Názory k článku
Bylo internetové bankovnictví KB nebezpečné?

Vše je bezpečné jen do té míry kam začne sahat lidská blbost. Platební karta není bezpečná pokud si na ní někdo napíše PIN.

Internetovou banku od KB mám již mnoho let. V době kdy jsem si jí pořizoval byl způsob vydání certifikátu jeden z nejbezpečnějších a nejpropracovanějších na trhu. Vše má své slabiny a pokud si někdo svůj certifikát (soubor na disku) třeba nasdílí po internetu je to jen jeho blbost. Trochu složitější ale stále možné je ukradení souboru včetně hesla pomocí trojanu ve Windows. Případů vykradení není mnohem víc jen proto, že lidé co to svedou většinou nejsou zloději a zloději to naopak většinou nesvedou a raději kradou v metru...

Jako vtip dobry, ale jinak spokojene zijte ve sve nevedomosti...:-)

Opravdu stupidní nadpis článku. Na ověřování pomocí sms přešla i ČS a nikde se o tom tam úžasně nepsalo. Je to je zvýšení úrovně zabezpečení banka tím nic neříká. Prostě se každý snaží zvyšovat kvalitu a poskytovat lepší služby.

O přechodu na SMS autorizaci plateb České spořitelny jsme psali:
http://www.mesec.cz/clanky/internetove-bankovnictvi-ceske-sporitelny-bude-bezpecnejsi/
http://www.mesec.cz/clanky/chyba-v-internetovem-bankovnictvi-cs/

A rozdíl je zřejmý. Česká spořitelna oznámila chystané změny a ponechala též dřívější způsob autorizace plateb bez nutnosti potvrzení SMS zprávou či jinou formou zabezpečení - jen rozšířila možnosti autorizace plateb pro klienty. Při té příležitosti sice snížila limit denních plateb bez autorizace, ale její krok nebyl tak radikální. (Nehovořím teď o chybě, která se ČS v úvodu do systému dostala - viz druhý odkaz.)

Naproti tomu Komerční banka včera oznámila, že dnes zavádí nový způsob autorizace plateb, a starý zrušila. Rychlost, s jakou ke změně a jejímu oznámení přistoupila, je v bankovním světě přinejmenším nezvyklá.

Pokud vím, KB nezrušila žádný "starý" způsob autorizace. Pokud chcete lidi informovat a nešířit bláboly, podívejte se na její stránky, týkající se změn zabezpečení internetového bankovnictví !
Klient se bude i nadále přihlašovat a autorizovat své platby pomocí certifikátu, tak jako tomu bylo dioposud, k tomu pouze přibyla jednorázová autorizace pomocí kódu, zaslaného prostřednictvím sms na předem zaregistrované číslo mobilního telefonu .

Podobné hovadiny, šířené na Vašich stránkách, nečtu poprvé ... :-(

"Všichni uživatelé internetového bankovnictví mojebanka, kteří používají k podepisování transakcí osobní certifikát v souboru, budou nyní při provádění aktivních operací zadávat i autorizační SMS kód."
- citace z TZ banky (viz http://www.mesec.cz/tiskove-zpravy/komercni-banka-posiluje-zabezpeceni-sveho-internetoveho/)

Co je to jiného, než zrušení autorizace certifikátem a její nahrazení certifikátem a SMS kódem? To, že se jedná o závažnou změnu, můžete vyčíst i z reakcí dalších čtenářů:

"... vnucovat mobilni telefon si fakt nenecham. Mobilni telefon nevlastnim, protoze nechci a kvuli KB si jej porizovat nebudu."
- viz http://www.mesec.cz/clanky/bylo-internetove-bankovnictvi-kb-nebezpecne/nazory/21994/

Nejde o žádné "zrušení autorizace..." .
Podívejte se laskavě na http://www.mojebanka.cz/file/cs/autorizace_MB_cz.html .

Je tam krom jiného toto:
"Od 25. 8. 2006 bude nutné veškeré aktivní operace (např. platební příkazy) provedené přes službu Mojebanka autorizovat osobním certifikátem v souboru a zároveň autorizačním SMS kódem, který bude KB posílat na Vámi registrované telefonní číslo. Registraci telefonního čísla je možné provádět od 15. 8. 2006 v aplikaci Certifikační průvodce."

Je tedy nutná jak autorizace certifikátem, tak SMS kódem !

Jistě, vždyť také píši: "... Komerční banka včera oznámila, že dnes zavádí nový způsob autorizace plateb, a starý zrušila."
http://www.mesec.cz/clanky/bylo-internetove-bankovnictvi-kb-nebezpecne/nazory/22000/

Polopaticky: Zrušila autorizaci plateb certifikátem a nahradila ji autorizací plateb certifikátem *a* SMS kódem. Zkuste si po přechodném období (10 dní) autorizovat platbu *pouze* certifikátem (nepůjde to - tento způsob autorizace plateb bude definitivně zrušen; tedy pokud nedojde k nějaké změně rozhodnutí, oddálení či technickým komplikacím).

Nezmiňuji zde nyní skutečnost, že po (tuším) třetí platbě při jednom přihlášení další platby nemusíte autorizovat SMS zprávou.

Nemohu si pomoci, ale mam pocit, ze jste nahradil svuj osobni automobil Skoda Felicia s registracni znackou ABC 12 34 za bezpecnejsi osobni automobil Skoda Felicia s RZ ABC 12 34 a autosedackou.
Vetsina lidi by rekla, ze jste svuj automobil dovybavil autosedackou.

Vaše přirovnání se mi líbí. Nicméně má drobný nedostatek - auto bez autosedačky vám bude i nadále fungovat. Mojebanka.cz bez autorizační SMS nikoli.

Teda Scorpione s takovým sucharem bez fantazie a představivosti musí bej doma dost nuda.
Starý způsob byl bez SMS zpráva a nový způsob ho používá.

Je ti to srozumitelný nebo k tomu potřebuješ vědeckou studii????

Na ní to někdo psát může, akorát nesmí moc tlačit, aby se to neprotlačilo do ní. Ale nechápu, proč by si někdo papírek pro zapsání pinu podkládal zrovna platební kartou.

> Vše je bezpečné jen do té míry kam začne sahat lidská blbost.

tim bylo vse potrebne v prispevku receno a dal uz to jen "zacalo sahat"... nema cenu to ani komentovat, jen ROFL

Proč by pořízení systému na generování jednorázových hesel a jejich posílání přes SMS mělo stát milióny? SMS bránu už KB dávno má a používá ji třeba pro posíláníá denních zůstatků na účtu - tedy je určitě dost výkonná. Vygenerování jednorázového hesla je problém na úrovni vygenerovánoi pseudonáhodného čísla, tedy jako další zátěž pro HW je zanedbatelný a tedy žádný nový HW nepotřebuje. Pokud je jejich server napsaný rozumně, pak celá tako sranda představuje napsání jednoho jednoduchého skriptu (práce na půl dne) a otestování (což je asi mnohem delší a nákladnější), HW se rozšiřovat nemusí. Takže ty náklady bych odhadnul na desítky až sto tisíc.

Desítky tisíc to určitě nebudou, bavíme se o prostředí, kde se za jeden den práce člověka platí v řádu desítek tisíc korun. Ale i kdyby nové řešení stálo v řádech milionů korun, nevidím na tom vůbec nic špatného. Bankovní prostředí je vysoce paranoidní, vyžaduje hodně testování před uvedením do produkce. Omyly jsou tvrdě trestány, banku navíc nelze zastavit (ztráty z provozu jsou potom řádově vyšší, než jakékoliv náklady na projekt).
Suma sumárum, projekt za milion je v bance hodně levný projekt.

No, znám pár programátorů zaměstnaných v bankách, a nezdá se mi, že by jejich plat byl kolem půll miliónu měsíčně (desítky tisíc denně).

Musíte rozlišovat programátory a PROGRAMÁTORY a to se nikoho nesnažím urazit. Moudrý pochopí.

Vy zjevne o vyvoji softwaru v takovem prostredi nemate ani paru. Jakakoliv zmena sw v jakemkoliv bankovnim ustavu stoji miliony. Skript na pul dne + testovani je (v lepsim pripade) reseni ale franta vonasek s.r.o.

No, vzhledem k tomu, že to spadlo okamžitě po zahájení provozu, tak asi i ten Franta Vonásek s.r.o. by to udělal líp. Takže vlastně máte pravdu, o bastlení progamů (vy používáte eufemismus vývoj softwaru) v bankovním prostředí toho moc nevím.

Kdyby to delal Franta Vonasek, tak to nejen spadne, ale jeste se klientum poztraci penize z uctu :-) To ze neco po najezdu do ostreho provozu spadne je sice spatne, ale v porovnani s tim co by se mohlo stat je to vpodstate neskodna lapalie.

Vaše víra ve schopnosti bankovních IT inženýrů je až dojemná. Tak tedy jeden příklad z praxe. V bance se rozhodli, že celou bankovní síť převedou pod WinNT. Na to vytvořili tým převážně mladých nadšených inženýrů, kterým správným způsobem vymyli mozky na školeních M$. A ti příšli s návrhem, že všichni budou mít roaming profily a celá síť bude mít jeden centrální file server. V týmu byl taky jeden Franta Vonásek, s.r.o. a ten jim říkal: "Neblbněte, spočítejte si, kolik budete mít klientů, jak je velký jeden profile a že když v osm ráno nastoupí uřednící a pustí počítače, tak to spolehlivě tu síť složí." Výsledek? Franta Vonásek s.r.o. byl z týmu vyřazen, protože přece pro M$ nějaká násobilka neplatí, a když to píšou v barevných letácích, tak je to pravda. Ti nadšenci to udělali po svém a pak se srašně divili, že jim to nechodí.

Do těch nákladů je třeba započítat i cenu za každou takto odeslanou SMS. Bude asi řádové menší než běžná cena SMS, ale 0 to nebude. A těch SMS bude více než těch se zůstatky.

Autor článku se v bezpečnostní problematice zjevně naprosto neorientuje, jinak by takovou blbost, jako že certifikát je zbytečný, když máme SMS kódy, nemohl nikdy vypustit z úst. Doporučuji zjistit si něco málo o "two-factor authentication". Právě použití *dvou různých kanálů* zvyšuje zabezpečení: když mi nějaký trojan nainstaluje na počítač keylogger, tak zjistí heslo k certifikátu a může ho odcizit, ale nedostane se k mobilu a odposlechnout jednorázový kód zadaný do prohlížeče je nanic, protože přístě bude jiný. Naopak když mi někdo ukradne telefon, tak je mu taky k ničemu, protože nemá certifikát.

Mimochodem, podle informací, které mi KB poslala, zůstává certifikát zaheslovaný jako dříve, SMS kódu jsou *navíc* k němu a pouze pro *aktivní* operace. Tvrdit, že SMS kód se bude používat jako heslo k certifikátu (jak dělá autor článku) je rovněž blbost: heslo se používá k *odšifrování* certifikátu, bez hesla ho nelze přečíst (není to tak, že by prohlížeč mohl přečíst certifikát, ale nedovolil ho použít pokud heslo nesedí, to by nebylo bezpečné) a není dost dobře možné zašifrovat certifikát tak, aby šel odšifrovat všemi možnými kódy, které mi v budoucnu banka kdy pošle (kódy jsou navíc samozřejmě náhodné, aby byly bezpečné).

Takže přístě doporučuji psát o něčem, čemu aspoň minimálně rozumíte :(

Vážený VX,

1, pokud chcete někoho kritizovat a pomlouvat, tak byste měl v sobě najít tolik odvahy, abyste se podepsal a neskrýval se jako zbabělec za předívkou.

2, pokud jde o Vámi zmíňovanou dvou faktorovou autentizaci uživatelů, tak tu vlastně od počátku používá ve svém internet bankingu eBanka, HVB a například i Česká spořitelna. V žádném případě se, ale nejedná o kombinace elektronický podpis (digitální certifikát) a jednorázové heslo.

3, je zarážející, že jste vážený VX vůbec nevěnoval pozornost tomu, že Komerční banka chce zdokonalovat, tak vychvalovaný elektronický podpis a spíše jste se zaměřil na detaily, které nebylo možné v noci z 14 na 15 srpna 2006 detailně ověřit, protože KB ještě novou aplikaci nespustila (heslo).

4, Je škoda, že jste se VX při své kritice nezaměřil i na zaručený elektronický podpis, který se používá způsobem velmi podobným pomu jak se používal digitální certifikat v Mojibance do 14. srpna. Používá se tedy způsobem, který je třeba podle názoru KB zdokonalit.

5, vaše podrážděná reakce VX mne utverzuje v to, že do dlouhodobých strategií v budování informačních systémů se stále snaží mluvit kdejaký specialista na technologie. Možná je to lidma, možná nevyzrálostí oboru IT, ale ve stavebnictví nebo strojařině nikoho nenapadne, aby se při vývoji nového motoru naslouchal tomu co říká soustružník nebo frézař. V oblasti IS je často znát, že zadání pro vytvoření (zdokonalení) nových aplikací dělají velmi kvalifikovaní odborníci na jednotlivé technologie, na PKI, na databázi od konkrétního výrobce, atd. atd. Tito jednostraně orientovaní odborníci se snaží vytvořit dobré řešení, jenže z důvodu své jednostrané specializace toho prostě nejsou schopni, nemají zkušenosti z jiných oborů nebo dokonce odmítají zkušenosti z jiných oblastí lidského života přijímat. V non-IT světě se takovému chování říká "páchat dobro".

AD 5:
Jestli ono to nebude tím, že při návrhu motoru z technika nakonec vypadne i přesný postup pro frézaře s soutružníka, podle kterého se ten motor pak opravdu dá vyrobti, zatímco v IT z architektů vypadnou mlhavé představy, které jsou z 50% špatně a z 50% nerealizovatelné s dostupnou technologií. Tak například nás jeden IT architekt nutil napsat do procesu po Unixem handler na přerušení 9 - pro neznalé, toto z principu fungováním Unixu není možné (teda, možné to je, ale nikdy to nebude fungovat).

Zastrelit.

3. to co jste napsal je prostě z technického pohledu jasná kravina a to neokecáte

5. je prima že takový systém navrhne někdo, kdo má přehled o kdečem ale pokud nerozumí tomu, co navrhuje, tak je jeho návrh v praxi totálně nepoužitelný. Ano, ještě nedávno jsem si myslel, že lidé z velké firmy udělají za velké peníze pořádnou analýzu a pořádnou práci. pak jsem zažil jednu implementaci Navision a už si to nemyslím.

Jsem sám, komu zrovna reakce pana Nápravníka (na rozdíl od VX) připadá podrážděná?

nejsi ;)

Připadne mi, že když už v KB chtěli udělat změnu, měli SMS kódem nahradit certifikát pro přihlášení do aplikace a certifikátem podepisovat jen aktivní operace.
Zůstává ještě možnost certifikátu na čipové kartě. Na ale asi většina klientů nebude slyšet.

plnej souhlas. dvoufaktorová (dvoukanálová) autentizace je naprosto o něčem jiném než jednofaktorová (jednokanálová). o řády.
"Pokud klientovi banky někdo odcizí mobilní telefon a chtěl by vykrást jeho bankovní účet, tak pro takového pachatele již není problém si opatřit i klientův certifikát."
Naprostej blábol! To bylo myšleno vážně?! Kristovanoho.

> "Pokud klientovi banky někdo odcizí mobilní telefon a chtěl by vykrást
> jeho bankovní účet, tak pro takového pachatele již není problém si
> opatřit i klientův certifikát."
> Naprostej blábol! To bylo myšleno vážně?! Kristovanoho.

Souhlas, uz vidim jak to petilete dite jedne mensinove narodnosti, ktere mi sikovne odcizilo mobil, lame muj sifrovanej disk aby ziskalo certifikat, ke kteremu musi jeste ziskat heslo. :-D

Posunem správným směrem by tento krok šel nazvat jedine tehdy pokud by se jim ho podarilo bez problemu implementovat do stavajici aplikace.
Dukazem neschopnosti KB je dnesni nefunkcnost internetbankingu, pri slavnostim spusteni aplikace.
Neni zvykem nove reseni testovat pred spustenim??
Napada me slogan jine znacky... testovano na lidech :-)

"Pokud klientovi banky někdo odcizí mobilní telefon a chtěl by vykrást jeho bankovní účet, tak pro takového pachatele již není problém si opatřit i klientův certifikát". To jako myslíte, že si nosím disketu s certifikátem a mobil pohromadě v kapse, nebo jak tomu mám rozumět?

Přesně tahle věta v článku mě utvrdila o tom, že další výplody autora bych na Měšci již nerad nacházel.

Ja bych to formuloval: Jednodussi je cmajznout nekomu mobila, jako mu nainstalovat kb snifer na heslo. Ale jako zde nekdo psal. heslo na certifikat se nerusi, takze ta SMS je jen zvyseni bezpecnosti pro ty, co se obavaji prozrazeni hesla. Nicmene plati, ze kdo dokaze sniferem zjistit heslo, pro toho neni ani kradez mobilu prekazkou k vybileni neciho konta, zejmena kdyz je dosti tucne...

Softwarovy sniffer lze nainstalovat na dalku (viry, ...), aniz bych tusil, kde obet bydli. Mozne to samozrejme je, ale da to mnohem vice prace.

Variant může být víc, ale vždyť k tomu banka nepřímo nabádá tím, že říká, aby klienti nenechávali svůj certifikát v počítači a měli jej na disketě, CD nebo USB tokenu.
Kde bude mít podnikatel ten token?

Můžu hádat? Určitě připojení k levému spodnímu rohu mobilního telefonu, zatímco k pravému spodnímu rohu má přidělaného plyšáka.
Aneb bez ironie - jak krádež mobilu implikuje ukradení CD/diskety/tokenu, tomu opravdu nerozumím. Navíc když již dávno existují cenově dostupné tokeny, kde jsou data chráněna otiskem prstu.

Zatím všude kde jsem se s tím zmetkem od KB potkal byl na disketě ležící na počítači.

I když mé skromné zkušenosti nejsou statisticky významný vzorek, osobně si z nich závěr dělám. Znám 3 firmy, které inet banking od KB mají, ani jedna z nich nemá disketu s klíčem na počítači.
Taktéž řadě mých známých ukradli mobil, ať již vcelku běžným způsobem (vykradené auto, batoh ve vlaku, MHD apod.), či inovativnějším (vytržen z ruky, útěkem se zapůjčeným telefonem pro "tísňový hovor" apod. Nikomu však nešel zloděj krást telefon do kanceláře.

To je asi fakt, ale stejně, pokud někdo někomu ukradne mobilní telefon, tak:

1. Pravděpodobně neví, čí telefon je. Pokud ví, čí je, tak pravděpodobně neví, zda a kde má elektronické bankovnictví, jaké má číslo účtu apod.

2. Mobilní telefon lze zajistit pinem, většina lidí jeho ztrátu zjistí poměrně záhy.

3. HTTP autentizace (v kombinaci se standardní ochranou proti přístupu na uživatelský účet na lokálním PC) nebo spíš její ekvivalent mi přijde ve většině případů docela adekvátní. Přehnané starosti o bezpečnost mi navíc u banky, která dlouhá léta podporuje pouze ten nejděravější browser na trhu na nejnapadanějším OS mi přijde nanejvýš trapná.

i kdyby mel ten token(mimochodem, odkdy je disketa, USB nebo CD tokenem ;) ) prilepenej na telefonu, tak to ze mu nekdo ukradne telefon pozna o rad drive nez to, ze mu nekdo pres nejakej trojan vycucal klic i s heslem a vybilil ucet...

takze kdy ma vetsi sanci zablokovat internetove bankovnictvi jeste pred prevodem?

Plně souhlasím s tím, že ztrátu mobilního telefonu zaregistruje většina lidí pravděpodobně velice brzo. (Jen si pak budou muset ještě od někoho půjčit nějaký jiný, aby mohli ten svůj bankovní účet zablokovat. :)

Co se tokenu týče, tak vězte, že není token jako token!
"USB token je osobní elektronické zařízení, které slouží jako bezpečné úložiště privátních klíčů a certifikátů." (Citace z http://www.cesnet.cz/doc/techzpravy/2005/usbtokeny/)

(Jinak USB samo o sobě - tedy alespoň pokud je mi známo - je označení - přesněji řečeno zkratka: Universal Serial Bus - pro jednu z datových sběrnic, kterou mohou různá zařizení využívat pro jejich vzájemnou komunikaci a na kterou si tudíž asi jen velice těžko něco na delší dobu uložíte :)

presne tak, jenze banka nenabada k pouzivani usb tokenu (tj. kryptografickeho zarizeni viz me prispevky nize), ktery by musela navic podporovat primo aplikace, ale usb flash pameti coz je stejne jako disketa nebo CD jen uloziste dat ale pak tomu nemuzeme rikat (tak jako autor clanku) token ;)

Mojibanku používám několik let a vůbec s ní nejsem spokojený. Je to strašné pomalé, velmi často je aplikace nedostupná, dnes nevyjímaje. Jako jediné internetové bankovnictví z "velkých" bank funguje pouze v děravém Internet Exploreru 6 (v nové verzi 7 ne, takže na Windows Vista máte nyní smůlu):
http://www.czilla.cz/podpora/internetova-bankovnictvi-v-mozille.html
Pamatuji si také, jak v roce 2002 aplikace nefungovala na tehdy nových Windows XP, protože neobsahovaly Java Virtual Machine od Microsoftu.

Celkově na mě ta aplikace působí příšerně "zbastleným" dojmem. K její současné velké neohrabanosti nyní přibude nutnost každou operaci potvrzovat opisováním číslic z displeje mobilu. Navíc, pokud chci změnit číslo mobilu, musím jít osobně na pobočku a sepsat s poradcem novou smlouvu... vítej 21. století. To už mi připadne příliš, mám chuť přejít k jiné bance :-(

Tak proč jsi už od KB neodešel dříve, když už toho tolik "pamatuješ" ? To nechápu...

Třeba tam má hypotéku a k ní povinný účet...

Ja taky a co? Jednak by me nenapadlo ten mizerny "bezny ucet" pouzit pro osobni finance, jednak do banky chodim jednou za pet let pro podpis dodatku k hypotece...

Docela jsem se bavil letos v zime (podepisoval jsem dodatek a menili jsme ucet, protoze ted ma nejaky levnejsi... jo a vlastne zakladali formalne detske konto, pac pak jsme meli levnejsi urok, takze ty zabetonovane 2 stovky obratem zhodnotime), kdyz pracovnice na prepazce mimo jine pozadovala podepsani souhlasu se zpracovanim osobnich udaju... precetl jsem si ucel toho souhlasu a otazal jsem se, zda-li je to opravdu nutne, protoze nic z toho neni treba k beznemu styku... bohudik nezapirala a potvrdila muj nazor... takze souhlas nedostala... (manzelka byla mekka...:-)) - nutno podotknout, ze to same mne z pozice Ceske pojistovny loni zkousela i eBanka... taky jsem je poslal do patricnych mist.

Souhlasím. Mojebanka je katastrofa, rok od roku složitější, pomalá a často nedostupná aplikace. Jelikož nechci měnit zavedené číslo účtu, zkouším to s ní vydržet... Poslední stahování certifikátu se mi již vůbec nezdařilo, nastahoval jsem si několik nesmyslných verzí JAVA (podle protichůdných rad z technycké podpory) přes modem (:-( a nakonec jsem musel k sousedovi na XP...

Zatím jsem se nedozvěděl, to nejpodstatnější. Když už se někomu nabourám do Mojibanky. Co potom? Kam převedu peníze, aby se na to nepřišlo? Můžu peníze převést do zahraničí? Převést je na jiný učet v ČR mi připadá amatérské a snadno dohledatelné.

Vážený Petře,

pokud jste státní zaměstnanec a zajímá Vás tato problematika, kontaktujte mne prostřednitvím redakce serveru Měšec.cz

Pokud jste civilista, kterého pouze svrbí prsty nebo má náročnou manželku, tak Vás musím upozornit, že takováto činnost má své ohodnocení v Trestním zákoně, konkrétně v §257a,§250, atd.

Vyšetřování bez spolupráce s bankami ( Komerční banka velmi dbá na ochranu bankovního tajemství i u vykradených účtů!!) nebylo a není jednoduché ale vždy jsme autora vypátrali.

Ale no tak. :-) Jen otevírám zásadní otázku, která je nezodpovězena. Pořád se mluví bezpečnost, bezpečnost, certifikáty, hesla, autorizační SMSky. Ale k čemu je někomu nabourat internet banking, když peníze nemám kam ulít?

Nejčastěji se využívá tzv. bílý kůň (to jsou ti lidé, kteří jsou často nacházeni na dnech přehrad) - převedou se peníze na jejich účet, oni je vyberou, část si ponechají a zbytek vám dají (např. v hotovosti).

Neni potreba nikoho hazet do prehrady. Staci sehnat nejakyho vaguse s obcankou a pokud mozno i pomalejsiho na hlavu.
Podle popisu co o vas da policii vas chytit nemusi.

To je skvele, ze jste se pochvalil. Jeste bych rad znal vysvetleni, jak se posila passphrase k privatnimu klici el. certifikatu pomoci SMS. To by mohl byt nejvetsi objev od vynalezu splachovaciho zachoda.

Docela by me zajimalo, v cem meli diru, ze ji nebylo mozne zaplacnout jinak nez pridanim dalsiho autentizacniho faktoru. Ale mozna to sami nevedi a tak jim nezbylo nic jineho nez to pres noc fixnout takle.

opatrne s tim rypanim, nebo si Vas pan autor najde!

Největší díra vždycky byla, je a bude v uživatelích. Ať se to týká účtů u KB, ČS nebo ČSOB a nebo kdekoliv jinde, když u toho bude sedět bluma, co nechápe význam slova prevence, potom to vykradači budou mít pořád hodně jednoduché. Holt se nedivím, že banka přistoupila ke kroku, kdy se snaží rozložit zabezpečení do různých kanálů, protože do budoucna by to mohlo být levnější než soudy s lidma, co si certifikát nechávaj kdesi na disku počítače napojeného do sítě a heslo si nezměnili už pět let a pro jistotu tam mají svoje datum narození.

Tak tohle je opravdu posledni kapka od KB. Kdyz pominu to, ze neumoznuji pristup z prohlizecu Opera + FF, tak ale vnucovat mobilni telefon si fakt nenecham. Mobilni telefon nevlastnim, protoze nechci a kvuli KB si jej porizovat nebudu.
Takze bych se rad zeptal, kterou banku doporucujete na prestup, pokud KB nezmeni svoje rozhodnuti? Davam jim mesic, budu psat na technickou podporu a pokud se veci nezmeni, tak s KB jsem definitivne skoncil.

Zivnobanka funguje jakz-takz i v Opere a FF. S prechodem muzes zacit okamzite, protoze KB jiz nekolik let stridave tvrdi, ze "nic nez MSIE podporovat nebude", popr. "stale vyhodnocuje potreby klientu", podle toho, na koho narazis.

1. Bezpecne
2. Dostupne z Firefoxu
3. Neplatim zadny mesicni poplatek
4. Zadny poplatek za prichozi platby
5. Vsechny bankomaty za 6,90 (ja vim, zni to jako reklama, ale kdyz ona je to pravda)
a hlavne
6. Nemusim tam chodit, nikdy, s nicim, vubec. No, snad krome zmeny simkarty. ;-)

Jen jestli jí to vydrží i pod RB...

to vite, ze ji to vydrzi, cela banka je od zakladu postavena tak, ze kontakt je pres certifikat, ktery si nosite s sebou (mobil, nebo kalkulacka) a ktery je jeste chranen pinem. Take klientske cisko neni jednoznacne, takze dostat se ke vsem trem udajum neni zvenku moc jednoduche.
Spis sazim na pomaly prechod noveho majitele k systemu eBanky, neb je vysoce efektivni (minimum zamestnancu) a prinese znacne uspory. Musite si uvedomit ze plat v bankovnim sektoru je takovy, ze kazdy zamestnanec stoji banku skoro pul milionu korun rocne. A to se to potom zefektivnuje, kdyz zisky skacou takto rychle.

Pravda to asi bude, když minulý rok tuším byla poprvé v zisku s předchozími ztrátami - podívejte se někdy na jejich celou bilanci.
Rozhodně nevěřím, že dle drobka se změní větší drobek:))

Myslím že vydrží, protože i bankovnictví RB splňuje výše uvedené požadavky a dokonce je prý ještě lepší.

Pro organizace je nejschůdnějším řešením použití čtečky čipových karet místo mobilů. Překvapila mě cena 857 Kč za čtečku, protože tu samou má ČSOB za 650 Kč a nabízí i levnější typy. Jediným dodavatelem je podle KB GCC Services a ceny za instalaci, za poštovné i za osobní vyzvednutí čtečky na jejich pobočce jsou přehnané. V SM kraji mají zřejmě 3 technici GCC zvládnout instalace čteček všech klientů, kteří si na instalaci sami netroufají... Pokud je rozhodnutím KB klient nucen zvýšit "již bezpečnou" komunikaci, mohla by se KB chovat slušně a klienty spíš dotovat než na nich ještě vydělávat. Termín povinného používání do 25.8. je nezvykle krátký a tak se lze domnívat, že k tomu musel být důvod. Nepřál bych si být v kůži klienta, který se po třítýdenním pobytu u moře vrací a chce rychle zaplatit něco z účtu. Jsem rád, že jsem od KB již odešel..

ctecka cipovych karet se v systemu chova jak? nechova se jako dalsi disk? na kterem je ulozen certifikat ve forme souboru? pokud ano, neni rozdil proti certifikatu ulozenemu na disku PC.
Paklize je to jinak, jaka je podpora pro uzivatele stale se rozsirujiciho systemu Linux? Mezi vysokoskolaky technickeho zamereni je uzivatelu Linuxu fura. Staci jen pockat, jak se pomalu prelivaji do praxe, ze jednou nastane zlom, ze najednou budou firmy na ten system prechazet.
Nezlobte se, ale kvuli bance nedam jednou za 4 roky kolem 5 tisic korun nejakemu Mikrosoftu kvuli jeho neschopnosti udrzovat bezpecny system. A krast software jako minimalne 60 procent lidi v tomto state nebudu. Vzpomente si na to, az vam operacni system nabidne, ze byste si ho meli jit koupit, ze mate nelegalni kopii.

ctecka je ctecka, ta jen zapisuje a cte data, ale vtip je v tom, ze tajny klic je v karte a nikdy ji neopusti, ctecka ji (karte) posle prikaz "podepis nebo zasifruj mi tohle" a ona ji vrati uz podepsana ci zasifrovana data (ta karta je vlastne malej pocitac)

nevim jestli to tak chodi i u KB, ale "slusne" systemy pracuji takto ;)

Celkem slušné vysvětlení a odpovídající. Čtečka čipových karet je záležitost pořízení cca do 500 Kč jednorázového nákladu.

Takoví lidé by měli na KB vytvořit patřičný tlak --- přidejte se k ostatním na http://anti-kb.johanesville.net/

Myslim, ze autor ma v clanku chybu a dost zavaznou, protoze zabezpeceni sluzby je vicesecne nez uvadi. Protoze k zabezpeceni se pouziva certifikat PLUS heslo k certitikatu PLUS jednorazovy autorizacni kod.....

Takze mozna pred tim, nez napisu clanek, si zjistim fakta :-D

... a maily co posilam na you@your.address mi to nechce dorucit :-)
http://img123.imageshack.us/my.php?image=mojebankaczrs2.png

Kouzelné :-D

On bude asi problém v tom, že v reálném světě není možné uložit soukromý klíč na bezpečené úložiště použitelné ve spolupráci s počítačem. Ve všech mě známých řešeních existují slabiny, které lze více či méně jednoduše zneužít. I přesto tento způsob "zabezpečení" používám (u jiné banky) a spoleham se na to, ze na me cerny petr nepadne - pohodlnost je pohodlnost.
Napada vas nejake vhodne reseni, jak vnest do PKI takovy prvek, aby se eliminovala moznost zneuziti meho soukromeho klice na jinem pocitaci bez meho vedomi? Aniž bychom uvažovali SMSky?

externí "kalkulačka" která má uvnitř ten certifikát ale která jej neydá ale jen podepíše údaje (částka, cílový účet, ...) zadané z klávesnice? Umí např. eBanka. Ale je otrava to tam všechno klapat.
Přístup ke kalkulátoru je chráněn PINem.

IMHO je řešení bankovní SMSkou (t.j. NE běžnou SMSkou ale takovou, kterou mi mobil řekne až po vydání speciálního PINu aby se řešil problém ukradeného mobilu) dnes asi nejlepší možnost.

No tohle je něco trochu jiného - tyto "kalkulačky" používají klíč symetrický, kdežto PKI je o asymetrické kryptografii. U kalkulačky to znamená, že stejný klíč musí znát obě strany komunikace a ověřování vygenerovaného kódu pak probíhá tak, že stejný kód vygenerují obě strany a pokud se shodují, je to v pořádku. Tzn. že budu obtížně dokazovat, jestli ten kód vygenerovala strana A nebo B.
U PKI mohu svůj podpis vygenerovat pouze já svým soukromým klíčem, druhá strana drží můj veřejný klíč a jím podpis pouze ověří. Nikdy jej nemůže vygenerovat. Tím se stává PKI zcela úžasnou záležitostí - viz zaručený elektronický podpis. Pokud ale nejsem schopen věřit tomu, že můj soukromý klíč mám jenom já, pak to ztrácí svoje kouzlo...

Řešením jsou certifikační a šifrovací tokeny - tam je certifikát uložen, aniž by šel dostat ven, a veškeré šifrování se provádí v tom tokenu. Pokud je navíc vybaven klávesnicí pro zadání PINu, tak ani sniffer nepomůže k získání hesla k certifikátu.

Ano, ale je treba zduraznit, ze klavesnice musi byt na tom zarizeni, ktere si nosite v kapse. a nejlepe i displej pro komunikaci a obsluhou. Ale takovych zarizeni asi moc mezi lidmi nebeha, ze? Nebo jsem se zatim s zadnym nesetkal.

doporučuji navštívit eBanku :-) Tam totiž někdo nad bezpečností přemýšlel a udělal to pořádně.
Je hezké, že si tu lidé zvykli na to, že přístup do banky je velice snadný a neotravuje. Problém je v tom, že takové řešení je z bezpečnostního hlediska neuvěřitelný průser. A když si na takové řešení zvykli jejich zákazníci a teď konečně banka zjistila, že takto to prostě nelze dělat, tak si tím sama zaškodila.

Tady je ale problém v tom, že do toho tokenu musí data posílat nějaký software. A pokud dokážu ten software oblafnout a poslat tam něco zcela jiného, uživatel daného počítače ani tokenu to vůbec nepozná... A já nemusím ani znát daný pin.

Podle zkusenosti s prechodem z MS Javy na sunovskou bych to videl jinak. Udelaji upgrade a bankovnictvi prestane fungovat tem, kteri nebudou mit IE7.
:-)

MojeBanka v IE7 fungovat bude.

Dnes mi bylo z infolinky KB telefonicky sděleno, že pokud chci ovládat dva různé účty musím si zaregistrovat dvě telefonní čísla...., tak to je teda maso.Údajně nelze zaregistrovat jedno číslo k více účtům.V KB končím.

To je nejaka kravina, podle me tam nevedeli co rikaji. Takhle to fakt nebude.

nesmysl, doporučoval bych lépe poslouchat, nebo v případě nepochopení kontaktovat linku znovu. Vše je zřejmě ze zprávy, kterou KB uveřejnila, Každý občan může od KB míti pouze jeden certifikát a k tomuto certifikátu si registruješ mobil, toť vše, počet ovládaných účtů potom nerozhoduje, ať jsou z tvého, nebo z cizího subjektu, tečka :D

V tiskové zprávě KB se píše: "K jednomu telefonnímu číslu bude možno přiřadit pouze jeden certifikát."
http://www.mesec.cz/tiskove-zpravy/komercni-banka-posiluje-zabezpeceni-sveho-internetoveho/

V době, kdy Vám kdokoliv může špehovat počítač je opravdu vinikající si používat na netu banku s certifikátem! Gratuluji. Lupič si napíchne PC a potom si domů stáhne data (smetánku) a může rabovat. V obchodních podmínkách stejně klient podepíše: banka nenese zodpovědnost za operaci při použití zákazníkova certifikátu. Taková banka by měla z trhu zmizet! Hlavně, že klient je neznalý a na tom se dá vydělat balík peněz pro akcionáře..................................................

Prepáčte, chápete niekto o čom bol článok?
Viete robím web aplikácie, trochu rozumiem kryptovaniu, snáď aj bezpečnosti, ale čomu rozhodne nerozumiem, je tento článok. Len tak mimochodom, ak chete nejaký dobrý funkčný portál, pozrite si moja.tatrabanka.sk a prípadne Slovenskú sporitelňu.
Možno by sa oplatilo rozdeliť článok na dve časti, tým čo trochu rozumejú a potom slušným ľudom, inak z toho vzniká trochu guláš.