Spočítejte si...

Zavřít

Představuje přímé bankovnictví riziko pro vaše peníze?

Řídit vlastní finance z pohodlí domova je pro mnohé z nás samozřejmostí. Je však otázkou, do jaké míry je tento způsob komunikace bezpečný a kde všude se skrývají rizika jeho zneužití. Pokusili jsme se na tyto otázky odpovědět v podrobné analýze bezpečnosti internetového bankovnictví.

Finanční server Měšec.cz ve spolupráci s partnerským serverem Root.cz připravil Analýzu zabezpečení internetového bankovnictví v České republice (PDF, 600 kB). Závěry analýzy konstatují, že základní verze zabezpečení internetového bankovnictví jsou v některých případech nedostatečné a dodatečné zabezpečení aplikace si mnohé banky nechávají zaplatit. Bez ohledu na kvalitu zabezpečení ze strany banky však stále zůstává rozhodujícím faktorem opatrnost klienta, který při komunikaci s bankou musí dodržovat základní bezpečnostní pravidla.

Každý úkon, který je realizován prostřednictvím internetového bankovnictví, má několik etap, než dospěje do zdárného cíle. Během těchto etap existuje několik oblastí, které představují potenciální riziko a které každá banka různým způsobem s ohledem na bezpečnost klienta ošetřuje. Jde zejména o oblasti zabezpečení přenosu dat mezi klientem a bankou, autentizace klienta a autorizace bankovní operace. Kromě uvedených třech oblastí je nutné zmínit i další faktor, který do hry vstupuje a není možné ho ignorovat. Tímto faktorem je cena, za kterou je možné od bank získat bezpečnější služby.

Zabezpečení přenosu dat a identifikace banky

Přenos bankovních informací je choulostivou záležitostí a jeho zabezpečení musí být věnována patřičná pozornost. Zabezpečení průběhu komunikace s bankou a následné identifikace lze dále rozdělit do tří kategorií.

V prvé řadě jde o ověření identity banky, za druhé se jedná o šifrování samotných dat a třetí kategorií je bezpečnost prohlížeče. V případě ověření identity banky jde o zajištění toho, aby byla předávaná citlivá osobní data nasměrována správnému subjektu. Z tohoto důvodu musí být zajištěna nejen identifikace zákazníka, ale také ověřena totožnost bankovního ústavu. V praxi tuto podmínku naplňují všechny banky shodně, a to využíváním tzv. protokolu SSL, v jehož případě sehrává důležitou roli webový prohlížeč, který na klientský počítač certifikát stahuje, ověří a postará se o všechno potřebné.

Otevření komunikačního kanálu mezi klientem a bankou znamená vstup do systému internetového bankovnictví. A právě tato cesta, kudy data putují, je jedním ze slabých míst. Riziko spočívá v tom, že kterákoliv třetí osoba může komunikaci zachytit, pozdržet, případně přečíst, a následně pozměnit. Z tohoto důvodu jsou data proudící oběma směry šifrována pomocí tzv. veřejného šifrovacího klíče, který je během úvodního představování předán klientovi a ten ho poté předává zpět. Od okamžiku předání klíče jsou veškerá data na straně odesílatele šifrována klíčem druhé strany a pro následné použití opět dešifrována. Šifrování zajišťuje webový prohlížeč, a přesvědčit se o tom můžeme pohledem na dolní lištu, kde by měla svítit žlutá ikona visacího zámku.

Všechny banky, které byly ve studii zkoumány, používají dostatečně silné šifrování a SSL certifikáty vystavené u certifikačních autorit. Studie tudíž považuje bezpečnost internetového bankovnictví v tomto směru za velmi dobrou.

Již několikrát byla zmíněna úloha, kterou sehrává webový prohlížeč, jehož výběr je věcí klienta a jehož bezpečnost je pro komunikaci klíčová. Rizika v jeho případě souvisí zejména s bezpečnostními chybami vzniklými při jeho vývoji a možností napadení počítače špionážním softwarem, čemuž lze účinně zabránit sledováním bezpečnostních hlášení, včasným záplatováním, aktualizacemi, instalací antivirových balíků, odstraňovačů spyware a výběrem bezpečného přístupu k aplikaci. Samotným výběrem prohlížeče můžeme mnohým rizikům předejít. Například z pohledu množství chyb a rychlosti jejich oprav jsou na tom alternativní prohlížeče mnohem lépe než Internet Explorer. Chyb je totiž v jejich případě celkově mnohem méně a jsou rychleji opravovány.

Srovnání webových prohlížečů
Prohlížeč Počet objevených chyb Z toho nezáplatováno
Internet Explorer 6.x 82 31
Mozilla Firefox 1.x 19 7
Opera 8.x 5 0
Konqueror 3.x 10 1

Zdroj dat: Secunia

Autentizace klienta

Autentizací, neboli ověřením totožnosti klienta, získává banka jistotu, že komunikuje se svým klientem a nikoli s neoprávněnou osobou. Autentizaci klienta provádějí banky pomocí uživatelského jména a hesla, certifikátu, autentizačního kódu zasílaného na mobilní telefon nebo kódem generovaným autentizačním kalkulátorem.

Šest z dvanácti zkoumaných bank nabízí svým klientům přihlášení na účet nejčastějším, zároveň nejméně bezpečným a nejsnáze napadnutelným způsobem, kterým je uživatelské jméno a heslo. Naopak nejbezpečnější variantou je přístup pomocí kódu generovaného autentizačním kalkulátorem, který využívají zatím pouze tři banky (u HVB Bank je jedinou možností). Další bezpečnou variantou autentizace je autentizace kódem zasílaným SMS zprávou a certifikát uložený na čipové kartě.

Způsoby autentizace
Uživ. jméno a heslo Certifikát Čipová karta SMS kód PIN kalkulátor
BAWAG Bank ano
Citibank ano
Česká spořitelna ano ano ano
ČSOB ano ano
eBanka ano ano ano
GE Money Bank ano ano
HVB Bank ano
Komerční banka ano ano
Poštovní spořitelna ano
Raiffeisenbank ano
Volksbank ano
WSPK ano
Živnostenská banka ano ano

Autorizace platby

Autorizace platby, neboli ověření pokynu, probíhá ve většině případů stejným prostředkem jako autentizace klienta. Většina bank tak stejně jako při autentizaci vyžaduje uživatelské jméno a heslo, a k tomu navíc podpisový certifikát. Jen v případě Citibank, České spořitelny a GE Money Bank (zde se to týká internetového bankovnictví Genius při použití uživatelského jména a hesla) není platba již dodatečně autorizována. Jedná se o poměrně závažné bezpečnostní riziko. Způsob autorizace aktivních operací shrnuje následující tabulka.

Autorizace transakcí
Autorizace transakcí
Certifikát Čipová karta SMS kód PIN kalkulátor
BAWAG Bank ano
Citibank
Česká spořitelna ano ano
ČSOB ano ano
eBanka ano ano ano
GE Money Bank ano
HVB Bank ano
Komerční banka ano ano
Poštovní spořitelna ano
Raiffeisenbank ano ano
Volksbank ano
WSPK ano**
Živnostenská banka Ano *

* Živnostenská banka nabízí autorizaci pomocí jednorázových hesel TAN. Jednorázové heslo je možné zaslat SMS zprávou (v ceně 1,90 Kč/SMS). ** Certifikát lze uložit na USB token iKey, čímž je zvýšena bezpečnost.

Všechny banky, které využívají autorizaci plateb (tj. všechny kromě Citibank, České spořitelny a GE Money Bank v případě základní autentizace klienta při vstupu na účet uživatelským jménem a heslem), při odesílání platby vyžadují dodatečnou autentizaci klienta v podobě zadání hesla k podpisovému certifikátu (či certifikátu na čipové kartě) nebo BPINu při žádosti o autorizační kód na mobilní telefon. Výjimkou je Poštovní spořitelna, která platbu autorizuje kódem zaslaným nešifrovanou SMS zprávou, k němuž je přístup i bez dodatečné autentizace (obdobně Živnostenská banka při zaslání jednorázového hesla TAN SMS zprávou).

Kolik stojí zabezpečení

Jedním z nákladů, které na svých bedrech nese klient, jsou náklady na pořízení zabezpečovacích technologií (certifikáty, čipová karta, PIN kalkulátor) a na cenové rozdíly mezi jednotlivými variantami autentizace a autorizace v rámci každé bankovní aplikace.

Ceny nadstandardního zabezpečení
Nadstandardní zabezpečení (aktivace/zřízení)
PIN kalkulátor Čipová karta + čtečka
BAWAG Bank  –  –
Citibank  –  –
Česká spořitelna 1 350 Kč 990 Kč
ČSOB  – 600 Kč
eBanka 89 Kč/měsíc  –
GE Money Bank  –  –
HVB Bank  –  –
Komerční banka  – 1 247 Kč
Poštovní spořitelna  –  –
Raiffeisenbank  –  –
Volksbank  –  –
WSPK  – 2000 Kč*
Živnostenská banka  –  –

*Umístění certifikátů v USB tokenu iKey

widgety

Nejvíce limitující je cena nadstandardního zabezpečení u České spořitelny, kde je navíc základní varianta přihlášení k účtu uživatelským jménem a heslem a kde není při zadávání aktivních příkazů účet jištěn dodatečnou autentizací klienta. Bezpečnost aplikace je tedy nedostatečná. Mezi banky s nejlepším zabezpečením vstupu na účet bez doplatků tak patří eBanka (šifrovaná SMS zpráva pomocí SIM Toolkit) a HVB Bank (autentizační kalkulátor). Za kvalitní zabezpečení si musí klienti připlatit u ČSOB a Komerční banky (certifikáty na čipových kartách). Naopak méně chráněný vstup na účet s nemožností zvolit si vyšší úroveň zabezpečení lze shledat u BAWAG Bank, Citibank, Poštovní spořitelny, Raiffeisenbank, Volksbank a WSPK.

U bank, které využívají podpisové certifikáty, je navíc důležitou informací i cena za obnovu certifikátu. V naprosté většině případů vygenerování nových certifikátů není zpoplatněno, výjimku tvoří Česká spořitelna (320 Kč), ČSOB (100 Kč roční obnova certifikátu plus 300 Kč tříletá obnova čipové karty) a eBanka (200 Kč).

NEJ internetového bankovnictví

  • Nejdelší šifrovací klíč
    Volksbank (256 bitů)
  • Největší počet možností autentizace klienta
    eBanka, Česká spořitelna (3 způsoby)
  • Největší počet možností autorizace platby
    eBanka (3 způsoby), Česká spořitelna (2 způsoby + „žádná“)
  • Nejdelší povinné uživatelské jméno
    Citibank (16 znaků – číslo platební karty)
  • Nejrychlejší informace o neoprávněném vstupu na účet
    GE Money Bank, Živnostenská banka (volitelné SMS info při vstupu na účet)
  • Nejdelší doba odhlášení od účtu
    eBanka, Raiffeisenbank (nikdy nedojde k automatickému odhlášení)
  • Nejnižší maximální denní limit transakcí
    GE Money Bank (10 tis. Kč u aplikace s nižší úrovní zabezpečení)
  • Nejvyšší minimální poplatek při zřízení internetového bankovnictví
    HVB Bank (490 Kč – platí se za autentizační kalkulátor)
  • Nejvyšší cena za nadstandardní zabezpečení
    WSPK (2 000 Kč za umístění certifikátů v USB tokenu)
  • Nejdražší roční obnova podpisového certifikátu
    Česká spořitelna (320 Kč)
  • Nejlevnější SMS zprávy při změně stavu účtu
    Česká spořitelna (zdarma)

Desatero bezpečného používání internetového bankovnictví

  1. Neprozrazujte přístupové kódy a hesla k účtu blízkým osobám ani pracovníkům banky.
  2. Nezaznamenávejte si přístupové kódy a hesla k účtu. Pokud jste k tomu nuceni např. složitostí uživatelského jména a délkou hesla, snažte se je zaznamenat způsobem, který nenapoví případnému nálezci kódů, že se jedná o přístup k internetovému bankovnictví. Zároveň uchovávejte přístupové údaje (např. uživatelské jméno a heslo) odděleně.
  3. Pravidelně měňte užívaná hesla.
  4. Vyhýbejte se užití neznámých počítačů např. v internetových kavárnách, zvláště pokud nepoužíváte jednorázová hesla pro vstup na účet. V případě, že neznámý počítač musíte využít, při nejbližší následné příležitosti změňte heslo.
  5. Pravidelně aktualizujte internetový prohlížeč a operační systém.
  6. Využívejte a pravidelně aktualizujte antivirové programy.
  7. Podpisový certifikát neukládejte na pevný disk ani na internet.
  8. Nedůvěřujte e-mailům z banky, které jste si neobjednali. Nikdy své bezpečnostní údaje neposílejte e-mailem.
  9. Ověřte si certifikát stránky, na které se k účtu přihlašujete. Pokud se vám přihlášení k účtu nepodaří, přestože vkládáte dle vašeho názoru správné uživatelské jméno a heslo, neprodleně kontaktujte banku – mohli jste být přesměrováni na jiné stránky.
  10. Při ukončení práce s internetovým bankovnictvím se vždy odhlaste a zavřete okno prohlížeče.

Anketa

Důvěřujete přímému bankovnictví?

29 názorů Vstoupit do diskuse
poslední názor přidán 29. 8. 2006 9:27