Bezpečnost + námět na vylepšení NetBanky
Dobrý den,
ve FAQ - často kladených otázkách na stránkách NetBanky se píše, že mohu používat NetBanku za určitých bezpečnostních podmínek i v internetové kavárně; dále v jedné ze svých odpovědí v této diskuzi uvádíte že: "Klient má výraznou možnost ovlivnit bezpečnost systému (správa přístupových kódů, zabezpečení počítače, apod.)".
1) Chci se zeptat, nehrozí mi "odposlouchávání" počítače a kopírování SSL a podpisového certifikátu, při jeho generování, například ze strany poskytovatele připojení (máme mikrovlnu), nebo někoho na síti? Tím nemyslím, že by se mi dostal do mého počítače, ale sledoval data, která probíhají přes jeho server. Mohu si i v internetové kavárně nechat bezpečně vygenerovat SSL a podpisový certifikát? Nedávno byl na TVNova v pořadu Občanské judo zveřejněn případ, kdy klient jedné banky přišel podobným způsobem o prostředky na svém účtě. Zabezpečení počítače mohu jistě ovlivnit, ale těžko ovlivním zabezpečení počítače v internetové kavárně a stejně tak neovlivním to, co má nainstalováno na serveru můj poskytovatel připojení. Není v proto bezpečnější generovat jednorázové platební klíče a zasílat je na vyžádání pomocí SMS?
2) Připomínky k NetBance. Jsem rád, že se stále vyvíjí a chtěl bych upozornit na to co mi v ní nejvíce chybí:
a) Větší historie platebních příkazů (minimálně jeden rok, z důvodu placení např. daně z nemovitosti, zák. pojištění...), kdo se má stále s těmi stejnými formuláři vyplňovat?
b) Při změně trvalého příkazu, možnost zadání, kromě částky, také kolonky Reference, neboť starší trvalé příkazy zřízené na pobočce tuto kolonku vyplněnou nemají, ale v náhledu příkazů je možné ji zobrazit a je bohužel prázdná.
c) V individuálním nastavení zobrazení trvalých příkazů mi chybí možnost nechat si zobrazit položku "Optimální den".
3) Tuto pro mě užitečnou diskuzi jsem objevil náhodou a určitě mnoho uživatelů NetBanky o ní neví. Chtěl bych proto navrhnout, zda by se podobná diskuze, zabývající se názory a připomínkami uživatelů NetBanky nedala založit na přihlašovacím okně do NetBanky?
ve FAQ - často kladených otázkách na stránkách NetBanky se píše, že mohu používat NetBanku za určitých bezpečnostních podmínek i v internetové kavárně; dále v jedné ze svých odpovědí v této diskuzi uvádíte že: "Klient má výraznou možnost ovlivnit bezpečnost systému (správa přístupových kódů, zabezpečení počítače, apod.)".
1) Chci se zeptat, nehrozí mi "odposlouchávání" počítače a kopírování SSL a podpisového certifikátu, při jeho generování, například ze strany poskytovatele připojení (máme mikrovlnu), nebo někoho na síti? Tím nemyslím, že by se mi dostal do mého počítače, ale sledoval data, která probíhají přes jeho server. Mohu si i v internetové kavárně nechat bezpečně vygenerovat SSL a podpisový certifikát? Nedávno byl na TVNova v pořadu Občanské judo zveřejněn případ, kdy klient jedné banky přišel podobným způsobem o prostředky na svém účtě. Zabezpečení počítače mohu jistě ovlivnit, ale těžko ovlivním zabezpečení počítače v internetové kavárně a stejně tak neovlivním to, co má nainstalováno na serveru můj poskytovatel připojení. Není v proto bezpečnější generovat jednorázové platební klíče a zasílat je na vyžádání pomocí SMS?
2) Připomínky k NetBance. Jsem rád, že se stále vyvíjí a chtěl bych upozornit na to co mi v ní nejvíce chybí:
a) Větší historie platebních příkazů (minimálně jeden rok, z důvodu placení např. daně z nemovitosti, zák. pojištění...), kdo se má stále s těmi stejnými formuláři vyplňovat?
b) Při změně trvalého příkazu, možnost zadání, kromě částky, také kolonky Reference, neboť starší trvalé příkazy zřízené na pobočce tuto kolonku vyplněnou nemají, ale v náhledu příkazů je možné ji zobrazit a je bohužel prázdná.
c) V individuálním nastavení zobrazení trvalých příkazů mi chybí možnost nechat si zobrazit položku "Optimální den".
3) Tuto pro mě užitečnou diskuzi jsem objevil náhodou a určitě mnoho uživatelů NetBanky o ní neví. Chtěl bych proto navrhnout, zda by se podobná diskuze, zabývající se názory a připomínkami uživatelů NetBanky nedala založit na přihlašovacím okně do NetBanky?
23. 3. 2004 22:56
Odpověď
Dobrý den,
děkujeme Vám za zaslání připomínek k NetBance. Veškeré náměty uživatelů jsou pro nás velmi hodnotné a jsou používány pro další rozvoj služeb. Možnost zřízení diskuse pro uživatele na stránkách www.netbanka.cz určitě zvážíme. V každém případě veškeré dotazy na téma NetBanka rádi zodpovíme již nyní na e-mailové adrese helpdesk@zivnobanka.cz.
Komunikace mezi bankovním serverem a počítačem klienta je šifrovaná (využívá se HTTPS protokol a autentizace serveru i klienta). V případě zachytávání komunikace třetí stranou bude tato komunikace nesrozumitelná a pro potenciálního útočníkova je taková komunikace bez znalosti šifrovacích klíčů nepoužitelná. Provoz NetBanky v Internetové kavárně s sebou nese určitá rizika, ale při dodržení určitých pravidel při práci s certifikáty je bezpečný. Nevýhodou je, že uživatel neví v jakém stavu konkrétní počítač je a zda již neobsahuje nějaký neautorizovaný software, který umožní zachytávat hesla, apod. Z toho důvodu bych nedoporučoval podstupovat proces generování certifikátů na zcela neznámém počítači. Generování jednorázových klíčů pro autorizaci je odlišná koncepce zabezpečení, která má samozřejmě jak své výhody, tak i nevýhody a nelze jednoznačně říci, který způsob je bezpečnější.
děkujeme Vám za zaslání připomínek k NetBance. Veškeré náměty uživatelů jsou pro nás velmi hodnotné a jsou používány pro další rozvoj služeb. Možnost zřízení diskuse pro uživatele na stránkách www.netbanka.cz určitě zvážíme. V každém případě veškeré dotazy na téma NetBanka rádi zodpovíme již nyní na e-mailové adrese helpdesk@zivnobanka.cz.
Komunikace mezi bankovním serverem a počítačem klienta je šifrovaná (využívá se HTTPS protokol a autentizace serveru i klienta). V případě zachytávání komunikace třetí stranou bude tato komunikace nesrozumitelná a pro potenciálního útočníkova je taková komunikace bez znalosti šifrovacích klíčů nepoužitelná. Provoz NetBanky v Internetové kavárně s sebou nese určitá rizika, ale při dodržení určitých pravidel při práci s certifikáty je bezpečný. Nevýhodou je, že uživatel neví v jakém stavu konkrétní počítač je a zda již neobsahuje nějaký neautorizovaný software, který umožní zachytávat hesla, apod. Z toho důvodu bych nedoporučoval podstupovat proces generování certifikátů na zcela neznámém počítači. Generování jednorázových klíčů pro autorizaci je odlišná koncepce zabezpečení, která má samozřejmě jak své výhody, tak i nevýhody a nelze jednoznačně říci, který způsob je bezpečnější.
Jan Smítek
(Poradce pro přímé bankovnictví)
Mohlo by vás zajímat
-
Máslo za dvacku, cigarety za třicet. Vzpomenete si, za kolik jste nakupovali v půlce 90tek?
-
O vyšší příspěvek na bydlení lze žádat jen do konce července. Jak doložit příjmy a náklady na bydlení online?
-
Učitel tvrdil, že žáka neuhodil, soudy mu ale nedaly šanci žáka vyslechnout. Zasáhl Nejvyšší soud
-
Úspěch s první hromadnou žalobou: Soud přiznal nárok na 1,6 mil. Kč. Jak vám může hromadné řízení pomoci?
ČLÁNKY DO MAILU