Vlákno názorů k článku Bylo internetové bankovnictví KB nebezpečné? od jirka44 - "Pokud klientovi banky někdo odcizí mobilní telefon a...

"Pokud klientovi banky někdo odcizí mobilní telefon a chtěl by vykrást jeho bankovní účet, tak pro takového pachatele již není problém si opatřit i klientův certifikát". To jako myslíte, že si nosím disketu s certifikátem a mobil pohromadě v kapse, nebo jak tomu mám rozumět?

Přesně tahle věta v článku mě utvrdila o tom, že další výplody autora bych na Měšci již nerad nacházel.

Ja bych to formuloval: Jednodussi je cmajznout nekomu mobila, jako mu nainstalovat kb snifer na heslo. Ale jako zde nekdo psal. heslo na certifikat se nerusi, takze ta SMS je jen zvyseni bezpecnosti pro ty, co se obavaji prozrazeni hesla. Nicmene plati, ze kdo dokaze sniferem zjistit heslo, pro toho neni ani kradez mobilu prekazkou k vybileni neciho konta, zejmena kdyz je dosti tucne...

Softwarovy sniffer lze nainstalovat na dalku (viry, ...), aniz bych tusil, kde obet bydli. Mozne to samozrejme je, ale da to mnohem vice prace.

Variant může být víc, ale vždyť k tomu banka nepřímo nabádá tím, že říká, aby klienti nenechávali svůj certifikát v počítači a měli jej na disketě, CD nebo USB tokenu.
Kde bude mít podnikatel ten token?

Můžu hádat? Určitě připojení k levému spodnímu rohu mobilního telefonu, zatímco k pravému spodnímu rohu má přidělaného plyšáka.
Aneb bez ironie - jak krádež mobilu implikuje ukradení CD/diskety/tokenu, tomu opravdu nerozumím. Navíc když již dávno existují cenově dostupné tokeny, kde jsou data chráněna otiskem prstu.

Zatím všude kde jsem se s tím zmetkem od KB potkal byl na disketě ležící na počítači.

I když mé skromné zkušenosti nejsou statisticky významný vzorek, osobně si z nich závěr dělám. Znám 3 firmy, které inet banking od KB mají, ani jedna z nich nemá disketu s klíčem na počítači.
Taktéž řadě mých známých ukradli mobil, ať již vcelku běžným způsobem (vykradené auto, batoh ve vlaku, MHD apod.), či inovativnějším (vytržen z ruky, útěkem se zapůjčeným telefonem pro "tísňový hovor" apod. Nikomu však nešel zloděj krást telefon do kanceláře.

To je asi fakt, ale stejně, pokud někdo někomu ukradne mobilní telefon, tak:

1. Pravděpodobně neví, čí telefon je. Pokud ví, čí je, tak pravděpodobně neví, zda a kde má elektronické bankovnictví, jaké má číslo účtu apod.

2. Mobilní telefon lze zajistit pinem, většina lidí jeho ztrátu zjistí poměrně záhy.

3. HTTP autentizace (v kombinaci se standardní ochranou proti přístupu na uživatelský účet na lokálním PC) nebo spíš její ekvivalent mi přijde ve většině případů docela adekvátní. Přehnané starosti o bezpečnost mi navíc u banky, která dlouhá léta podporuje pouze ten nejděravější browser na trhu na nejnapadanějším OS mi přijde nanejvýš trapná.

i kdyby mel ten token(mimochodem, odkdy je disketa, USB nebo CD tokenem ;) ) prilepenej na telefonu, tak to ze mu nekdo ukradne telefon pozna o rad drive nez to, ze mu nekdo pres nejakej trojan vycucal klic i s heslem a vybilil ucet...

takze kdy ma vetsi sanci zablokovat internetove bankovnictvi jeste pred prevodem?

Plně souhlasím s tím, že ztrátu mobilního telefonu zaregistruje většina lidí pravděpodobně velice brzo. (Jen si pak budou muset ještě od někoho půjčit nějaký jiný, aby mohli ten svůj bankovní účet zablokovat. :)

Co se tokenu týče, tak vězte, že není token jako token!
"USB token je osobní elektronické zařízení, které slouží jako bezpečné úložiště privátních klíčů a certifikátů." (Citace z http://www.cesnet.cz/doc/techzpravy/2005/usbtokeny/)

(Jinak USB samo o sobě - tedy alespoň pokud je mi známo - je označení - přesněji řečeno zkratka: Universal Serial Bus - pro jednu z datových sběrnic, kterou mohou různá zařizení využívat pro jejich vzájemnou komunikaci a na kterou si tudíž asi jen velice těžko něco na delší dobu uložíte :)

presne tak, jenze banka nenabada k pouzivani usb tokenu (tj. kryptografickeho zarizeni viz me prispevky nize), ktery by musela navic podporovat primo aplikace, ale usb flash pameti coz je stejne jako disketa nebo CD jen uloziste dat ale pak tomu nemuzeme rikat (tak jako autor clanku) token ;)