Vlákno názorů k článku mBank v číslech: „Konkurence pořád žije v době dinosaurů“ od Patrik Chrz - Souhlasím s ostatními diskutujícími, že IB má být...
-
Pavel (neregistrovaný)
Já jsem dokonce před dvěma lety kvůli tomu IB od mBank odešel. nejsem puberťák a honit barevné dlaždice na tabletu mě neláká. Bohužel jsem zase u mBank kvůli hypotéce. Ale je to spíše o lidech. Kromě nízkých sazeb u hypoték mi vyhovoval i velmi vstřícný a velmi efektivní přístup jejich hypotéčního specialisty.
Jinak mám (nebo měl jsem) konta u všech bank. FIO se taky pohoršila, jsem v tomto směru dost konzerva.
Ale ono si jeden nevybere, bylo by možná zajímavé udělat článek ohledně zabezpečení IB. To by taky bylo počteníčko. -
S tím srovnáním bezpečnosti je to dost ošemetné. Jak to udělat - ryze formálně (přihlášení do IB je zabezpečené přes SMS - bod plus, vyžadovaná složitost hesla - bod plus,...), nebo nějakým "hackerským testem" (například pokus o krádež session), což už naráží na hranu zákona?
Je ohrožením bezpečnosti už získání pasivního náhledu, nebo až možnost transakce, atd.
Já za největší ohrožení bezpečnosti považuji autorizaci přes SMS zasílané na zařízení, na kterém zároveň probíhá zadávání transakce (tedy smartphony). Pak stačí nějaký infikovaný program, který odchytí autořizační SMS a není problém vykrást celý účet. V tomto případě mi i obyčejný RSA token (používá třeba Sberbank) přijde mnohem bezpečnější. Nejlepší je, samozřejmě autořizační kalkulačka - plně HW i SW nezávislá na kanálu, kterým se zadávají pokyny. (používá třeba VR Bank Zittau).
Pak jsou různé kompromisy, jako SW token (používá třeba Unicredit), ale zde už je (alespoň teoretická) možnost kompromitace zařízení, na kterém program běží (a kde se zároveň zadávají příkazy). -
L. (neregistrovaný)
> Já za největší ohrožení bezpečnosti považuji autorizaci přes SMS zasílané na zařízení, na kterém zároveň probíhá zadávání transakce (tedy smartphony).
Ono hodně záleží na tom, přes co se ta transakce zadává. Pokud přes internetový prohlížeč v tom zařízení, tak ano. Pokud se zadává přes mobilní aplikaci banky, je situace o něco lepší.
> ... SW token, ale zde už je (alespoň teoretická) možnost kompromitace zařízení, na kterém program běží
Totéž ale můžete říct o SMS na "hloupý" telefon. Ta jde v otevřeném tvaru přes SMS centrum / centra a při bezdrátovém přenesu do telefonu je chráněna nepříliš silnou GSM šifrou. Takže možnost odchytit ji po cestě existuje (alespoň teoretická :) ). Naopak komunikace se SW tokenem probíhá po kanále zajištěném silným šifrováním, takže jediná šance jak se k němu dostat je nějaká chyba v mobilním OS nebo v samotné aplikaci.
-
Odchytit SMS heslo z GSM sítě a zároveň zjistit heslo do IB z PC / mobilu mi přijde mnohem méně pravděpodobné, než ovládnout smartphone (a vše potřebné si zjistit z něj). Jasně, ideální by byl SIM Toolkit a šifrované SMS.
A chyba v mobilním OS je třeba u Androidu v podstatě standard a nějaké chyby se našly i u iOS (i když ne tolik).
Zkrátka je tolik možností, že nějak spravedlivě rozhodnout, že toto IB je méně bezpečné než tamto, je velmi komplikované (a nejvíce by záleželo na osobě hodnotitele).
Každopádně by zcela vyčnívaly všechny systémy používající nějaké HW i SW nezávislé zařízení (RSA token, autořizační kalkulačky). Vše ostatní by bylo za nimi.
Pak jsou tu další věci, které banky ani nezveřejňují - a to je například sledování klientova chování a jejich reakce na to (jak rychle například dokáží odhalit použití nesprávnou osobou a jak rychle na to dokáží reagovat)
-
L. (neregistrovaný)
> Odchytit SMS heslo z GSM sítě a zároveň zjistit heslo do IB z PC / mobilu
Ono to nemusí být současné - člověk si nemění heslo tak často. Ale ano, chce to buď proniknout do SMS centra, nebo vyloženě cílený útok. Spíš jsem chtěl ukázat, že tolik adorované SMS mají také svou achilovu patu.
> Každopádně by zcela vyčnívaly všechny systémy používající nějaké HW i SW nezávislé zařízení (RSA token, autořizační kalkulačky).
RSA token zas tak moc bezpečný není. Sice je to perfektní způsob prokázání vlastnictví, ale neposkytuje nezávislou kontrolu toho, co podepisujete - pokud malware v počítači pozmění vstup i výstup, tak s ním klidně v dobré víře podepíšete odeslání všech peněz do Tramtárie.
Nezávislá autentizační kalkulačka je jednoznačně nejlepší. A také uživateli nejnenáviděnější a také poměrně drahá.
Takže je otázka, jestli je lepší skoro neprůstřelná metoda (nezávislá kalkulačka), kterou nikdo krom vyložených paranoiků nechce používat, nebo o něco horší metoda (třeba SW token), kterou ale uživatelé používají spíše.
> Pak jsou tu další věci, které banky ani nezveřejňují - a to je například sledování klientova chování a jejich reakce na to...
Jsem rád, že to tu zaznělo. To je také velmi důležitá součást zabezpečení, přitom ale není viditelná a banky o ní z logických důvodů žádné konkrétní informace dávat nebudou.
ČLÁNKY DO MAILU