Po přečtení článku jsem čekal jednoduché účinné řešení tohoto problému, to se bohužel nedostavilo. Mohl by mi pan autor říci jak má banka ochránit internetové bankovnictví? Zažil jsem člověka, který se na internetové bankovnictví přihlásil ve veřejné knihovně! Poté odešel a na počítači nechal otevřené a neodhlášené internetové bankovnictví. Rád bych věděl, jak má takového klienta banka ochránit? Přidělit mu osobního strážce?
Například stačí požadovat autentizační SMS (či jinou jedinečnou autentizaci) pro každou transakce a ne na celou session...
Pokud to takto funguje (a u řady bank to takto je!), tak si u vámi zmíněného uživatele sice další návštěvník knihovny zjistí jeho kompletní finanční situaci, ale neukradne mu nic. Že někomu může vzniknout škoda i vyzrazením informací je sice fakt, ale každopádně to není tak časté a jednoznačné, jako škoda daná přímým převodem. To samé máte s phishingem - pokud na to uživatel klikne a vykecá heslo, tak je to chyba, která ale při existenci nějaké vícezdrojové autentizace (alespoň pro operace, když ne i pro prohlížení) nebude mít vlastně žádné následky, pokud ale někdo bude jméno a heslo stačit, tak to problém je.
A takhle lze pokračovat... Obecně si samozřejmě nedělám iluze, že banka může ošetřit jakoukoli blbost uživatele, nicméně u řady typických útoků či chyb lze předejít alespoň části následků, někdy i všem.
Samozrejme. Ve Windows mam naprostou kontrolu nad vsim a lze je provozovat bezpecne, pokud o to stojim. V Androidu bez poruseni zaruky (rootnuti) nemam kontrolu nad nicim a provozovat bezpecne jej nelze ani kdyz o to stojim, jediny pokus o zavedeni bezpecnosti byl oznacen za "omyl" a stazen zpet.
Az na to, ze prave rootnutim narusujete sandbox aplikacii a teda tu bezpecnost oslabujete. Kazda banka, ak by sa vyskytol problem s mobilnym bankovnictvom, sa vas medzi prvymi otazkami spyta, ci mate rootnuty telefon.
Vdaka sandboxu su mobilne banky pre bezneho uzivatela uz z principu bezpecnejsie, ako IB beziaci v browseri v standardnom operacnom systeme. Napriklad, malware sa na PC dostane pomerne lahko ku vsetkym datam v kontexte uzivatelovho uctu, no v nerootnutom telefone nie. Rovnako kryptografia v mobilnych bankach je na ovela vyssej urovni (napr. sa typicky podpisuje dodatocne veskera komunikacia so serverom) a to nevraviac o tom, ze nativna aplikacia v telefone vie lepsie kontrolovat validitu SSL ako browser.
A teraz vtip. Pouzivate napriklad adblock? Tak aj tento vie (a ak by chcel aj moze) citat vase hesla a obsah z IB. Kto vam garantuje, ze autori toho raz vdaka automatickej a tichej aktualizacii nezneuziju? Este stale mate pocit, ze mate vo windows vsetko pod kontrolou? :) "man in the browser" utoky este len cakaju na svoje chvile slavy :)
Hlavni problém vidim v tom, ze v okamziku pouziti bankovnictvi v mobilu uz jde jen stezi o vicefaktorovou autentifikaci napr. při pouziti SMSek - protože ty jsou prijimany na tom samem telefonu. Pokud bude malware schopen parsovat prisle SMS, pak je cely smysl potvrzovani transakci přes SMS uplne k nicemu.
jednoduse tak jako v USA, kdyz zakaznik zavola do banky ze mu telefon nekdo ukrad/ztratil a vcera zadne transakce neprovadel/nechtel provadet tak je banka jednoduse stornuje a resi si to SAMA s pozice silnejsiho s obchodnikem/jinou bankou kam penize odesli a SAMA banka prosetri kdo kdy jak je chtel ZNEUZIT je to jeji prace ma k tomu vic prostredku nejen tech financnich ale i technickych!!!! Klient ketereho nekdo pomoci IB okrade nezjisti komu na jake jmeno je ten a ten ucet kam penize odesli a pod. kdezto banka to zjisti snadno!
> zakaznik zavola do banky ze mu telefon nekdo ukrad/ztratil a vcera zadne transakce neprovadel/nechtel provadet tak je banka jednoduse stornuje
A nepletete si to náhodou s kreditními/debetními kartami? Tam to určité opodstatnění má (i když je to spíš historický relikt), protože tam dává příkaz ke stržení částky obchodník. Ale u příkazů přes IB jsem o tom ještě neslyšel.
> banka prosetri kdo kdy jak je chtel ZNEUZIT je to jeji prace ma k tomu vic prostredku nejen tech financnich ale i technickych. Klient ... nezjisti komu na jake jmeno je ten a ten ucet kam penize odesli a pod. kdezto banka to zjisti snadno
Předně, zjišťovat, kdo je chtěl zneužít a jak není práce banky, ale policie. Banka zjistí komu účet patří pouze pokud byly peníze poslány na účet ve stejné bance jinak ne. Ale i v tom případě už budou druhý den pryč a i kdyby nebyly, tak je nemůže jen tak zablokovat.
Nejvíc technických prostředků pro zabránění zneužití svých zařízení má klient, banka v tomto má dost omezené možnosti.
A jinak, otázka zněla, jak tomu má banka zabránit. Tím že přenesete odpovědnost na banku budou naopak uživatelé ještě lehkomyslnější a podvodů naopak přibude.
Ale opět debatujete nad poentou článku, kdo by to měl řešit. Slabý klient co nemá právníky, zkušenosti a přístup k informacím, které mu danou situaci pomohou řešit vs banky co toto vše mají...
Vy říkáte, že slabý klient, článek polemizuje co je lepší, ten na kterého odpovídáte, že banka.
Veším tvrzením dokazovat, že Váš názor je zároveň důkazem, že je Váš názor správný je tautologie, a dokazuje spíše pochybnost "nad českou cestou" i v tomto případě.
Co se zamyslet, česká cesta vznikla bez zkušeností s kapitallismem a na západě je nepřijatelná ať společensky tak před soudem viz poplatky za hypo, dle německého soudu protiprávní vůči evropské legislativě zatímco na území Čr nééé...
Nebude to spíše, že banky mají své lidi na soudech a vše je na bedrech lidí co nemají prostředky se bránit...
Já nepolemizuji, pouze konstatuji fakta:
1) Největší hrozbou pro uživatele je jejich lehkomyslné chování.
2) Banky nemají za současného stavu moc reálných možností to zlepšit - před hrozbami pravidelně varují a rozumné zabezpečení implementují.
3) Zabezpečení by šlo zvýšit, ale bylo by to na úkor uživatelů a to i těch zodpovědných.
K zodpovědnému chování opravdu není potřeba právníků ani speciálních znalostí.
Netreba zabúdať na to, že banka objektívne zodpovedá za transakcie ktoré sa nad účtami realizujú. Je len vecou banky, či si nastaví svoje vzťahy s obchodníkmi tak, že v prípade spochybnenia transakcie sa peniaze nevyplatia obchodníkovi.
banka, ktorá prevádzkuje internet banking jednoducho má materiálno- technické a personálne zázemie na to, aby chránila peňažné prostriedky svojho klienta a aby nedochádzalo ku krádežiam týchto peňažných prostriedkov.
našťastie sú tu súdy, ktoré toto strážia a musím povedať pomerne poctivo..
Mimochodem již v roce 2004 rozhodl Finační arbitr svým nálezem reg. č. 55/2004 o tom, že banka pochybila při provozu internetového bankovnictví.
Tehdy banka dala svého klienta a FA k soudu, prohrála u Obvodního i u Městského soudu a peníze z banky musel dostat exekutor.
Tam se nejednalo o technologie, ale o lidskou umíněnost.
Hledáte jednoduché a účinné řešení u problému kde ten silnější a zkušenější uhýbá víc jak 10 let před svojí odpovědností??
Zkuste si přečíst následující prohlášení britské banky - http://www.barclays.co.uk/Helpsupport/OnlineBankingGuarantee/P1242559212935
Internetbanking je služba banky a . (tečka)
Aha. " This means that, if you fall victim to internet fraud on your Barclays bank account, we'll cover your loss – no matter how much money is taken from your account – as long as you've used Online Banking correctly."
Ono to "as long as you've used Online Banking correctly" tam asi není jen tak pro nic za nic. Prostě zadní vrátka proto aby řekli "nehlídal sis mobil, tvoje vina" a šmitec klientovi naprděj jako tady. Realitu neznám ale jen vidím takovou větu hned tuším k čemu tam asi je.