Já v netovém bankovnictví používám pro vstup uživatelské jméno (číselné) + heslo. V počítači mám nahrán certifikát, který lze vymazat, dát na jiný počítač a má omezenou dobu platnosti. Dostanu se na stav účtu, prohlížím obraty, příkazy zadané a budoucí atp. Pokud chci zadat jakoukoliv platbu, musím operaci podepsat heslem a aplikace si naavíc ověřuje další, podpisový certifikát uložený na přenosném mediu, opět časově omezený. Doufám, že je to bezpečné, za ta léta jsem neměl jediný problém. Abych si musel kupovat od banky kalkulátor, mi nepřipadá moc výhodné. Možná pro podnikatele a firmy, ale pro běžného uživatele, který tam nemusí taky třeba půl roku lézt?
Nyní mne jen naprdli, když jsem chtěl změnit trvalák u pojistek vedených u České pojišťovny, která mění kód banky. Samotný kód banky v trvaláku nejde měnit, dá se měnit jen částka a datum funkčnosti trvaláku. Takže zrušit celý trvalák a založit nový, což umožňuje, abych se někde spletl.
Ono je teoreticky dostatečně bezpečné i uživatelské jméno, a heslo, pokud je dostatečně dlouhé (několik desítek znaků), počítač je 100% důvěryhodný a celá komunikace se přenáší přes bezpečně zašifrovyný kanál.
Všechny "vyšší úrovně zabezpečení" jsou tu jen proto, že počítače nejsou důvěryhodné a že uživatelé volí slabá hesla.
Ve vašem případě existuje teoretická možnost instalace podvržené podepisující aplikace (úprava webového prohlížeče, který by akceptoval neplatné certifikáty, úprava podepisovače, aby podepsal transakci na jiné číslo účtu, než se zobrazuje).
Pokud je certifikát opakovatelně použitelný, pak existuje i jednodušší možnost odposlechnutí hesla nainstalovanou podvrženou aplikací a nepřátelské zkopírování certifikátu z přenosného média v době jeho vložení.
Většina takových tokenů je nastavena tak, že privátní část certifikátu nemůže nikdy opustit token. Takže nelze. Nicméně zbývá možnost útoku na komunikaci s tokenem v době, kdy je zasunutý - podvržení jiných dat k podepsání, odposlechnutí PIN a podepsání podvrženého příkazu.
Proto například kartové společnosti autorizují jen transakce provedené na čtečce třídy 3 (s klávesnicí na zadání PIN, displejem na zobrazení podepisovaných dat, s bezpečně aktualizovatelným firmwarem, zapečetěnou krabicí a certifikací EMV). Pak lze bez rizika provést přímou platbu kreditní kartou třeba v internetové kavárně.
Ještě je důležité správně si ohodnotit sebe sama. Když někomu chodí na účet patnáct nebo dvacettisíc měsíčně a on je stihne úspěšně všechny rozfofrovat, tak by se ani nikomu nemohlo vyplatit, aby se zabýval prolomením sebejednoduššího zabezpečení.
Ovšem to typický útočník neví. Ten vyšle do světa podvodnou aplikaci útočící na konkrétní slabá místa internetového bankovnictví konkrétních bank a na nepozornost uživatele. A pak už jen čeká, až se někdo nachytá a na podvržených účtech se objeví peníze. Ti chytřejší dokonce záměrně odčerpávají nižší částky - transakce je méně podezřelá, a někteří si toho vůbec nevšimnou (třeba proto, že nečtou výpisy).
Na druhou stranu, k čemu je bezpečné internetové bankovnictví v době, kdy vám může kdokoliv vybílit např. účet v ČS přes sběrný box (limit 2,5násobný oproti internetovému bankovnictví, podpis je možné připravit předem, majitel účtu nemá možnost tento nezabezpečený kanál zablokovat) nebo jen s číslem debetní karty a třímístným CVC (na což stačí skrytá kamera, když s ní někde platíte).
No, já právě pro takovéto časté sviňárny ze strany České spořitelny od nich odešel a nelituji. To víte, zisk je zisk a aby se spořitelna mohla stále capit neustále rostoucím dvojciferným ziskem, tak pro to musí něco udělat. A jelikož už nestačí poplatky, které si lidé mohou na netu zjistit a porovnat s jinými bankami, tak musí dělat takovéto podpásovky s tím, že když zavádí nějaký nový produkt nebo inovují, naslibují lidem de facto lži, protože vědí, že poplatek bude záhy zaveden. Mne takto třeba vyjebali s kontokorentem ke sporožiru - jen si ho sjednejte, nic vás to stát nebude. Po čase nevyužívání KTK se objevila na výpise položka. Domnívám se, že poplatek za KTK mohl být aplikován při využívání KTK (i když by teoreticky měl stačít nehorázný úrok).
Skoro 20 let po převratu, a nemáme tu zákony na ochranu spotřebitele, protože slibovaný trh nic vyřešit nedokáže. Mělo by platit, že pro jakoukoliv změnu po podpisu smluvního vztahu (poplatky, nemožnost splatit úvěr dřív nebo jeho sankcionování) by byl nutný souhlas obou stran. Informace o "úpravě" poplatků někde na výpise není průkazné a konkrétní - vyžaduje vždy návštěvu pobočky, kde vás psychologicky zpracují ke koupi dalšího nového supervýhodného produktu. A o změně podmínek vás neiformuje nikdo ani odkazem na výpise, ani to snad nenaleznete na netu.
Proto ještě jednou: PRYČ Z ČS !!!!!!!!!!!!!!!!!!!!!!!
Soráč, můj příspěvek měl být ke článku Rychlé služby pod taktovkou České spořitelny, kde JK dnes v 15:20 uvedl: "Ovšem pokud klienty banka naláká na svůj produkt vychvalováním určitých vlastností (např. možnost mimořádných splátek bez sankcí), které bez upozornění(!) záhy změní, tak je to u mě podraz. Svinstvo atd. samozřejmě taky." http://www.mesec.cz/clanky/rychle-sluzby-pod-taktovkou-ceske-sporitelny/nazory/vse/
Ale tady může být příspěvek snad taky.
Je to už několik let zpátky, takže si nepamatuji detaily. Tohle mě na ČS taky vadilo, takže jsem chtěl sběrný box zrušit. Pracovnice mi sdělila, že to nelze, ale jako částečné řešení mi navrhla, že k provedení příkazu přes sběrný box je potřeba má občanka a to lze jedině tak, že ten příkaz předám pracovnici na přepážce, která tu občanku chce vidět. Takže asi tak, doufám, že to tak platí a neplácám kravinu.
ČS sběrné boxy zavedla jako novinku před několika málo lety a nevím, zda ji některé banky v tomto směru neokopírovaly a také nevím, zda boxy ještě provozují. Boxy byly zavedeny jako levnější alternativa zpracování příkazu na přepážce po zavedení nehorázně vysokého poplatku za zpracování příkazu k platbě na přepážce. I když další postup zpracování příkazu je naprosto stejný jako u příkazu předaného na přepážce. Tzn., že někde je cena služby značně zdeformována.
I když je pro spořitelnu typické, že něco zavedou, zachvíli to zruší - a naopak, tak nevím, jestli by na Vás dali, a boxy zrušili a lidi zase odbavovali na přepážce. Pokud totiž drobný klient má v průměru 1-2 příkazy měsíčně mimo SIPO nebo trvaláky, tak se mu internet nevyyplatí (pokud jej nemá ještě pro jiné účely či k němu nemá přístup v práci). Na druhou stranu spořitelna pociťuje nedostatek klientů na přepážkách, aby jim mohla vnucovat své nové výhodné superprodukty. A na telefonickou nabídku či na internetu klienti patřičně nereagují.
Pokud předáváte příkaz mimo box na přepážce, tak takový příkaz stojí několik desítek korun, nemáte-li ovšem s pracovnicí na přepážce nějaké nadstandardní vztahy, že by vám poplatek vystornovala.
Znám i několik případů, kdy spořitelna (ale může jít klidně i o jiný ústav) klientovi odúčtovala neoprávněně nějaké prostředky za příkaz nebo výběr. Dle vyjádření ČS byly transakce opravněné, protože u nich byly zaznamenány občanky. Bohužel, podle garafologů nesouhlasily podpisy a občanky má ústav v databázi, tak je tam klidně může dopsat, aniž by skutečné občanky viděl. A pak skutečně záleží na tom grafologovi, zda podpis na dokladu uzná za váš pravý či nikoliv. Ale už jsem bohužel zažil i to, že než aby ČS musela klientovi hradit škodu, tak nedala na závěry vyšetřování policie a nechala si udělat na své náklady (nebo spíše na náklady svých klientů) analýzu, kde samozřejmě vina byla na klientovi.
Pokud je to přenosné médium jen flash disk, tak lze, pokud bude PC kompromitováno trojským koněm, ten může klíče unést a vyzradit. Pokud je to token (čipová karta apod), tak je to hodně bezpečné.
Vcera jsem v tyhle souvislosti cetl o avg.centrum.cz - je to komercni antivirak i antispyware na pul roku zdarma, kdyz si date hp centrum.cz. to de ne?
Ano ... ale za jakou cenu ? Absolutni nepohodli. Autentizacni kalkulator je idealni zabezpeceni. Ovsem pouze pro jednoduche platebni prikazy. V pripade vetsiho mnozstvi udaju, ktere je treba dostat do banky je jakakoli podobna metoda prakticky nepouzitelna. Urcita mira duveryhodnosti pristroje, ktery prevadi vasi vuli do nul a jednicek, je nutna. Otazka je, zda ji lze dosahnout.
Pinpad může být pohodlný. Jak výše uvedl "Standa" potřebujeme čtečku třídy 3, ale bankovní web aplikace např. přes javu na kliknutí musí umět přes USB přehrát vloženou transakci do autentizačního (autorizačního) kalkulátoru. Na jeho displeji zkontrolujeme jestli nedošlo ke změnám oproti zadání na PC a pomocí PIN na něm platební údaje autorizujeme a odešleme zpět autorizační kód. Já vím nejpohodlnější je pokud ty platby někdo za nás provede :-) . PC není všeobecně důvěryhodný hardvare.
Iron. rypnutí: Co takhle zalat přikaz k ůhradě FAX-em ?
Aby se mi zlodej dostal k uctu (aktivni transakce), tak by mi musel ukrast jmeno a heslo, ukrast z penezenky SIM kartu a uhadnout jeji PIN a to vse tak rychle a nepozorovane a ve spravnou hodinu, abych nestihl bankovnictvi zablokovat a zrusit zadane transakce. Budete se divit, ale spim docela klidne, i kdyz je to bankovnictvi u jedne velke banky, na kterou je moderni nadavat.