Po přečtení článku jsem čekal jednoduché účinné řešení tohoto problému, to se bohužel nedostavilo. Mohl by mi pan autor říci jak má banka ochránit internetové bankovnictví? Zažil jsem člověka, který se na internetové bankovnictví přihlásil ve veřejné knihovně! Poté odešel a na počítači nechal otevřené a neodhlášené internetové bankovnictví. Rád bych věděl, jak má takového klienta banka ochránit? Přidělit mu osobního strážce?
Například stačí požadovat autentizační SMS (či jinou jedinečnou autentizaci) pro každou transakce a ne na celou session...
Pokud to takto funguje (a u řady bank to takto je!), tak si u vámi zmíněného uživatele sice další návštěvník knihovny zjistí jeho kompletní finanční situaci, ale neukradne mu nic. Že někomu může vzniknout škoda i vyzrazením informací je sice fakt, ale každopádně to není tak časté a jednoznačné, jako škoda daná přímým převodem. To samé máte s phishingem - pokud na to uživatel klikne a vykecá heslo, tak je to chyba, která ale při existenci nějaké vícezdrojové autentizace (alespoň pro operace, když ne i pro prohlížení) nebude mít vlastně žádné následky, pokud ale někdo bude jméno a heslo stačit, tak to problém je.
A takhle lze pokračovat... Obecně si samozřejmě nedělám iluze, že banka může ošetřit jakoukoli blbost uživatele, nicméně u řady typických útoků či chyb lze předejít alespoň části následků, někdy i všem.
Samozrejme. Ve Windows mam naprostou kontrolu nad vsim a lze je provozovat bezpecne, pokud o to stojim. V Androidu bez poruseni zaruky (rootnuti) nemam kontrolu nad nicim a provozovat bezpecne jej nelze ani kdyz o to stojim, jediny pokus o zavedeni bezpecnosti byl oznacen za "omyl" a stazen zpet.
Az na to, ze prave rootnutim narusujete sandbox aplikacii a teda tu bezpecnost oslabujete. Kazda banka, ak by sa vyskytol problem s mobilnym bankovnictvom, sa vas medzi prvymi otazkami spyta, ci mate rootnuty telefon.
Vdaka sandboxu su mobilne banky pre bezneho uzivatela uz z principu bezpecnejsie, ako IB beziaci v browseri v standardnom operacnom systeme. Napriklad, malware sa na PC dostane pomerne lahko ku vsetkym datam v kontexte uzivatelovho uctu, no v nerootnutom telefone nie. Rovnako kryptografia v mobilnych bankach je na ovela vyssej urovni (napr. sa typicky podpisuje dodatocne veskera komunikacia so serverom) a to nevraviac o tom, ze nativna aplikacia v telefone vie lepsie kontrolovat validitu SSL ako browser.
A teraz vtip. Pouzivate napriklad adblock? Tak aj tento vie (a ak by chcel aj moze) citat vase hesla a obsah z IB. Kto vam garantuje, ze autori toho raz vdaka automatickej a tichej aktualizacii nezneuziju? Este stale mate pocit, ze mate vo windows vsetko pod kontrolou? :) "man in the browser" utoky este len cakaju na svoje chvile slavy :)
Hlavni problém vidim v tom, ze v okamziku pouziti bankovnictvi v mobilu uz jde jen stezi o vicefaktorovou autentifikaci napr. při pouziti SMSek - protože ty jsou prijimany na tom samem telefonu. Pokud bude malware schopen parsovat prisle SMS, pak je cely smysl potvrzovani transakci přes SMS uplne k nicemu.
jednoduse tak jako v USA, kdyz zakaznik zavola do banky ze mu telefon nekdo ukrad/ztratil a vcera zadne transakce neprovadel/nechtel provadet tak je banka jednoduse stornuje a resi si to SAMA s pozice silnejsiho s obchodnikem/jinou bankou kam penize odesli a SAMA banka prosetri kdo kdy jak je chtel ZNEUZIT je to jeji prace ma k tomu vic prostredku nejen tech financnich ale i technickych!!!! Klient ketereho nekdo pomoci IB okrade nezjisti komu na jake jmeno je ten a ten ucet kam penize odesli a pod. kdezto banka to zjisti snadno!
> zakaznik zavola do banky ze mu telefon nekdo ukrad/ztratil a vcera zadne transakce neprovadel/nechtel provadet tak je banka jednoduse stornuje
A nepletete si to náhodou s kreditními/debetními kartami? Tam to určité opodstatnění má (i když je to spíš historický relikt), protože tam dává příkaz ke stržení částky obchodník. Ale u příkazů přes IB jsem o tom ještě neslyšel.
> banka prosetri kdo kdy jak je chtel ZNEUZIT je to jeji prace ma k tomu vic prostredku nejen tech financnich ale i technickych. Klient ... nezjisti komu na jake jmeno je ten a ten ucet kam penize odesli a pod. kdezto banka to zjisti snadno
Předně, zjišťovat, kdo je chtěl zneužít a jak není práce banky, ale policie. Banka zjistí komu účet patří pouze pokud byly peníze poslány na účet ve stejné bance jinak ne. Ale i v tom případě už budou druhý den pryč a i kdyby nebyly, tak je nemůže jen tak zablokovat.
Nejvíc technických prostředků pro zabránění zneužití svých zařízení má klient, banka v tomto má dost omezené možnosti.
A jinak, otázka zněla, jak tomu má banka zabránit. Tím že přenesete odpovědnost na banku budou naopak uživatelé ještě lehkomyslnější a podvodů naopak přibude.
Ale opět debatujete nad poentou článku, kdo by to měl řešit. Slabý klient co nemá právníky, zkušenosti a přístup k informacím, které mu danou situaci pomohou řešit vs banky co toto vše mají...
Vy říkáte, že slabý klient, článek polemizuje co je lepší, ten na kterého odpovídáte, že banka.
Veším tvrzením dokazovat, že Váš názor je zároveň důkazem, že je Váš názor správný je tautologie, a dokazuje spíše pochybnost "nad českou cestou" i v tomto případě.
Co se zamyslet, česká cesta vznikla bez zkušeností s kapitallismem a na západě je nepřijatelná ať společensky tak před soudem viz poplatky za hypo, dle německého soudu protiprávní vůči evropské legislativě zatímco na území Čr nééé...
Nebude to spíše, že banky mají své lidi na soudech a vše je na bedrech lidí co nemají prostředky se bránit...
Já nepolemizuji, pouze konstatuji fakta:
1) Největší hrozbou pro uživatele je jejich lehkomyslné chování.
2) Banky nemají za současného stavu moc reálných možností to zlepšit - před hrozbami pravidelně varují a rozumné zabezpečení implementují.
3) Zabezpečení by šlo zvýšit, ale bylo by to na úkor uživatelů a to i těch zodpovědných.
K zodpovědnému chování opravdu není potřeba právníků ani speciálních znalostí.
Netreba zabúdať na to, že banka objektívne zodpovedá za transakcie ktoré sa nad účtami realizujú. Je len vecou banky, či si nastaví svoje vzťahy s obchodníkmi tak, že v prípade spochybnenia transakcie sa peniaze nevyplatia obchodníkovi.
banka, ktorá prevádzkuje internet banking jednoducho má materiálno- technické a personálne zázemie na to, aby chránila peňažné prostriedky svojho klienta a aby nedochádzalo ku krádežiam týchto peňažných prostriedkov.
našťastie sú tu súdy, ktoré toto strážia a musím povedať pomerne poctivo..
Mimochodem již v roce 2004 rozhodl Finační arbitr svým nálezem reg. č. 55/2004 o tom, že banka pochybila při provozu internetového bankovnictví.
Tehdy banka dala svého klienta a FA k soudu, prohrála u Obvodního i u Městského soudu a peníze z banky musel dostat exekutor.
Tam se nejednalo o technologie, ale o lidskou umíněnost.
Hledáte jednoduché a účinné řešení u problému kde ten silnější a zkušenější uhýbá víc jak 10 let před svojí odpovědností??
Zkuste si přečíst následující prohlášení britské banky - http://www.barclays.co.uk/Helpsupport/OnlineBankingGuarantee/P1242559212935
Internetbanking je služba banky a . (tečka)
Aha. " This means that, if you fall victim to internet fraud on your Barclays bank account, we'll cover your loss – no matter how much money is taken from your account – as long as you've used Online Banking correctly."
Ono to "as long as you've used Online Banking correctly" tam asi není jen tak pro nic za nic. Prostě zadní vrátka proto aby řekli "nehlídal sis mobil, tvoje vina" a šmitec klientovi naprděj jako tady. Realitu neznám ale jen vidím takovou větu hned tuším k čemu tam asi je.
Jako ukázkový přístup, jak se to dělat nemá, bych uvedl AirBank. Ta provozuje místo IB v podstatě velkou bezpečnostní díru, kterou nemá uživatel možnost jakkoli zavřít.
Problém je v tom, že stačí 1 pokyn potvrdit smskou, všechny další pokyny se už potvrzují jen zadáním vstupního hesla do IB. Takže stačí napadnout počítač a odposlechnout 1 heslo a můžete ho celý v pohodě vykrást.
Pokud máte v PC malware, vůbec nemáte kontrolu nad tím, jaká data se ve skutečnosti bance odesílají, ať už ve webovém prohlížeči klikáte na co chcete. V případě MITM útoku ve skutečnosti ani nekomunikujete s bankou.
Tolik k těm vašim naivním pohádkám. Přístup Airbank k bezpečnosti je katastrofa. Ale co čekat od banky, která klidně implementovala části IB ve flashi (už to prý změnili)
Odhlášení nestačí. A to ani "ihned" po první aktivní operaci potvrzené SMS.
Scénář tohoto útoku předpokládá, že máte "napadnutý počítač". Takže další transakci uskuteční program během pár desetin sekundy, dříve než si přečtete stránku s výsledkem první transakce a odhlásíte se.
Ten scénář je ovšem hodně komplikovaný, nenašel jsem nikde popsáno, že by se někdy reálně uskutečnil.
Banka nejspíš upřednostnila komfort uživatele a úsporu za SMS.
Jakási obrana by mohla být na straně banky, která by takovéto rychlé transakce detekovala jako podezřelé.
a ten malware se vam v pocitaci objevi jak? pri rebootu se z niceho nic zjevi? nebo se tam nejak proplizi z venku pres ventilator?
pokud je uzivatel debil tak je naprosto v poradku, ze za svoji hloupost zaplati.
vy take jezdite s autem ktere ma povolene srouby u kol, nebo nefunkcni brzdy? a mel by vas zamestnavatel (protoze tim autem jezdite do prace) byt zodovedny za skodu kterou jim zpusobite?
...a to v tom druhém významu - že totiž následně bude páchat fingované "krádeže". Všechny velké firmy dávno znají tu magickou západní hranici Čech, za kterou se míra zpronevěry, podvodů a záhadných ztrát láme od snesitelných evropských hodnot na nesnesitelné "východní" (a čím dál na východ, tím je to horší). Vědí to pojišťovny, globální e-shopy (proč tu neprodává Amazon je kromě velikosti trhu i fakt, že by se jim nevyplácel jejich globální systém garance vrácení zboží), vědí to řetězce (míra krádeží vlastními zaměstnanci), vědí to i banky. Jenom to říkají "trochu jinak", na plná ústa si to dovolit nemůžou.
S e-shopy a vracením zboží po návratu z dovolené máte pravdu. Jsou země kde se takové věci prostě nesluší dělat.
V případě internetbankingu se s takovým rizikem musí také počítat, ale je možné ho pokrýt interními systémy typu AML.
Možná jsem ze staré školy, ale pro mne byly telekomunikační firmy a banky autoritami, které určovaly /ukazovaly směr technického rozvoje.
To se vytratilo, pokud někdo 12 let nedokáže vyřešit problém, tak dělá něco špatně.
Například Američané dokázali od projevu J.F.Kennedyho v roce 1961 za 8 let přistát na Měsíci a to je větší úkol než internetbanking.
Pohybuji se v IT prostředí a moje zkušenost je taková, že ty počítače a chytré telefony dnes opravdu prodají každému. Chcete vzdělávat a vychovávat lidi (uživatele), kteří nemají nejmenší zájem. Chcete vinit výrobce automobilů, že zloděj nasednul do odemčeného nastartovaného auta a odjel? Je to úplně stejné, jako když klient banky nedodržuje žádné bezpečnostní doporučení. Můžete jako banka chtít po lidech, aby používali více způsobů ověřování zároveň, ale pak taky můžete čekat, že těch klientů vám moc nezůstane. Krom toho se určitě i tak najde někdo, kdo poctivě odmačká a potvrdí všechny kódy a tlačítka a pak se bude hrozně divit, kam se mu ty peníze ztratily.
A máte dojem, že v Británii nebo v USA obsluhují účty pouze samí informatici??
Ti lidé jsou všude po světě podobní. V zahraničí jsou ale banky a firmy, které to již pochopily a vědí, že s tím nic moc nenadělají. I v mladší generaci jsou zkušení uživatelé a lajdáci.
Jenže jako poskytovatel služby musíte být připraven na toho nejhoršího lamu, pak bude řešení fungovat.
Když budete jako banka chtít, tak klienta bez problémů ochráníte.
Web bude provozovat pod certifikátem, který ověřuje pravost stránek a uživatele o tomto "proškolíte".
Budete každou transakci potvrzovat SMS (nebo HW tokenem, čipovou kartou,...) a v případě např. těch SMS mohou chodit šifrované.
Dnes je problém hlavně v chytrých telefonech, když vše děláte na jednom přístroji.
Co kdyby Vám banka sama dala aplikaci pro Váš konkrétní přístroj, kde SMS dojde šifrovaná a jiný SW v telefonu si tak neškrtne?
Prostě ji nepřečte, když nezná privátní klíč, který není uložen čitelně v telefonu.
Telefon ktery ma v sobe typicky malware uz od vyroby je v tomto nepouzitelny. Zvlaste kdyz dodavatel nejrozsirenejsi platformy (Google) generuje prijmy jen z cileneho prodeje reklamy a tim nutnosti smirovani zakazniku. Tudy zkratka cesta nevede.
SMS casem stejne umrou, podobne jako dalnopis nebo telegram. Takze stavet neco na teto technologii nema smysl. Bohuzel v dnesni dobe musi byt vse "jednoduche" a nic nesmi vyzadovat u veci premyslet nebo je snad dokonce chapat, tak proto to ma takove vysledky. Tohle zadna technologie uz nespasi. Potvrzovat transakce by slo napriklad pres NFC prilozenim platebni karty a zadanim PINu. Jenze zadavat PIN do neceho jako Android, to uz ho muzete rovnou vyvesit na socialni siti :-/
"dodavatel nejrozsirenejsi platformy (Google) generuje prijmy jen z cileneho prodeje reklamy a tim nutnosti smirovani zakazniku. "
Jenze on cte data strojove a v jasne vymezenem rozsahu. Mate dukaz, ze to dela i nad tento ramec? Treba jako Microsoft, ktery smiruje vase e-maily RUCNE a ma na to povoleni v podminkach pouzivani?
http://computerworld.cz/securityworld/microsoft-a-spol-mohou-cist-vase-emaily-50932
Ha ha. Dobrý vtip. Klienti jsou tak pitomí, že si na základě mailu s mizernou češtinou klidně nainstalují "novou verzi aplikace od banky" z neautorizovaného zdroje i přes všechna varování co se na ně vysypou. Na takovou blbost fakt certifikát a proškolení nepomůže.
U HW tokenu / čipové karty je zas problém v tom, že do nich musíte nezávislým kanálem dostat parametry transakce, jinak prostě klient na žádost mallware opíše autorizační údaje kam mu ten mallware řekne a platba je potvrzená.
Speciální aplikace je o něco lepší, ale tam spoléháte na to, že dám OS telefonu zajistí oddělení aplikací.
Asi nejspolehlivější by byl vlastní HW s vlastní SIM kartou, ale to by bylo hodně drahé a pro klienta nepohodlné.
Žádám o přístup do IB, dostanu bezpečnostní příčurku a zvolím nějaký kód, pod kterým se vygeneruje aplikace pro můj mobil vázaná na konkrétní HW. Potvrzovací SMS chodí šifrovaná a zobrazí ji pouze tato aplikace pouze na daném telefonu/PC. Malware na pozadí má smůlu. I když obejde vše, tak potvrzovací SMS nepřečte.
Když odejde HW, tak se Vám vygeneruje appka nová pro nový telefon.
Kód pro stažení dostanu od operátora po ověření a potvrzení nových údajů online.
Nikdy to nebude 100% neprůstřelné proti lidské blbosti, ale s minimem změny uživatelského komfortu omezím škody.
Když někdo i takto poslanou SMS napíše na FB "kamarádovi", tak to už snad jen takovému uživateli přístup k IB zablokovat navždy.
Ale i zde by šla kontrolovat IP, HW klíč apod (zda je SMS zadaná na stejném zařízení, jako vlastní transakce)
Jak uz bylo zmineno, neco takoveho uz tu bylo a dokonce se to i pouzivalo a je to pouzitelne stale. CSOB sveho casu umoznovala (volitelne / ja to tak mel) posilat autorizacni sms kodovane a dekodovat je slo jen v sim toolkitu pomoci bpinu, coz lze i dnes. Jen by to museli nastavit vsichni vyrobci sw reseni. Do sim navic neni problem nahrat unikatni privatni klic, ostatne uz tam nejmene jeden je. Takova sim se pak da pouzivat v libovolnem telefonu a bezpecnost to silne povysuje.
Tak ono by to slo, predstavme si jednoduchou "krabicku" se SIM kartou a nekolikaradkovym monochromatickym LCD na zobrazeni cisla uctu, KS, VS, castky + kodu, ktery by si uzivatel poctive opsal do IB. Zadna klavesnice, zadna upatlana obrazovka, nic, proste jeste levnejsi vec nez ten nejlevnejsi dumbphone.
Jeste by to slo vylepsit tak, ze by to melo USB rozhrani a chovalo se to jako klavesnice pro prepis kodu (neco jako YubiKey).
Urcite to neni nic pro ucty vedene s nulovymi poplatky, ale za par desetikacek/mesic by to podle me slo, kdyby byl oboustranny zajem.
Tohle naprosto nic nevyřeší. Pro rozumného uživatele je to zbytečné složitý a blbce to nezachrání.
Exoty kteří jsou schopni přeposlat autorizační kód komukoliv a kdykoliv prostě nejde ochránit.
Banky stále dokola upozorňují, že žádná hesla, pin kódy a podobné nemá uživatel nikdy nikomu posílat.
Ty "chytre" telefony jsou vlastne jen navrat do doby pred potvrzovacima SMS kodama. Staci se dostat do jedineho zarizeni a utocnik ma vse. Tohle uz tu bylo.
Obecne me nejvice stve liknavy pristup bank - treba kdysi se na forech resilo nemoznost zakazat prevod penez pomoci sberneho boxu (co nepouzivam, mam mit zakazano), dneska se zase omezuje nutnost zadavani PINu platebnich karet. Proste na bezpecnost se v lepsim pripade kasle, v horsim se primo umyslne snizuje. Jedine, cemu se divim, je, ze se zatim neobjevuji opravdu velke a masove prusvihy.
Tak masové průšvihy se asi nemají jak objevit. Když Vám seberou bezkontaktní kartu a vyprázdní účet, tak Vás banka pošle k šípku a Vy se tím moc chlubit nebudete. Alespoň 99% lidí ne.
Zbytek buď mávne rukou, že mu ta částka za to nestojí a jen velmi málo lidí se začne soudit a banku zažaluje, že mu vnutila bezkontaktní kartu a nedovoluje mu tyto transakce bez PIN blokovat, nebo si omezit limit pro bezkontaktní platbu.
A když dojde na tento scénář, tak se s Vámi v tichosti banka mimosoudně vyrovná, aby se to nerozkřiklo, že tu odpovědnost má.
A většina je spokojená.
Bance nejde o bezpečnost, protože čím je to jednodušší, tím více méně inteligentních lidí to začne používat. Roste počet transakcí, rostou poplatky a příjmy bank. Proč jsme na špici v počtu bezkontaktních plateb?
Bezpečnost až na posledním místě.
Celou dobu jsem čekal nějaké praktické rady, ale nepřišly. Jen nějaké obecné plky a hlouposti ... Autora neznám, ale i průměrný konzultant by měl umět vytvořit hodnotnější text.
"Řešení jsou relativně jednoduchá ...
1. Internetbanking je služba banky a ta za svoji službu nese odpovědnost ...
2. Dalším bodem je skutečnost, že banky budou aktivně pracovat na osvětě mezi uživateli
3. Velmi důležitým bodem je také sebevědomý tlak na tvůrce operačních systémů a dalších aplikací."
Nevím, jestli lze první bod nazvat řešením. Druhý bod pak určitě není řešení a už vůbec ne "relativně jednoduché". Třeba by ale autor mohl poradit, jak relativně jednoduše vzdělávat miliony lidí, z nichž většina má jen mlhavé povědomí o počítačích a o bezpečnosti nevědí prakticky nic. A co teprve jednoduché řešení v podobě tlaku na tvůrce operačních systému a aplikací ... Fantasmagorie!
Ale ono to není tak úplně od věci.
Když se podíváte na to, co se za ty roky změnilo, tak je to opravdu tristní.
Dříve šlo používat HW token/kalkulátor (ČS, Expandia,...), ale už to zrušili. Čipová karta v podobě ČS je neskutečně drahá sranda, což kdyby si banka vzala za své, dá se to dotovat, nebo nabízet za režie.
SIM toolkit byl šifrovaný, tak proč nemá následovníka? Proč ty hloupé SMSky nemohou být šifrované? Tj. kdo ji zachytí po cestě (i vir na pozadí), tak má smolíka.
Se smlouvou k IB Vám mohou dát příčurku bezpečnosti, nabídnout SW pro kontrolu zabezpečení PC/telefonu,...
A tak se dá pokračovat.
Pokud si to vezmou banky za svoji odpovědnost, tak se dá situace zlepšit. Dnes Vás odpálkují a jsou dál v klidu.
HW kalkulátor je super, ale drahý a dvojí přepisování údajů uživatele dost obtěžuje, takže ho nechtějí používat ani zadarmo, natož aby za něj byli ochotni platit (myslím BFU, ne paranoiky, co ho paradoxně ani nepotřebují).
SIM toolkit byl super, ale ovládání poněkud nešikovné a výrobci telefonů od něj spíš ustupují. Plus nutnost nahrát do něj aplikaci na pobočce byla taky dost omezující. A co se týče následníka, to mají v rukou telekomunikační firmy / výrobci telefonů, ne banky.
Myslíte, že člověk, který mechanicky odklepává všechna varování si bude dělat starosti s nějakou příručkou? Antivirus dokonce některé nabízí, ale těžko vás mohou donutit ho používat.
Ano, banky by mohly bezpečnost o něco zlepšit, ale na úkor peněz a pohodlí odpovědných klientů a to mi nepřijde jako dobrá cesta.
Vážený Tony,
když nedokážete pochopit, že z pohledu uživatele je ŘEŠENÍM to, že provozovatel aplikace na sebe bere odpovědnost za nabízenou službu, tak je to těžké. Kvalitní řešení jsou někdy jednoduchá.
Jak je možné vzdělávat milióny uživatelů?? Stačí se podívat na vzdělávací spoty CZ.NIC, když se chce tak to jde.
Tlak na tvůrce mohl (může) být podobný. Stačil by jeden článek, jedna tisková zpráva banky o tom, že za nedávným problémem klientů je slabina v .... a viděl byste kolik lobbystů a "nezávislých konzultantů" by se ozvalo.
Vážený pane Nápravníku,
obávám se, že tím kdo nepochpil realitu jste tady opravdu Vy. Nevím jaké máte vzdělání ani pracovní zkušenosti ale z vlastní více zkušenosti (cca 15 let) z denního kontaktu s uživateli mně jako nejslabší článek opravdu vychází uživatel. Zejména uživatel blbec nebo ignorant.
Pokud někdo nedodržuje ani ta nejzákladnější bezpečnostní pravidla, tak banka tady opravdu nic nezmůže. Minimálně Česká spořitelna stále dokola upozorňuje na útoky a pokusy o podvodné vylákání citlivých údajů.
Pokud někdo nechá odemčené auto s klíčem v zapalování tak je to chyba výrobce auta? Podle Vaší logiky by měl výrobce převzít zodpovědnost za případné ukradení auta?
Zkuste se příště zamyslet nad tím co jste napsal.
Vážený pane Kroci,
a zkusil jste se sám zamyslet nad tím jak je možné, že Wells Fargo a další banky jasně říkají, že ochrání peníze uživatele??
Jasně, že mnoho uživatelů je naivních a nezkušených. To byli už v roce 2002, když začalo docházek k prvním vykradením a já jsem osobně obcházel centrály bank a upozorňoval jsem je na možný problém. Nikdo neměl zájem o spolupráci!
Uplynulo 12 let a problém s internetbankingem banky nevyřešily, tak je tam něco špatně. Američané dokázali za 9 let připravit raketu, přistávací modul a vyslat kosmonauty na Měsíc. Tady není možné za 12 let vyřešit problém s jednou bankovní službou? To mi chcete tvrdit, že internetbanking je složitější jak projekt Apollo??
predjima ze se bude jednat akorat o kydani h@ven.
Mimochodem ani ty zminovane online garance neslibuji bezbrehou nahradu za kazdych podminek, viz napriklad
we guarantee to cover your loss, providing that:
You haven’t given your security details to someone else
You’ve complied with the security requirements outlined in your account’s terms and conditions (zvlast pod to se da v praxi schovat lecos)
je banka sama. Ona určuje bezpečnostní politiky a musí je mít plně pod kontrolou. Přihlásím-li se z internetové kavárny, moje banka to pozná a vyšle žádost o doplňující autentifikaci. Paralelně mě kontaktuje telefonicky dohledové centrum a ručí za bezpečnost celé akce z kavárny - pokud souhlasíte, monitoruje akci online a kouká vám pod ruce, co děláte s klávesnicí a myší, až do doby odhlášení. To zde v Německu. Že by to v Česku také tak neuměli? Nevěřím.
u nás to tak bolo, keď viedla slovenskú sporiteľňu Rakúšanka. dohľadové centrum sa pýtalo na podozrivé transakcie s tým, že sa dala prípadne zrušiť.
nikde nie je napísané, že sa to nemôže relizovať cez sms alebo cez biometriu hlasom. stačí keď automatu potvrdíme, že sme transkaciu vykonali.
Na západe to funguje preto, lebo banka by prišla o klientov a zároveň by ju súd automaticky zaviazal na náhradu škody. Preto sú opatrní.
Ale houby. Právě otázka bezpečnosti přístupu k penězům přes IB je tak často všude přetřásaná, že snad nemůže být častějšího tématu. Varování a rady jsou všude. A přesto se to děje. Proč? Protože jsou prostě lidi nepoučitelní. To je jako když si nějakej blbec napíše pin na kreditku. A že jich je. Tohle není problém banky, dneska už v podstatě není žádná, která by to neměla ošetřené, ale lidí. Kruhy na prdeli od studia pravidel bezpečného přístupu přes IB do banky by měli mít všichni. Ale je to marný, je to marný a tak dále.
Vážený Pavle,
to že se o bezpečnosti internetového bankovnictví hodně mluví to ještě neznamená, že se řeší základy všech problémů.
1, Běžní uživatelé - s těmi toho moc nenaděláte. Mají své limity. Jenže podobné hranice zkušeností měli již v roce 2003 a banky odmítaly poškozené klienty s jejich reklamacemi.
2, Odpovědnost výrobců SW. Velký úkol, do kterého se nikomu nechce, jenže je to zdroj mnoha problémů (viry, zero-day attack, etc.). Například GM dostala v loni pokutu za liknavý přístup k řešení konstrukčních vad v jejich automobilech. Dokážete si představit kolik problémů by se začalo odstraňovat prosazením podobného přístupu i v oblasti SW??
3, Internetbanking je služba banky, takže problémy s ním spojené jsou především problém konkrétní banky. Opačný přístup je vidět i na prohlášeních některých bank - Vykradli vám účet, tak běžte podat trestní oznámení" Podle mne by tím správným bylo, že banka začne reklamaci řešit a ona společně a poškozeným podávají trestní oznámení.
Nápravníkovi dochází asi byznys :)) chce se nacpat na výplatnici některé banky :)))
Jinak, pokud budou uživatelé tak dementní, že budou přihalšovací údaje dávat komukoliv, SMS kódy posílat facebookem komukoliv, cizím lidem diktovat do telefonu kódy, tak se banky mohou posrat a nic s tím neudělají :((((
Vážený Radečku,
Váš zaměstnavatel ví o tom co děláte v pracovní době nebo je Váš příspěvek oficiálním stanoviskem ČS, a.s. (.csas.cz)?
Už v roce 2003 jsem se u jednoho případu setkal v počítačovým virem, který dokázal antivirák detekovat až 6 (šest) týdnů po provedení podvodné transakce. Takže běžný uživatel nezmohl vůbec nic a banka ho s reklamací vyhodila.
Jsou prostě limity, které dokáže splnit a dodržet běžný uživatel a jsou věci, které už nesplní. Ty hranice se od roku 2003 výrazně nezměnily, zlepšily se triky a zkušenosti počítačových podvodníků.
osobně využívám všechny technologie, které jsou obecně rozšířené, myslím, že (jak zaznělo níže) není vůbec špatně, že Češi platí bezkontaktně a orientují se v novinkách... jen holt musí využívat i dostupné bezpečnostní prvky... PC, tablet i telefon zamykám na otisk, vyhybám se aplikacím, které by mohly sledovat i aplikaci bankovnictví, pin nemám uložený v telefonu ani napsaný na zadní straně karty... přihlašovací údaje do internet bankingu si Chrom nepamatuje... je to hodně o tom, že bezpečnost někdy znamená uživatelskou nepohodlnost... jsem u Equa Bank a jsem maximálně spokojený, jejich netbank i appka mi přijde bezpečná a pokud člověk není hlupák, myslím, že se minimalizuje riziko