"Kdo má strach, že mu může být certifikát zkopírován nepovolanou osobou..."
Já ne. Já mám jen strach, že mi zkopírují soukromý klíč.
Nedivte se potom, že obyčejní lidé se často chovají velmi hloupě a zabezpečení nerozumí, když si autoři populárních článků téměř systematicky pletou certifikát (autoritou podepsaný veřejný klíč + pár dat) se soukromým klíčem.
Mají v tom hokej to jo, ale já strach ze skopírování soukromého kíče nemám, protože mám certifikát nahraný na čipový kartě a tento certifikát je označen jako nezkopírovatelný - nelze jeho soukromou část vyexportovat :)))
Tak byste měl mít aspoň strach, že aplikace, kterou podepisujete je nabořená a když zobrazuje, že čipovou kartou podepisujete 500 Kč za elektřinu, tak ve skutečnosti podepisujete 100 000 Kč na účet bílého koně třeba někam na Kajmanské ostrovy.
Stále o sobě tvrdím, že se musím ještě hodně vzdělávat. A možná to platí i v oblasti PKI, ale fakt nevím, jakou soukromou část může certifikát obsahovat? Ten soukromý klíč fakt v certifikátu není... Ani být nemůže, protože jej vystavuje certifikační autorita a ta (ani nikdo jiný) jej prostě mít nemůže. Jinak podpis ztrácí svou důvěryhodnost.
V clanku je zasadni nepresnost a sice, ze se bankovni operace certifikuji via SMS - zvlastni! Nic takoveho neprovozuji a presto se domnivam, ze pouzivam nejbezpecnejsi retailove e-Bankovnictvi, ktere lze na uzemi CR nasmlouvat... cim to?
Zřejmě se autor zapomněl informovat na to, co popisuje v článku. Zapomněl na podepisování plateb (ale i "pasivních" operací) soukromým klíčem (tedy v nepřesné terminologii "certifikátem") a tokenem (PIN kalkulátorem).
"Internetoví podvodníci jsou schopni klienta přesměrovat z oficiálních stránek banky na vlastní podvržené stránky, které jsou od oficiálních k nerozeznání, v lepším případě může být rozdíl třeba jen v jednom písmenku v řádku adresy stránky."
Muze mi autor rict, jak me podvodnik muze presmerovat z oficialnich stranek banky? Kdyz si odmyslim moznost, ze podvodnik ovlada stranky dane banky (potom ale nema potrebu neco presmerovavat), potom me zadny zpusob nenapada.
Pěkný den, máte pravdu, uznávám, že formulace "z oficiálních stránek" je nešťastná a omlovám se za ni. Vhodnější by bylo napsat že odkaz na podvržené stránky může být např. součástí podvodného emailu.
Jsou i jiné možnosti. Tak třeba pokud se útočníkovi podaří nějakým způsobem (třeba trojanem v mailu) přepsat hosts soubor, tak poté napíšete do prohlížeče adresu své bankovní aplikace a najednou jste na úplně jiném serveru. Jak často si kontrolujete obsah hosts souboru?
Si padol z visne. Kolkokrat kontrolujes naozaj pismeno po pismenu nazov domeny? www.tatrabamka.sk a naviac existuju v UTF8 znaky ktore su inde ale vyzeraju rovnako. Vela browserov momentalne UTF8 nepodporuje ale ide to. A potom uz staci iba ziskat oficialny certifikat castokrat ani to nie lebo vela ludi rado klikne na Akceptovat aj ked nevie o co ide. Lebo je to podpisane a to staci, nezalezi na tom kto to podpisal. Tych trikov je tisic.
Tak v tom pripade nic. Zmen banku. To ako keby si sa pytal. Moja banka rozdava peniaze, co mam robit? Pockaj kym ta niekto udrie kyjakom po hlave, mozno ti dopne.
Pod pojmem internetove bankovnictvi si predstavuji takove, ktere lze celkove pouzivat VYHRADNE pomoci pocitace pripojeneho k Internetu.
V posledni dobe se bohuzel mnozi pripady, kdy arogance bank opet nuti klientum to co nechteji. Napriklad Ceska Sporitelna (a tusim ze i KB) zavedla povinne autorizace prikazu pomoci SMS (drive to bylo pouze volitelne). K tomu jiz vsak potrebuji mobil, cimz to prestava byt internetove bankovnictvi, ale nepouzitelny paskvil !
Timto populistickych krokem se udajne snazi "chranit" naprosto nezodpovedne klienty (ale hlavne sebe), ale co je mi po nich kdyz si nejsou schopni/ochotni zabezpecit pocitac a chovat se alespon trochu rozume.
Bohuzel proti takovemu chovani bank neni zadna obrana. Jiste, mohu prejit k jine bance, ale nemam tam zadnou zaruku ze casem podobnou pitomost nezavede take. Nedokazi si predstavit, ze by si v zahranici neco podobneho dovolili :-/
Já jsem také byla u ČS. Nespokojenost jednou překypěla a já přešla k ŽB. Nebudu na ŽB pět chválu a dělat ji reklamu. Ale internetové bankovnictví ŽB vyžaduje (zatím) mít v počítači certifikát SSL (který se dá z PC kdykoliv odstranit a opět tam zavést - jak do IE tak M. firefox) a pak ještě transakci "podepsat" podpisovým certifikátem nebo klíčem, který je umístěn na disketě či jiném vyměnitelném médiu. Šlape to bez problémů, jen se certifikáty tuším po roce musí (elektronicky, bez nutnosti návštěvy banky zneužitelné k vnucování dalších nových zázračných superproduktů) obměňovat. Omlouvám se možná ze nepřesnou terminologii, jsem pouze uživatelka, zatím i spokojená.
Tak si nech dát certifikát na čipovku a bude mít tvá dušička pokoj.
Víš, ono to není jen tak zvolit tu správnou úroveň bezpečnosti za přijatelné náklady. Samozřejmě, že by mohly všechny banky zvolit nejbezpečnější způsoby, ale tím by určitě nejmíň 75% uživatelů od té služby odradily nebo rou odřízly, protože by to bylo pro obě strany finančně nebo technicky nepřijatelné.
A nechat několik na klientovi, jak si chce svou aplikaci zabezpečit, to znamená, že možná jeden z deseti si zvolí něco bezpečnějšího než je jméno a heslo. Ovšem v případě vyčórování účtu by se chtěli samozřejmě hojit jen na bance.
Jak by se tobě líbilo, že by ti banka řekla: Dobře, zvolil jsi pro zabezpečení jen jméno a heslo, takže tady podepiš závazek, že v případě odcizení peněz z tvého účtu přes internetové bankovnictví nebudeš po bance můžeš požadovat náhradu maximálně do výše 5.000,-. Co ty na to?
Dat na cipovku u CS znamena zaplatit si ctecku (ok), potom obnovu certifikatu za coz chteji neuveritelnych 320 Kc rocne, a hlavne (to je pro mne zcela neprijatelne) instalovat nejakou jejich pochybnou aplikaci s jeste pochybnejsimi drivery. Pokud by mohl byt certifikat jako soubor na disku a obnova by nestala nic, tak by mi to nevadilo. Takhle to ma zatim RB, ovsem otazka jak dlouho ... Nahradu bych po bance nepozadoval zadnou, ovsem musela by zarucit ze neumozni vyber do minusu (pripadne si za neho bude rucit sama).
KB má obnovu jednou za dva roky zadara. No a když nechceš kupovat zvlášť čtečku, tak si kup PC nebo noťase s integrovanou :o)
Ovšem, že si musíč čtečku jako novej hardware nainstalovat po připojení, to mi tak nějak připadá normální.
Koukám, podle nepoužívání čestiny, že jsi asi hodně vázaný na PC, tak proč proboha řešíš takovou kravinu? Nevyhovuje? Nabídka na trhu je dostatečná, abys mohl zvolit jinou variantu. Jestli nevěříš své stávající bance (a nemusí to být zrovna ČS) ve věci zajištění legálního a bezpečného software, tak jí nemůžeš věřit přece v ničem a v tom případě němá cenu, aby ses pozastavoval nad tím, jaké požadavky má na používání svých produktů.
Kábéčko zase podporuje jen IE, což je taky děsná zpozdilost, ale pokud chceš te´d s jejich IB dělat, tak to buď budeš akceptovat, nebo od nich odejdeš.
Když chceš jít do bazénu a tam mají v podmínkách, že musíš mít na hlavě koupací čepici, tak tam taky buď nepůjdeš nebo ji použiješ.
Asi nemluvim jasne :-) Me naprosto VYHOVOVALO zabezpeceni jake bylo u Ceske Sporitelny az do 30.9.2006. Nechci nic jineho nez jen aby bylo mozne se vratit k tomuto puvodnimu stavu.
Nabidka trhu prave dostatecna neni, respektive tendence k tomu chranit "i nejvetsiho ignoranta" vedou k tomu, ze pro normalniho (= zodpovedneho) cloveka je takovy produkt pak nepouzitelny. Uz vidim, jak nekde na PC kde neni (zcela spravne) pristup k uctu s administratorskymi pravy instaluji nejakou ctecku karet. Proc proboha nemuzou banky nechat na klientovi at si zvoli to co mu vyhovuje ?
Ach jo. Tak ještě jednou - Banka musí volit mezi náklady na zabezpečení, stupněm zabezpečení a potenciálními náklady na likvidaci případných škod. Dále mezi maximálními požadavky a minimálními požadavky uživatelů atd. atd. Takže jestliže 98 uživatelů ze sta není schopno si samo zabezpečit počítač před napadením a pouze spoléhá na to, že je banka zabezpečí sama, 1 požaduje díky své utkvělé představě, že o jeho deset tisíc na účtě má eminentní zájem mezinárodní gang počítačových pirátů, nejvyšší možný stupeň zabezpečení a 1 naopak díky tomu, že věří víc svým schopnostem než schopnostem bankovních programátorů zase klidně bude fungovat s pouhou identifikací při přihlašování a potvrzování plateb namísto nějakého přijatého zabezpečení, tak hádej, kteří uživatelé banku budou zajímat nejvíc? A taky hádej, kdo se po nich bude nejvíc vozit, když mu někdo vyčoruje účet, protože spoléhal na zabezpečení ze strany banky? No a ještě nakonec Hádej, jestli se bance vyplatí udržovat nějakou strukturu zabezpečení kvůli 0,001% klientů?
Presne tak to bylo pred jiz zminenym datem. Kdokoli si mohl zvolit autorizaci pomoci SMS, ktera stejne zadne velke zabezpeceni neznamena. Jeste bych chapal kdyby to nastavili vsem, s tim ze kdo chce, muze si to na pobocce nechat vratit zpet. Takhle z toho mam pocit, ze jde jen o kseft s mobilnimi operatory. Banku odesilani nesfirovanych smsek nestoji temer nic - stejne si to vybere na poplatcich (jako to nestoji nic operatora, i kdyz navenek si za to uctuje silene penize). Vsichni vydelaji, krome zakaznika ...
Můžete mi prosím vysvětlit rozdíl mezi tabulkami v článku? Proč údaje v první neodpovídají druhé a naopak. A navíc neodpovídají skutečnosti, odkud čerpáte informace?
Jeste jedna docela podstatna nepresnost, aspon v tabulkach (clanek jsem necetl). Je rozdil mezi tim co posila treba Ceska sporitelna - normalni SMS a tim co posila treba eBanka. eBanka mi teda rozhodne neposila zadny SMS, ale bankovni zpravy. Tzn. obsah je alespon nejak sifrovany a pro autentizaci je treba znat bankovni PIN navazany na SIM kartu.
Krome toho, u sporky uz novy kalkulatory nevydavaji. Nastesti mam jeste stary. Jenze u toho dosly baterky, takze si ho vzali a ted cekam, jestli mi neco vrati.
Dobry den,
ve skutecnosti vydava PIN kalkulator mene bank nez je uvedeno v tabulce:
1) Jak jiz bylo receno v jine reakci, CS prestala kalkulatory vydavat pred vice nez rokem.
2) Pokud vim, tak pristroj, ktery vydava HVB, generuje casove omezene heslo nezavisle na parametrech transakce. To je mnohem slabsi zabezpeceni, protoze naprosto nezabranuje utoku man-in-the-middle. (Pouze musi byt utok provaden v realnem case, coz neni zadna velka prekazka.)
Vzhledem k tomu, ze PIN kalkulator zohlednujici parametry transakce povazuji za nejbezpecnejsi variantu, je skoda, ze jej nabizeji jen dve ceske banky.
(V praxi lze riziko snizovat i jinak, napr. omezit mnozstvi penez na uctech, ktere jsou internetovym bakovnictvim ovladany. Uspory lze mit treba u teze banky, ale na jmeno manzelky.)