Vlákno názorů k článku Předstihne Česká spořitelna eBanku? od Jarda - Nevěřím aplikacím, které se starají o mé peníze...

Nevěřím aplikacím, které se starají o mé peníze skrze Internet, za použití jediného jména a hesla! Každé heslo se dá zjistit/prolomit a ptoto si myslím, že je zatím nejbezpečnější použití jedinečného kódu pro potvrzení každé transakce. Nejdostupnějším je asi v současnosti generování kódu automaticky s posláním na SMS-jak to má například eBanka.
Nechci být špatný prorok, ale jsem zvědav za jak dlouho po spuštění bublina s názvem "Servis 24" splaskne a kolik lidí přijde o peníze...
jk

Paranoia? Prý to jde léčit...

Jo, třeba nainstalováním něčeho, co odchytává přihlašovací jména a hesla a pak vybráním účtu, ne?

Ano to je to jedno z toho co jsem mel na mysli. Nemusi to nekdo odchytavat na siti ale i v praci nebo netove kavarne. Ostatni banky se chrani jeste tim certifikatem, ktery si prinesu do netove kavarny na diskete a kdyz nekdo odchyti moje heslo, je mu k nicemu, pokud nema ten muj certifikat. Jde mi o to, ze kdyz jsem psal svoje stiznosti, nebylo nikde znamo, jak je cela operace zabezpecena, bylo znamo jen jmenem a heslem. Dnes uz je k dispozici i demoverze.

Ale vždyť snad to spojení běží nad SSL. Čili Vaším problémem není až tak síťové spojení, ale právě to, že vrazíte disketu se svým certifikátem do naprosto neznámého počítače. Nebo jinak: pokud pracujete s nedůvěryhodným počítačem, je úplně jedno, jestli máte jméno a heslo nebo certifikát -- obojí je na tom počítači odchytitelné. Naopak, pokud máte počítač důvěryhodný, tak odposlech na síti až takový problém není. Čili pak Vám úplně stačí ten login a heslo.

Nejrozumější ochrana proti nedůvěryhodným počítačům v kavárnách je pak formou one time padu, čili jednorázových hesel. Ať už generovaných nějakou kalkulačkou (která má navíc tu výhodu, že umí i potvrdit akci, nejen uživatele autorizovat při přístupu), nebo takových, které banka pošle klientovi poštou na papíře nebo vydá na pobočce.

Ano to je presne proc kricim. Zabezpeceni jmenem a heslem - je dle meho nazoru nedostatecne, proc neni alespon certifikat do PC jako je u eBanky nebo u Moje banka (KB) ??
Jinak mam banking CSAS od jejiho zalozeni a problemy jsou neustale. Jinak jak jsem se koukal na novou demoverzi - je to skoro presna kopie Moji banky od KB :-)))
-------
pro zajimavost Vam pretiskuji moji korespondenci s CSAS :

dotaz:
Vázení, zjistil jsem ze rusite sluzbu Vaseho inet-bankingu - nahrazujete ji
sluzbou Servis24. Dobre, jde to zalozit korespondencne - po telefonu. Ovsem
kalkulator, ktery jsem byl NUCEN zakoupit - je mi nyni uplne k nicemu, cili
jsem si koupil vec, kterou, pokud budu mit transakce do 100000,- vubec
NEPOTREBUJI. Cili jsem vyhodil 1250,- korun. To pretrpim, protoze problemy s
CSAS mam od zacatku. Ale co mi ZASADNE chybi, je nejaky popis bezpecnostnich
prvku pokud neni potreba kalkulator pro sluzbu Servis24 banking. Jakym
zpusobem je zabezpecen pristup proti cizim osobam ?
Bude nejaky certifikát v PC ? Nebo jen JMENO a HESLO ? Opravdu Vase firma je
pro moje nervy teda na prvnim miste.

odpoved:
Vážený pane Lukáši,
děkujeme Vám za důvěru, se kterou jste se obrátil na naši klientskou schránku.
U nové služby již není nutné použití autentizačního kalkulátoru, ale je možné. Použití tohoto zařízení bude zapotřebí vždy pro nadstandardní zabezpečení při zadání transakce nad zvolený limit. Limit si můžete nastavit libovolně, tedy i na nulu, což by znamenalo použití kalkulátoru při každé transakci.
Na spuštění DEMO verze služby Servis 24 Internetbanking pro klienty stávajícího Internetbankingu dříve, než 4.11.2002, se v současné době pracuje. Jakmile to bude možné, bude přístupná na adrese www.servis24.cz.
Služba Servis 24 Internetbanking je zabezpečena prostřednictvím klientského čísla a bezpečnostního hesla pro službu Servis 24 Internetbanking, které si sám zvolíte. Toto heslo je osmi - až čtrnáctimístné, může obsahovat čísla i písmena. K tomu je dále možné nastavit si denní limit pro službu Servis 24 Internetbanking - použití autentizačního kalkulátoru.
Celá komunikace mezi Vaším počítačem a naším serverem je šifrována pomocí 128-bitového SSL 3.0 protokolu.
-------------
dotaz:

Vazena pani, dekuji za odpoved, ktera me ale moc neuspokojila.
Mam dalsi dotaz - pokud je pristup do bankingu zabezpecen jen cislem a heslem (jakkoliv dlouhym) je to
NEDOSTATECNE zabezpeceni pro internetove bankovnictvi. Hesla se daji totiz na siti odchytit.
Jedine reseni bych videl v nutnosti pouziti nejakeho certifikatu, ktery se bezne pouziva v ostatnich bankach.
Jiste mi navrhnete, abych si snizil limit a pouzival kalkulator. ANO TO BUDU NUCEN UDELAT, protoze bych nerad prisel
o svoje penize ve sporitelne. Ale jde mi vseobecne o dalsi spousty lidi, kteri tomu nerozumi a nalitnou na tento druh zabezpeceni bankingu. Nejsem zadny amater na poli internetu a pouzivam i internetove bankovnictvi jinych bank. Nikde
jsem se ale nesetkal s tak AMATERSKYM zabezpecenim - jmeno/heslo.
Rad bych tedy znal stanovisko Vasich odborniku na zabezpeceni operaci na netu. Protoze pochybuji, ze mi vratite penize, ktere mi nekdo vybere z uctu, kdyz zjisti moje heslo.
Jeste dodatek, ted jsem si precetl manual k sluzbe Servis24, a opet mi nejde na rozum
bod. 5.4 - Zablokování - Pokud totiz kdokoliv napise jakekoliv heslo 3x k nejakemu uctu, tak jej
zablokuje, muze se take stat, ze budu nucen stale "resetovat" svoje heslo. Protoze pokud bude nejaky dobrak,
ktery vezme urcita cisla klientu a ke kazdemu napise 3x cokoliv - tak zablokuje ucet uzivateli, ktery o tom ani nebude vedet. Je to dalsi pochybna cast ve Vasem radoby internetovem bankingu.
Soucasna aplikace - Internetoveho bankingu jiz byla na standardni urovni a byla celkem dobre zabezpecena, ale co jsem si opet precetl ve vasem navodu - je opet OTRESNE.


odpoved :
Vážený pane Lukáši,
děkuji Vám za důvěru, se kterou jste se obrátil na klientskou schránku České
spořitelny.

V tomto mailu Vám odpovím i na Vaše další dva dotazy.
Předně Vám chci poděkovat za Váš zájem a za Vaše podněty, které jste nám
zaslal na naši schránku.
Vaše potíže s připojením na www.servis24.cz jsou způsobeny tím, že stránka
bude zapojena až dne 4.11.2002.
Úmyslné zablokování cizího přístupu je velmi nepravděpodobné, protože
klientská čísla nejdou po sobě, ale jsou generována s určitou logikou.
Navíc je deblokace služby S24 Internet banking bezplatná.
Veškerá komunikace aplikace IB je zajištěna 128b šifrovacím klíčem v
protokolu SSL.
Tato šifra se nedá při dnešních kapacitách výpočetní techniky rozluštit -
obecně sdílený názor.
Česká spořitelna má vystaven certifikát u certifikační autority Verisign,
což je standardní a důvěryhodná autorita. Tento certifikát si můžete
prohlédnou i nyní, i když se nedostane přímo na obsah
https://www.servis24.cz, zobrazí se Vám stránka "Authorization required",
ale i zde je po kliknutí na zámek v pravém dolním okně IE možnost
prohlédnout si certifikát přímo.
Přístup pomocí hesla a klientského čísla je dostatečné bezpečný, pokud
klient své autentifikační údaje nikomu nesdělí. V případě že k vyzrazení
došlo je možné službu okamžitě zablokovat přes KCP.
"Odposlechnutí" hesla v zašifrované podobě a jeho následné rozluštění
nepřichází v úvahu.
Celý koncept nového S24 Internet bankingu byl postaven tak, aby nebylo nutné
používat autentizační kalkulátor, pouze pro nadlimitní transakce.
S24 Internet banking prošel bezpečnostním auditem a je z bezpečnostního
hlediska plně srovnatelný s ostatními službami internetového bankovnictví.
Za nepřístupné DEMO se Vám moc omlouvám o jeho spuštění se jedná.

V případě Vašich dalších dotazů se můžete s důvěrou obrátit opět na naši
klientskou schránku, obecné informace Vám také ochotně poskytnou jak
pracovníci na kterékoliv z našich poboček, tak i telefonní bankéři na naší
bezplatné informační lince 800 207 207, která je v provozu nepřetržitě.

S přáním pěkného dne

Pletes se tim, ze se da heslo odchytit - jakmile je prenos sifrovan, nedaji se odchyvena data dekodovat... je logicke, ze heslo se jiste odesila sifrovane...
jsem klientem eBanky - jedine co mi u nich vadi jsou vysoke poplatky...
jak to je u CSAS?

jinak jsem byl drive klientem CSAS a uz nikdy vice...

Náznak cen u S24 Internetbanking:

Za vedeni sporožirového účtu (se službou S24 IB):5Kč/měsíc
Za každý přiřazený účet k S24 IB: 10Kč/měsíc
Příkaz k úhradě do jiné banky provedený přes S24 IB: 2Kč+2Kč
Zadní, změna a zrušení trvalého příkazu / souhlas s inkasem: zdarma

Myslím, že je to velmi slušné.

Milý Lukáši. Nerad to říkám, ale jste trouba, jestli si myslíte, že se dá po síti zjistit vaše heslo, když je šifrováno 128b a posíláno přes protokol SSL.3.0. Ono totiž to 128b šifrování má za následek, že takovou šifru by výkonný počítač luštil cca 18 000 000 000 000 let!!! A k tomu ještě je dobré vědět, že protokol SSL 3.0 v určitých intervalech tuto šifru mění! To znamená, že po určitých chvílích by ten kdo toto heslo chce dešifrovat musel začít znovu!! Neříkám jaký je IB od ČS, protože jsem ho nezkoušel, ale tyto parametry znám velice dobře. A vy raději nekritizujte věci, kterým zcela evidentně nerozumíte.
S pozdravem Šrámek

Milej Sramku - mozna jsem trouba a nerozumim tomu, ale proc ostatni banky maji ke jmenu a heslu jeste certifikat (maly soubor) v pocitaci ? Kdyz teda je to tak bezpecne ????? Jinak nekritizuji jen toto, kritizuji toho vice.
Jinak dekuji za vysvetleni sifrovani SSL.

Pane Lukáši. Netuším, proč ostatní banky chtějí nějaký certifikát. Buď nedokážou udělat "internet" na vyšší úrovni šifrování, nebo se jenom podílely na vývoji těchto certifikátů a teď potřebují, aby se to zaplatilo. A věřte mi, že 128b šifrování nikdo nadešifruje a ani to nezkouší (protože kdo by to dokázal ví, že je to zbytečné). Je to na vás, aby jste si to přebral. Možná jste si všiml, že jsem napsal, že o IB u ČS opravdu moc nevím, proto jeho funkčnost vůbec nekomentuji. Chtěl jsem si původně pouze přečíst recenzi tohoto produktu, případně názory lidí, kteří s ním dělají. Vzhledem k tomu jak se stavíte k šifrování, dokážu si představit proč vám nefungují ani funkce... Prosím, přečtěte si ještě jednou návod a napište, jak jste dopadl.
Váš Šrámek

Pan Lukáš si stále myslí svoje a parametry SSL3 ho nezajímají....

Nemusím pracně ochytávat nic po síti, stačí, když někomu nainstaluju na počítač prográmek, kterej mi zachytí přihlašovací jména a hesla... Pokud mně chcete vyprávět, že se lidi budou převážně připojovat z domova, tak koukněte třeba na časy příspěvků v diskusích :-))).

Jo v podstate ani nemusim nic instalovat, protoze se muzu koukat, jak to heslo pisete.
S takovymi argumenty moc neobstojite. Bud dodrzujete sam takova bezpecnostni pravidla,
abyste pocitac, ktery pouzivate, povazoval za bezpecny, a pokud ne, nebo pokud nemate
moznost jit z takoveho pocitace, tak proste nezbyva nez nastavit limit na 0 nebo se
trast celou dobu o prachy. Ale proc nutit ostani, aby museli pouzivat slozite neco
jenom proto, ze vy mate strach to pouzit?

Jasně Vám napsali, že kalkulačku můžete používat třeba pro všechno -- když se nastavíte limit na nulu.

Zabezpečení loginem a heslem používá u nás například CitiBank, v zahraničí pak spousta bank.

A co se týče toho, jaký jste profesionál, ve spojení s certifikáty: asi moc netušíte, na co se ty certifikáty používají, že. Protože pokud vrazíte disketu se svým super certifikátem do počítače v internetové kavárně, tak je úplně jedno, že jste nějaký svůj ceritifkát měl. A pokud tohle tedy dělat nebudete, tak na svém bezpečeném počítači si klidně můžete zadávat jedno a to samé heslo do aleluja.

Když jsem si četla manuál k obsluze Internetbankingu, tak mám přece možnost měnit heslo.