finanční arbitr: on-line škodu klienta zaplatí banka

To byste se divil, jak je to jednoduché. Ještě vloni ČSOB vyžadovala pro update certifikátu půjčit čipovou kartu na dva dny, včetně prozrazení PINu. Letos už se dá certifikát obnovit po internetu uživatelsky - ale POUZE před vypršením platnosti stávajícího certifikátu. Na jeho expirující platnost vás ale nikdo neupozorní, takže mnoho lidí zjistí neplatnost certifikátu až když je pozdě a stejně kluše na pobočku. Tam už sice kartu nemusí nechat dva dny, stačí jí strčit do čehosi a zadat PIN na terminálu - ale obnovu certifikátu dělá člověk, kterému na půl hodiny svěříte kartu i s čipem a vložíte platný PIN. Představa jak by takto šla karta nebo její komunikace naklonovat včetně zabezpečení není tak složitá.

Banka má nabízet ve standardu jednoduché praktické a přitom maximálně bezpečné řešení a to jméno a heslo prostě není. Prostudujte si poslední velké případy phishingu. Optimální řešení má z tohoto pohledu eBanka.

"Říkat, že zabezpečení obsluhy je věcí klienta je nebetyčná drzost."
Nu, znovu zopakuji, ze se nasich bank uz z principu nechci moc zastavat, protoze je z mnoha duvodu nemam rad, kazdopadne:
Veci klienta je rozhode dodrzovat urcita bezpecnostni pravidla a pokud to nedela, je to *jeho* chyba, vina a blbost. Take v tehto okamzicich lituji, ze neexistuji ridicaky na pocitace.
Zabezpeceni formou jmena a hesla JE bezpecne. Pokud si dokazete zapamatovat jmeno a heslo, na papirku budete mit fingerprint certifikatu (pro pripad, ze by byl smazan z prohlizece) a budete se prihlasovat z bezpecnych pocitacu(*), bude to dostatecne bezpecne. Nic vic se po vas nechce. Myslite, ze to je moc?
(*) opet opakuji, pokud se prihlasujete ze sveho domaciho pocitace, ktery si sam spravujete, nejlepe s neupdatovanymi Windows, rozhodne nemuzete tvrdit, ze se jedna o bezpecny pocitac a primo si koledujete o prusvih.
Zaverem: svet neni idealni, pokud chcete spravovat svuj ucet pres bezny pocitac a prohlizec s beznymi prostredky a chcete, aby to bylo bezpecne, budete se muset chte nechte smirit s tim, ze o bezpecnosti budete muset vedet alespon to, co bude potreba.
(take se chci v zime bezpecne prepravovat, a proto musim vedet, jak jezdit s autem na namrzlem povrchu, protoze se ridice nebo helikopteru si nemuzu dovolit)

Nesouhlas. Banka má nabízet již ve standardu bezpečné řešení. Od toho je to proboha banka a ne kabaret. A nemá řešit případný problém uživatele, který na bezpečnost řešení BANKY spoléhá, zákeřným alibismem ve smlouvách.

Naprostý souhlas !!!

Na rozdíl od diskutujících mám tento názor: 1. Banky se cílevědomě (poplatkovou politikou) snaží dostat klienty od přepážek na internetovou a telef. samoobsluhu. V takovém případě by měly nabízet jen sofistikované produkty. 2. Klienti chtějí bankovní služby a ne kurzy bezpečného internetu. Říkat, že zabezpečení obsluhy je věcí klienta je nebetyčná drzost. 3. Finanční ústavy (které si říkají banky)a nemají zabezpečené aktivní operace (bez nadstandartních poplatků) by měly přijít o licenci.

Zkusim si tipnout vystrelem od boku:
Smysl cipovych karet je takovy, ze operace (napr. podepsani transakce) se provede primo v cipu karty, takze to znesnadnuje moznost utoku (pokud tu opraci provedete treba primo v ramci operacniho systemu, tak mu muzete treba ukrast certifikat).
A ted ten tip: Nicmene se zrejme povedlo (?) oklamat program, ktery praci s kartou obsluhuje a stacilo pockat, az ji uzivatel k pocitaci pripoji. (karty byvaji chraneny treba PINem, jehoz ziskani nemusi byt problem)

V clanku se pise: > jsme v laboratorních podmínkách otestovali, > že je možné zneužít i internetové bankovnictví > s čipovou kartou
Muzete prosim tohle trochu vysvetlit? Myslel jsem si, ze cip karta zatim nejde prolomit, k cemu tam ta karta tedy je?
Jiri

vase veta bude mit IMHO smysl pouze pokud tam pridate "pro bezne uzivatele". Pokud vite co delate, je jmeno + heslo + sifrovani spojeni dostatecne bezpecne. Nic neni 100 %, ale kdyz se umite chovat, tak bude jednodussi (v clanku take zmineno) nejaky fyzicky natlak apod.

vskutku pekny clanek, ktery docela dost chybel ...
Kazdopadne bych mel par dotazu. Pokud banky tvrdi, ze jejich bankovnictvi je 100 % bezpecne, tak o tom zadna, ale kdyz ne, tak je chyba na strane banky? (beru v potaz jenom stranu klienta, bezpecnost bankovnich systemu "uvnitr" banky bych radeji nerozebiral, jednak s tim nemam primou zkusenost a jednak jsem o tom slysel az moc zajimave veci)
Vezmeme si treba klienta, ktery prisel o penize bytoveho druzstva. Pokud mu nekdo podstrcil nejakeho trojskeho kone, tak dle meho:
A) ho spustil sam (= jeho chyba) B) ho spustil nekdo z jeho blizkych, kteri maji k pocitaci pristup (= jeho chyba) C) byl trojan aktivovan diky nejake bezpecnosti slabine v systemu -- budto nebyl zabezpeceny (= chyba spravce systemu) nebo nebyla dostupna zaplata (= chyba vyrobce systemu; v pripade MS Windows viz EULA => jeho chyba)
Takze nevidim duvod, proc by za to mela nest odpovednost banka. Ano, mohla treba jako HVB Bank zvolit takove reseni, ktere vyzaduje mit fyzicky nejaky token nebo autentizacni kalkulator, ale je to opravdu jedina cesta? Ve skoleni uzivatelu na pobocce bych reseni moc nevidel, jedine by to naplnilo nejakou podminku smlouvy, ve finale moc neverim, ze by si nejaky uzivatel cetl prirucku o bezpecnosti plnou "technickych" informaci ...
Notice: nepracuji v zadne bance a ceske banky nemam moc rad, ale tohle mi prijde jako prehnane. Pokud si nejaky uzivatel mysli, ze si dokaze sam spravovat pocitac prosim, ale pokud neco udela spatne a podceni treba bezpecnost, pak by mel nest sam nasledky. Je to sice drsne, ale je to tak. (podobne jako jinde, mel jsem chut uvest priklad s auty, ale to je tak opakovane, ze radeji ne :))

Solidní banka nenabízí produkty, jejichž zabezpečení je téměř nulové (za což lze považovat "zabezpečení" přístupu na účet přes internet pouhou kombinací jména a hesla).

Pokud si to banky zařídily tak, že díky smlouvě jsou z obliga a nemusí ani protokolovat komunikaci klientského počítače a bankovního serveru, pak je dobře, že dostaly lekci. Solidní banka musí poskytnout maximální součinnost v případě neoprávněné transakce, aby bylo možno odhalit pachatele. Na druhou stranu je nesmysl žádat po bance, aby odpovídala za klientovu hloupost.
Pokud se prokáže, že útočník musel k získání přístupu použít složitější metodu, měla by škodu nahradit banka a na pachateli ji vymáhat. Naopak, prokáže-li banka, že komunikace všech transakcí (např.) 1 měsíc před prošetřovanou transakcí včetně jí probíhala zcela standardním způsobem, měl by se s pachatelem soudit klient. Možnost vyzrazení hesla např. v hypnóze, jak uvádí článek, by si měl uvědomit klient, který si pořizuje vědomně levnější bankovní aplikaci, zabezpečenou pouze jménem a heslem. Banka by klienta měla ve smlouvě na takovou možnost důrazně upozornit. Pak za takové vyzrazení a zneužití hesla nese odpovědnost klient, prokáže-li banka standardní komunikaci - viz. výše.

Myslim ze je to prvni clanek, skutecne popisujici situaci internetoveho bankovnictvi u nas. Doufam ze je ted jasne, proc bylo tolik povyku ohledne titulu "internetova banka roku". Hezke a prehledne menu je super do doby, nez Vam nekdo vyluxuje ucet. Neznalost klientu se jeste omluvit da, pristup nasich bank tezko. Naprosto typicky postup nasich (vsech velkych bez vyjimky) bank: Mame super nejbezpecnejsi inetbanking, ale za zneuziti neneseme zadnou zodpovednost :-(