Vlákno názorů k článku Bezpečnostní chyba v internetovém bankovnictví České spořitelny od František Brakon - Koho bezpečnost zajímá, ten si k účtu dávno...

Koho bezpečnost zajímá, ten si k účtu dávno pořídil autorizační "kalkulačku" a je v slušném bezpečí. Koho bezpečnost nezajímá, ten spoléhá na jméno/heslo anebo autorizační sms. Takhle jednoduché to je.

Nesouhlasím. Používám autorizaci SMS (pravda, šifrovanými) u jiné banky a není s ní nejmenší problém s bezpečností. Když si nemůže kdokoli změnit číslo mobilu zasílaných zpráv, tak je to bezpečný až dost.

Jenže mně se zobrazuje při překročení limitu volba autorizovat buď SMSkou nebo kalkulátorem. A pokud někdo získá můj login/password, zjistí si to contract id (u mně je to samozřejmě vidět také) a přesměruje si to na svůj mobil, tak může zadat nadlimitní transkaci a nechat to autorizovat přes SMS místo kalkulačky.

Navíc číslo toho kontraktu není příliš obtížné získat ani jinak. Já ho neznal (o možnosti uvedené v článku jsem ještě nevěděl :-) a tak jsem zašel na pobočku, kde mi ho ochotně vytiskli. Stačila jim k tomu kartička s číslem účtu - neověřovali jestli jsem majitel účtu nebo někdo jiný.

ČS má o bezpečnosti kanálů přímého bankovnictví už od začátku vůbec poměrně svérázné představy. Možná si někdo vzpomene, že když zaváděla GSM bankovnictví, tak se používaly nešifrované SMSky. No, zatím se snažím být opatrný a doufám, že se přístup ČS k bezpečnosti někdy zlepší

"... se používaly nešifrované SMSky..." Do dnes jsem žil v omylu, že sms jsou "nějak" šifrované všechny. Může mi někdo trošku osvětlit jak to je s tím šifrováním?

"Nějak" šifrovaný je pouze radiový provoz, to jest to, co jde od BTS vzduchem do mobilu. V drátech, kterými jsou spojené jdenotlivé části sitě, žádné šifrování není. Takže třeba operátor SMSkového centra, když chce, si může číst všechny SMSky, které tím centrem tečou.

Ještě jinak. SMSky běží po signálním kanálu a jsou nešifrované. Proto třeba SIM-toolkit aplikace posílají SMS kryptované triple DESem, ale ty zase nejdou normálně přečíst, pouze v té ST aplikaci.

Pavel Sýkora měl na mysli to, že spořitelna kdysi dávno nabízela něco jako GSM banking, tuším se to jmenovalo Sporotel? Byla to klasická sms, napsaná v předem definovatém tvaru aby ji systém dokázal rozpoznat, do zprávy se uvedl login a heslo a odeslala se na nějaké číslo. Takže kdyby se vám někdo mrkl do telefonu na poslední odeslané sms (např.), měl kontrolu nad vaším účtem. Časem přidali autentizaci kalkulátorem, pak službu zrušili a nabídli nynější GSM banking, který šifruje sms ještě před odesláním.

Reakce ČS byla tehdy žalostná, prohlásila že cizí člověk z té zprávy nic nepřečte, protože nezná veškeré zkratky které se v tehdejším sms bankingu používaly. Částečně měli pravdu, ale že byl návod ke službě volně dostupný na internetu a na pobočkách se všemi zkratkami, to je už nezajímalo -))