Názory k článku WSPK: může konkurovat gigantům přes internet?

Celkem rád bych Internetové bankovnictví využíval. Bohužel tam udělali zbytečné překážky. Bankovní server, kam se odesílají údaje, má číselnou adresu a používá port 81, což mi proxy server nedovolí.
Stačilo by změnit adresu na normální doménu a port na 80 a běhalo by to.
Docela se divím, že banky tak propagují různá proprietální řešení. Proč nemůžou přijít s něčím jednodušším? Vyhovovala by mi i jakási "lite" verze, kde by bylo možné prohlížet zůstatek účtu + nějakou historii transakcí + eventuelně příkazy na předem schválené účty s tím, že by to bylo udělané čistě přes html se "zabezpečením" jméno + heslo (jako to má třeba ING).
Nebo třeba jednorázová hesla. Např. že na (měsíčním, 1/4 letním, ...) výpise by bylo vždy x hesel (stačilo by třeba 10 na měsíčním nebo 30 na 1/4 letním) která by se jednorázově dala použít k potvrzení transakcí. (Nic by to nestálo, volné místo na výpise na
pár slov by se vždycky našlo).
Nebo by mohli mít nějaký automat, přes který by se daly příkazy zadávat 24 hodin - prostě člověk by se přihlásil, místo karty by zasunul disketu a bylo by (něco podobného jako má Živnobanka (nazývají to samoobslužná zóna), i když ta to má vázané na platební kartu).

Nicméně za tu cenu, co si účtují na poplatcích to jde. 2 Kč za
výběr v hotovosti na přepážce snad nemá nikdo :-).

Co se týče číselných kódů vygenerovaných bankou a zaslaných poštou, tak to jste mi krásně připomněl - před dvěma lety jsme tu o tom vedli zajímavou diskusi k článku o studentském kontu Deutsche Bank(http://www.mesec.cz/clanky/studentske_konto_snu/nazory/)....

I přesto, že jsem spokojený uživatel mobilního klíče, stále si myslím, že se jedná o jednoduchý a bezpečný způsob autorizace/certifikace vhodný zejména pro určité typy klientů (dočasní klienti, méně aktivní uživatelé, chroničtí ztráceči mobilů :), atd.)...
Zdravím

Dovolím si odpovědět na některé otázky, které vyplývají z Vašeho názoru. Upozorňuji předem, že můj pohled nebude nezaujatý, protože jsem pracovníkem firmy, která internetbanking připravovala. Na druhé straně se elektronickým bankovnictvím zabývám aktivně již deset let a pokusím se zkušenosti zobecnit.
Bohužel je vždy nutné hledat kompromis a to skoro ve všech parametrech aplikace. Jsou tady hlediska, která nejsou běžně, z užívání jakéhokoliv internetbankingu vidět:

1. Právní hledisko
Nechci tady upozorňovat na standardní a notoricky známé parametry, které souvisí např. s bankovním tajemstvím.

Banka musí mít k dispozici prostředky proto, aby mohla prokázat, že platební příkaz provedla dle dispozic klienta.
Jestliže zadáváte platební příkaz, požadujete po bance provedení služby. Je zajímavé, že se nikdo nepozastavuje nad papírovými formuláři pro zadávání podpisového vzoru a každý chápe, že papírový platební příkaz musí být podle něj podepsán. Po podpisu již nelze dopisovat, přepisovat, cokoliv měnit.
Musíte vzít do úvahy i možné narušení ideálního vztahu banka -klient. Nikdo samozřejmě a priory nepředpokládá, že by se klient pokoušel podvést banku ("poslal jsem příkaz na 100 000, Vy jste převedli 10 000, já teď platím penále z prodlení..."), nebo že banka příjme pracovníka, který není spolehlivý.
Na druhé straně, pokud systém maximálně eliminuje tyto možnosti, je podstatně bezpečnější z pohledu banky, jako instituce a i z hlediska klienta.
Toto zajišťuje princip elektronického podpisu, kdy "odborně" řečeno, subjekty nesdílí tajemství. Nikdo nemůže bez znalosti Vašeho tajemství (tajného klíče) "podepsat" platební příkaz. Banka má k dispozici odpovídající znalosti (veřejný klíč), který jí umožňuje Váš podpis na platebním příkaze ověřit.
Pokud použijeme Vaše řešení - jednorázová hesla, čísla s určitým množstvím číslic apod. jsou tato hesla, číslice apod. sdílena minimálně mezi bankou a Vámi - do hry může ještě vstoupit třetí subjekt - např. ten, komu se Váš výpis dostane do ruky (minimálně listonoš). Všimněte si , prosím, jakým způsobem je distribuována platební karta. Obecně je fyzicky karta předávaná jinou cestou než PIN. Je to proto, že k výběru z bankomatu potřebujete dvě věci kartu a PIN, pokud jedno z toho nemáte, nedostanete nic.
Jestliže banka použije toto řešení - sdílení "tajemství" s klientem , snaží se ho (většinou) eliminovat formálně, různými body smlouvy o poskytování služeb elektronického bankovnictví. Klient si může každopádně myslet "oni ta čísla znají, oni je generovali, oni my je posílali ..".


2. Bezpečnostní hledisko
Bohužel, toto hledisko "znepříjemňuje" klientům práci nejvíce.

Útok na systém může být veden z několika stran. Do hry vstupuje útok na komunikační cestu z různého stupně.
Mohu se "tvářit" jako klient, mohu měnit zprávu - platební příkaz během přenosu a konečně mohu se "tvářit" jako banka, abych získal informace nutné pro zadání platebního příkazu.
Většinou je těmto útokům zamezeno kombinací různými, převážně standardizovanými, bezpečnostními technologiemi. (bezpečná autorizace spojení - certifikáty, šifrování dat na komunikačním médiu - SSL, symetrické šifrování a elektronický podpis) .
Obecně se informace o stavu na účtu nepovažuje za tak velké bezpečnostní riziko, jako posílání platebních příkazů.
Většinou do toho vstupuje ještě snaha chránit počítač klienta. Například šifrováním jeho tajemství (tajného klíče). Pak je samozřejmě nutné při podpisu zadat heslo. Heslo je nutné také zadat pokud dlouho nepracuje s aplikací a ta je přesto otevřena - syndrom roztržitého člověka.
V této souvislosti mně velice překvapila reportáž jedné nejmenované televize, ze které vyplývá, že podle jejich názoru by měla banka chránit počítač klienta před útokem typu "Trojského koně" v kombinaci se snímáním klávesnice. To samozřejmě lze udělat, ale pro klienta to znamená další práci na víc a další investici na externí zařízení (pokud budeme důslední), nebo kontrolu SMS zpráv (pokud budeme alibističtí). Pokud by byl proveden takový útok, přes standardní ochrany, na můj počítač asi bych se spíš staral o ztrátu, resp. zneužití informací na svém počítači ("trefil by mě šlak")

3. Implementace - uživatelsky přítulný

V této oblasti je nutné, aspoň podle mého názoru, přistupovat k uživatelům z pohledu uživatele, který neví nic o operačním systému, Internetu, Internetovském prohlížeči.... Jeho primární zájem je užívat bankovních služeb, které mu jsou k dispozici.

Vím, že je spousty uživatelů, kteří problematice rozumí. Vím, že jsou uživatelé, kteří používají jiný prohlížeč, než je MS IE a vůbec - já ho používám pouze protože musím, stejně jako bych radši dělal aplikace pro Linux a Javu.

Základní problém je v tom, že drtivá většina uživatelů není tak "ujetá" jako my a prostě ten Microsoft používá (se vším všudy). Druhý problém je v tom, že Microsoft přestal nové verze Javy podporovat. Třetí problém je v tom, že je stále spousty uživatelů, kteří používají pro přístup na Internet modem o rychlosti 56Kbitů/sec.
Když jsme to všechno smíchali dohromady, spolu s požadavkem na vysokou bezpečnost, vyšla nám diskutovaná platforma Active X (tu zas Microsoft pro změnu reálně podporuje až od verze Windows 98)

To, že banky propagují různá proprietální řešení vyplývá z toho, že většina používá speciální protokoly, které se od standardních "navěšených" na standardních portech (21,80..) liší. Prostě pro tyto aplikace nejsou, zatím, standardní protokoly TCP/IP dostatečně bezpečné.

Snad pohled z "třetí" strany poněkud přispěje k pochopení všech
návazností

V této oblasti je nutné, aspoň podle mého názoru, přistupovat k uživatelům z pohledu uživatele, který neví nic o operačním systému, Internetu, Internetovském prohlížeči.... Jeho primární zájem je užívat bankovních služeb, které mu jsou k dispozici.
Já si myslím, že tento přístup je z principu špatně. To je asi jako kdybych vyráběl auto, které se samo rozhodne, že řidič sice šlapal na plyn, ale myslel tím určitě brzdu a začalo by tedy brzdit, řidič by zatáčel doprava a někdy by autu přišlo, že sice točí volantem doprava, ale chce jet rovně, takže jedeme rovně. A řidičák by dostal každý, protože proč by měl uživatel mého automobilu vědět něco o tom, co je to brzda, blinkr apod. Jeho primární zájem je někam se odvézt.

Přesně tento způsob prosazuje Microsoft a ostatní se rádi přidávají. Pak do dopadá tak, že kdejaký jouda, co dostane do ruky Word a dá "Uložit jako HTML" si připadá, že je webmaster a člověk, co umí ve wizardovi odklepat "další, další, další, dokončit" si připadá jako odborník na databáze, potažmo Access. Já vím, že Vy sám jste si to nevymyslel, ale na tomto absurdním příkladu se snažím demonstrovat, že chci-li někomu dát do ruky nějaký nástroj, musí ten člověk mít alespoň základní představu, s tím hodlá zacházet a IMHO nelze vycházet z toho, že to musí spustit i ten nejdebilnější jouda a proto ostatní, kteří mají nějaké nastavení pokročilejší (firewall, jiný browser) apod. mají smůlu, protože my jsme to vyvíjeli pro joudu s MSIE, který nepoužívá žádné zabezpečení a má defaultní instalaci.

Druhý problém je v tom, že Microsoft přestal nové verze Javy podporovat.
A ještě bych rád okomentoval toto. Jednak jsou tu banky, které pro plnohodnotné multiplatformní bankovnictví vůbec žádnou Javu nepotřebují (eBanka) a hlavně - určitě je podstatně inteligentnější dát do technických podmínek Sun Javu, než dát si tam MSIE s ActiveX. Sun Javu si totiž může stáhnout a nainstalovat stylem "další, další, další, dokončit" i ten největší jouda (pro většinu platforem a zadarmo), zatímco spustit MSIE s ActiveX na Linuxu pod Amigou nedokáže rozběhat ani ten nejlepší guru a už vůbec ne zadarmo. Tohle váš management nechápe?

Mno, každý opravdu není borec. Spouštěl jsem internetovou aplikaci Živnostenské banky u paní, která se živí účetnictvím. Počítač i internet pro ni není hobby, ale nástroj pro práci, na kterém dělá právě to účetnictví. Vpodstatě je takový počítačový "jouda". Stáhl jsem Sun Javu, nastavil všechno, co počítač potřeboval (nebylo to složité, ta aplikace tam předtím běhala, jen si paní nechala po roce užívání propadnout klíč). Stejně to nešlo spustit a poradit už nedovedla ani hotline v Praze. Přijel tedy jejich člověk. Nejprve ze Sun Javy odstranil diakritiku ze slova "certifikát". Nefungovalo to. Jako další krok upravil hodiny v počítači uživatele a nastavil je podle vnitřních hodin banky. Tento krok nebyl nikde v návodu a mne ani ve snu nenapadlo, že je pravou příčinou závady! Teprve poté začala internetová aplikace fungovat. A teď mi řekněte, co to jsem za joudu, že nevím, že mi internetová banka nefunguje, když mi čas na mém počítači jde o pět minut dopředu než na počítači v bance (stalo 6.4.2004)? Odstranění závady mu trvalo necelou půlhodinu. Zároveň ale konstatoval, že to není moje chyba ani chyba u oné účetní, že jsme to vědět skutečně NEMOHLI.

Jak jsem psal na začátku. Stačila by opravdu maličkost, ta ip adresa a ten port. Myslím, že zvolení číselné adresy a jiného portu než 80 zbytečně "zadělává na problémy". Dneska, kdy ve spoustě firem jsou firewally, proxy servery a kdesi cosi, to nepovažuji za nejšťastnější řešení.
To další byly jen návrhy řešení, které jsou více, či méně vhodné, samozřejmě, všechno má své pro a proti.
Např. nějaká "lite" verze pouze s možností prohlížení udělaná v čistém html a "zabezpečená" pouze jménem + heslem (ev. ještě přístupná pouze v případě, že o to klient požádá) by byla určitě dobrá a nikoho by nepoškodila.
Ohledně těch jedorázových hesel na výpisech, to by mohlo být jenom další zabezpečení. Uživatel by se přihlásil jménem + heslem (do té "lite" verze účtu) a pokud by se rozhodl provést nějaký příkaz (zase by předem v bance schválil limity a druhy příkazů které by bylo možné zadávat), zadal by jednorázové heslo z výpisu, plus ještě třeba aktuálně vygenerované heslo, které by mu přišlo na e-mail (který by si třeba mohl přesměrovat na mobil; raději ne SMS, to už totiž stojí další peníze). Nebo by mu přišel e-mailem odkaz, na který by kliknul. Jako další zabezpečení by mohlo sloužit určité zpoždění. Prostě po tomhle všem by přišel mail s tím, že "byl zadán takový a takový příkaz" do 22.03.2004 do 17:00 ho můžete zrušit klikutím na tento odkaz (klient by si při žádosti o zřízení internetového bankovnictví zvolil délku toho zpoždění (1 den, 2 dny, .... )).
Problém je v tom, že tyto různé proprietální systémy vyřazují nebo výrazně omezují poměrně velké skupiny uživatelů.
1. ty kteří se připojují ze zaměstnání (proxy servery, firewaly, nemožnost instalovat programy)
2. ty, kteří se připojují z jiného zařízení než PC (např. dnes velmi rozšířené připojení přes PDA via GPRS).
Takže zůstávají modemisti (tady výhodu levného internetového bankovnictví stlačují telekomunikační poplatky), plus těch pár šťastlivců do má doma kabel nebo mikrovlnku.

"Když jsme to všechno smíchali dohromady, spolu s požadavkem na vysokou bezpečnost, vyšla nám diskutovaná platforma Active X (tu zas Microsoft pro změnu reálně podporuje až od verze Windows 98)"

Spojení Active X a vysoká bezbečnost mi připadá jako čirý protimluv. ActiveX jsou na straně klienta a ta je apriory nezabezpečená.