Vlákno názorů k článku Mobilní bankovnictví a virtuální karty. Proč banky tolik chtějí, abyste je používali? od Tomáš - Tyto aplikace používám, šetři mi to čas, finance...

banky, které cílí na podnikatele, budou mít dále i "velké" bankovnictví, protože pro podnikatelské použití je SB naprosto nevhodné. Druhá věc je autorizace, SMSky stojí peníze, podepisovací aplikace na stejném počítači popírají dvoufázové ověření, takže alespoň varianta mobilního klíče pro podepsání aplikace bude hodně tlačena. Částečně se tomu bude dát vyhnout, pokud IB umožňuje podepsané šablony, ale stále budou případy, kdy bude potřeba podepsat příkazy mimo tyto šablony, nebo zadat šablony nové.
Mně se velmi líbil RSA token, jako měla Sberbank.

Tak ten token se mně taky líbil. Po chvíli tam bylo jiné číslo. Myslím, že tohle by hackerům pěkně zamotalo kebule. Nevím, proč to v bankách nezačli taky používat. Místo toho chtějí po lidech nainstalovat do chytrého mobilu jejich smart banky.

Ano, když si kupuju domů třeba nový obraz, tak je důležité, aby se mi líbil. Ale u tokenu snad je důležité, aby dobře fungoval a nějaké "líbení" se je naprosto nepodstatné, ne?

Uznávám, že ten RSA token vypadá cool, ale s praktickými vlastnostmi je to horší:

1) Jeden ten token stojí řádově stokoruny (pokud se dobře pamatuji, příbuzná co v SB pracovala říkala před lety něco jako 500,- za jeden?). A zákazníci ho samozřejmě nejsou ochotni extra zaplatit.

2) Token musíte fyzicky předat, tedy nějak poslat, nebo musí uživatel na pobočku.

3) Token má životnost několik let, pak ho musíte zaplatit a předat znovu.

4) Tyhle tokeny jsou dobré na ochranu přihlášení, ale na podpisování příkazů se nehodí. Ověření RSA tokenem totiž neověřuje parametry příkazu, jen že chcete "něco" udělat. Tedy hackerovi stačí napadnout počítač a až budete zadávat nějaký příkaz, tak místo odeslání 150 korun babičce ho změní na odeslání celého zůstatku účtu do Abu Dhabi a banka nepozná, že jste to nechtěl, protože kód z tokenu sedí.

Je fakt, že je to již několik let zpět, kdy jsem u SB měla peníze. Přeposílala jsem peníze na jiné účty, zadávala příkazy k úhradě a vše bylo bez problému. Jenže dnes ti hackeři jsou mohem dál než naši IT odborníci a nabourají se do všeho. Nevěřím, že peníze přes nějaké bankovní aplikace v mobilu jsou a budou u bank v bezpečí. Jen nevím, co s tím.

Bankovní aplikace jsou bezpečné, ale slabým článkem v zabezpečení jsou uživatelé.

"Tyhle tokeny jsou dobré na ochranu přihlášení, ale na podpisování příkazů se nehodí."

Slovenská Tatra banka mala kedysi pred rokmi "kalkulačku", do ktorej sa vložila platobná karta, a na vygenerovanie kódu k potvrdeniu platby tam bolo treba zadať sumu a číslo účtu (alebo jeho časť, už si to nepamätám). Bolo to veľmi bezpečné, ale z užívateľského pohľadu to bol dosť opruz. Pre bežnú fyzickú osobu z nižšej a strednej triedy je dostatočná SMS autorizácia - nejaké vektory útokov existujú, ale sú podľa mňa príliš zložité na to, aby sa to vyplatilo cieliť na bežného človeka. To už je snáď výnosnejšie skúšať zmanipulovať nejaké naivnejšie ženy, aby poslali 10 000 € "americkému vojakovi v problémoch" niekam do Nigérie...

Nakoniec svojho času Tatra banka zdvihla poplatok za účet a tak som sa na nich vykašľal.

Tak to měla i Expandia / Ebanka svého času, resp. hned od začátku. Do tý kalkulačky se musel napsat celý platební příkaz (účet, častka, VS) a kód přepsat zpátky do ib

Takže se musel příkaz vypisovat dvakrát? Jednou do IB a podruhé do oné "kalkulačky"?

Přesně tak. Velmi bezpečné, ale také velmi otravné.

Jinam SMS právě pro běžnou osobu dostatečná není, proto se ji snaží banky nahradit.