Vlákno názorů k článku Bylo internetové bankovnictví KB nebezpečné? od vx - Autor článku se v bezpečnostní problematice zjevně naprosto...

Autor článku se v bezpečnostní problematice zjevně naprosto neorientuje, jinak by takovou blbost, jako že certifikát je zbytečný, když máme SMS kódy, nemohl nikdy vypustit z úst. Doporučuji zjistit si něco málo o "two-factor authentication". Právě použití *dvou různých kanálů* zvyšuje zabezpečení: když mi nějaký trojan nainstaluje na počítač keylogger, tak zjistí heslo k certifikátu a může ho odcizit, ale nedostane se k mobilu a odposlechnout jednorázový kód zadaný do prohlížeče je nanic, protože přístě bude jiný. Naopak když mi někdo ukradne telefon, tak je mu taky k ničemu, protože nemá certifikát.

Mimochodem, podle informací, které mi KB poslala, zůstává certifikát zaheslovaný jako dříve, SMS kódu jsou *navíc* k němu a pouze pro *aktivní* operace. Tvrdit, že SMS kód se bude používat jako heslo k certifikátu (jak dělá autor článku) je rovněž blbost: heslo se používá k *odšifrování* certifikátu, bez hesla ho nelze přečíst (není to tak, že by prohlížeč mohl přečíst certifikát, ale nedovolil ho použít pokud heslo nesedí, to by nebylo bezpečné) a není dost dobře možné zašifrovat certifikát tak, aby šel odšifrovat všemi možnými kódy, které mi v budoucnu banka kdy pošle (kódy jsou navíc samozřejmě náhodné, aby byly bezpečné).

Takže přístě doporučuji psát o něčem, čemu aspoň minimálně rozumíte :(

Vážený VX,

1, pokud chcete někoho kritizovat a pomlouvat, tak byste měl v sobě najít tolik odvahy, abyste se podepsal a neskrýval se jako zbabělec za předívkou.

2, pokud jde o Vámi zmíňovanou dvou faktorovou autentizaci uživatelů, tak tu vlastně od počátku používá ve svém internet bankingu eBanka, HVB a například i Česká spořitelna. V žádném případě se, ale nejedná o kombinace elektronický podpis (digitální certifikát) a jednorázové heslo.

3, je zarážející, že jste vážený VX vůbec nevěnoval pozornost tomu, že Komerční banka chce zdokonalovat, tak vychvalovaný elektronický podpis a spíše jste se zaměřil na detaily, které nebylo možné v noci z 14 na 15 srpna 2006 detailně ověřit, protože KB ještě novou aplikaci nespustila (heslo).

4, Je škoda, že jste se VX při své kritice nezaměřil i na zaručený elektronický podpis, který se používá způsobem velmi podobným pomu jak se používal digitální certifikat v Mojibance do 14. srpna. Používá se tedy způsobem, který je třeba podle názoru KB zdokonalit.

5, vaše podrážděná reakce VX mne utverzuje v to, že do dlouhodobých strategií v budování informačních systémů se stále snaží mluvit kdejaký specialista na technologie. Možná je to lidma, možná nevyzrálostí oboru IT, ale ve stavebnictví nebo strojařině nikoho nenapadne, aby se při vývoji nového motoru naslouchal tomu co říká soustružník nebo frézař. V oblasti IS je často znát, že zadání pro vytvoření (zdokonalení) nových aplikací dělají velmi kvalifikovaní odborníci na jednotlivé technologie, na PKI, na databázi od konkrétního výrobce, atd. atd. Tito jednostraně orientovaní odborníci se snaží vytvořit dobré řešení, jenže z důvodu své jednostrané specializace toho prostě nejsou schopni, nemají zkušenosti z jiných oborů nebo dokonce odmítají zkušenosti z jiných oblastí lidského života přijímat. V non-IT světě se takovému chování říká "páchat dobro".

AD 5:
Jestli ono to nebude tím, že při návrhu motoru z technika nakonec vypadne i přesný postup pro frézaře s soutružníka, podle kterého se ten motor pak opravdu dá vyrobti, zatímco v IT z architektů vypadnou mlhavé představy, které jsou z 50% špatně a z 50% nerealizovatelné s dostupnou technologií. Tak například nás jeden IT architekt nutil napsat do procesu po Unixem handler na přerušení 9 - pro neznalé, toto z principu fungováním Unixu není možné (teda, možné to je, ale nikdy to nebude fungovat).

Zastrelit.

3. to co jste napsal je prostě z technického pohledu jasná kravina a to neokecáte

5. je prima že takový systém navrhne někdo, kdo má přehled o kdečem ale pokud nerozumí tomu, co navrhuje, tak je jeho návrh v praxi totálně nepoužitelný. Ano, ještě nedávno jsem si myslel, že lidé z velké firmy udělají za velké peníze pořádnou analýzu a pořádnou práci. pak jsem zažil jednu implementaci Navision a už si to nemyslím.

Jsem sám, komu zrovna reakce pana Nápravníka (na rozdíl od VX) připadá podrážděná?

nejsi ;)

plnej souhlas. dvoufaktorová (dvoukanálová) autentizace je naprosto o něčem jiném než jednofaktorová (jednokanálová). o řády.
"Pokud klientovi banky někdo odcizí mobilní telefon a chtěl by vykrást jeho bankovní účet, tak pro takového pachatele již není problém si opatřit i klientův certifikát."
Naprostej blábol! To bylo myšleno vážně?! Kristovanoho.

> "Pokud klientovi banky někdo odcizí mobilní telefon a chtěl by vykrást
> jeho bankovní účet, tak pro takového pachatele již není problém si
> opatřit i klientův certifikát."
> Naprostej blábol! To bylo myšleno vážně?! Kristovanoho.

Souhlas, uz vidim jak to petilete dite jedne mensinove narodnosti, ktere mi sikovne odcizilo mobil, lame muj sifrovanej disk aby ziskalo certifikat, ke kteremu musi jeste ziskat heslo. :-D