Názory k článku Jak bezpečně zabezpečit internetové bankovnictví

článek byl teoretizování... užitná hodnota nulová :-(

Pomocnou ruku hledej vždy na vlastním rameni. Proto jsem se rozhodl používat účet ING konto, kde lze platby zaslat pouze na tři předem definované účty. Zde mám většinu svých peněz a běžný účet občas doplním. Výhodou je, že provoz ING konta je absolutně zdarma a navíc je slušně úročen. Také případná ztráta nebo zneužití platební kary ohrožuje jen omezenou částku na mém běžném účtu. Netvrdím, že toto řešení je absolutně bezpečné. Je to "moje" řešení, protože od bank v tomto směru nic nečekám.

jj, řekl bych, že kombinace ING konta + BÚ u FIO záložny, případně kreditky u České spořitelny, je optimální jak z hlediska bezpečnosti, tak z hlediska nákladů. BTW fascinuje mne, že mně Raiffeisenbanka při zůstatku na účtě 20.000,- Kč připíše za měsíc neuvěřitelných 20 haléřů a naopak když tuto částku čerpám jako kontokorent, zaplatím jim více jak 260,- Kč...

Asi jsem blbej, ale co tímto článkem chtěl autor říci jsem opravdu nepodchytil :)

Autor tím článkem chtěl říci, že pouze s pomocí technologických zdokonalení k dobrému řešení nedojdeme. Kdo si myslí, že technologie vše zachrání ať si přečte článek na serveru LUPA.cz o tom jak obelstít čipovou kartu - http://www.lupa.cz/clanky/jsou-cipove-karty-bezpecne/ .
Rozhodně netvrdím, že jsou běžní uživatelé dokonalí. Sám moc dobře vím, že dokážou udělat z pohledu odborníka nebo o pár týdnu zkušenějšího ( a namyšlenějšího kolegy) hodně hloupostí.
Jenže podle mého názoru by ten kdo má více zkušeností (kolega, banka nebo jiný provozovatel aplikace) měl méně znalým ( chcete li naivnějším) uživatelům Internetu pomoci. To nikoliv z nějakých charitativních pohnůtek , ale proto že se tím rozšiřuje okruh zákazníků e-shopů, internetbankingu. apod. a prohlubuje se důvěra v moderní komunikační kanály.
Zatím to velmi často vypadá přesně opačně -
http://www.iprima.cz/tvarchiframe/video/?video=6792

V konečném důsledku jde (kromě čistě technických vulnerabilities) o klasickou situaci social engineeringu "Jsem někdo, komu věříte, změňte si heslo na 'semtele' / spusťte tohle." S tímto typem útoků se v globálu nedá nic dělat - osvěta pomáhá v jednotlivých případech, ale BFU jsou v nadkritické většině: "ale ono to mělo jako odesílatele 'Banka xyzzy', tak to přece muselo přijít z banky!" Myslet bolí, proč by se tím někdo zatěžoval?

Jasně, že myšlení bolí. Jenže ona jedna věc je pohodlnost toho kdo se ani nenamáhá myslet a druhá věc je nezkušenost a neznalost.
Podle mého názoru a zkušeností patří dnes naprostá většina uživatelů Internetu do skupiny nezkušených. Bohužel mnoho informatiků žije s pocitem "Když to umím já, měl by to umět či poznat i běžný uživatel."

Přesně. Uživatelé jsou hloupí/nezkušení a odborníky překvapují tím, jak moc.

Nicméně banka nemá být právně zodpovědná za to, že se někdo korektně prokáže jako klient, a ... není to klient. Banka se může nanejvýš třeba stydět, že klientovi nedala osvětový léták. Nemůže zodpovídat za to, co se dějě v počítači klienta. Klient tam má spousty divných programů, neobvyklý operační systém a navíc třeba používá (nebo technicky může používat) administrátorský učet (počítače, ne účtu). Aby banka mohla zodpovídat i za podvody pocházející z počítače klienta, musela by na něm mít rootkit nebo digital rights/restrictions management.

Uživatel může litovat svou hloupost, nebo žádat dodavatele operačního systému, prohlížeče, šifrovacího nástroje, atd aby program upravil tak, aby budoucí verze programu vedly/napovídaly uživateli lépe.

(Uživatel je téměř nesvéprávný, přitom by programy mohly bezpečné akce provádět samy. Například nevím, proč se prohlížeče ptají na to, zda mají zobrazit "zabezpečenou" stránku; díky tomu můj táta teď na každý dotaz prohlížeče kliká "Ano". Mailový klient by mohl podepisovat každý email (a poznačit, že jeho podpis je taknějak slabší, než obvyklý - interaktivní). A každý program by měl odmítnout veřejný klíč, pokud byl v donedávna jiný (můj ssh klient to tak dělá).)