Názory k článku Čím a proti čemu se brání Česká spořitelna?
-
Karton (neregistrovaný)Svoje vstupní údaje vkládám přesunutím z programu KeePass Pasword Safe; ty se na krátkou dobu objeví ve schránce a pak zmizí. Žádnou klávesnici tedy nepoužívám. Avšak i když někdo zjistí mé heslo, nemůže mi z účtu nic vzít, vzhledem k potřebě autorizačního čísla, který mi pošlou na mobil. Protože mám stále stejnou SIM kartu, nemusím chodit do ČS vůbec. Nejhorší je, když někdo zjistí uživatelské číslo; když je to vtipálek, může mi trojím vložením špatného hesla zablokovat účet. Potom ovšem musím jít do ČS, ale to se mi ještě nestalo. Jednou, když jsem naletěl na první phishing, který se tehdy vyskytl jsemsi takto zablokoval účet sám.
-
"Z minulosti jsou ale ze zahraničí známé i útoky proti tomuto systému, škodlivý kód ve standardním zobrazení sleduje danou oblast prohlížeče, zachytává klepnutí myší a podle souřadnic je schopen v některých případech přesně odhadnout stisknuté grafické klávesy."
"v některých případech přesně odhadnout"?
Jednoduše se udělá screenshot malé části kolem každého klepnutí myší.
Grafické klávesnice jsou myslím, jako zabezpečení, už dávno minulostí, a nechápu, že jsou tak prezentovány (natož na Lupě, nebo v bankách, kde se dá čekat minimální znalost problematiky). -
Obyvatel (neregistrovaný)Me certifikat (na disku) vyhovuje vice nez nejake obtezovani se SMS a telefonky. Objednal jsem si totiz internetove a ne GSM bankovnictvi. Ta Java je sice opruz, ale krom toho ze se musi pravidelne aktualizovat jelikoz je to stale derave jak reseto (zlaty Microsoft proti tomu), to prilis nevadi.
Proc ? Protoze je to moc jednoduche. A banka by nemohla "objasnovat" neustale zdrazovani poplatku "lepsim" zabezpecenim. -
anonymníMám "kalkulačku" od spořky a chtěl bych vidět, jak mi vysajete účet.
I kdyby byl klient kdovíjaký debil, nedokážu si představit phishing, kde by psali:
Drahoušek klient!
V rámci testování našich služeb naťukejte pin do kalkulačky, autorizujte se do bankovnictví, zadejte "převod na účet", naše údaje jsou: částka 500 000,-, účet číslo XXXX/XX, totéž zadejte do kalkulačky, přepište autorizační kód, klikněte na ok.
Testovací platba vám bude po otestování vrácena. -
Lukas Nevosad (neregistrovaný)No, kdyz jsem poprve videl Servis 24, tak jsem jen cekal, jak dlouho to bude trvat, nez to zlaka zlodeje.
Zabezpecit bankovni aplikaci kombinaci login / heslo a jeste ve webovem prohlizeci, to je proste opravdu malo. Takze z meho pohledu se konecne sporka rozhoupala a postupne se dostava na normalni uroven.
Z teorie je nejbezpecnejsi system ten, ktery delala eBanka (cest jeji pamatce) a nyni prevzalo eKonto RB. A to sice zasilat zabezpecenou autorizacni SMS, tedy takovou, k jejiz precteni je zapotrebi heslo. Mimochodem je to i nejpohodlnejsi zpusob, protoze jedine co si potrebuji pamatovat je me rodne cislo a 4mistny PIN. -
pavsyk (neregistrovaný)IMHO, docela dobrým řešením by mohlo být něco na principu password cards od SAVERNOVA ( http://en.savernova.com/ ). Je to bezpečné skoro jako jednorázové heslo, dá se použít i na telefonní bankovnictví, není to (IMHO) zas až tak nepohodlné.
Jinak přes všechny výhrady, které k Servisu24 od ČS mám (a není jich málo), tu změnu čísla mobilu na pobočce bych jim nevyčítal. -
****** (neregistrovaný)Screenshoty by možná ani nebyly potřeba, neboť všechny klávesy mají určitou relativní pozici vůči tlačítku ODESLAT. Kdyby tlačítko bylo velké, tak by to jednoduše určit nešlo. Ale ono není a myslím, že možností by nakonec nebylo tolik, takže ve finále stačí posílat pouze X a Y hodnoty :-)
PS: metoda potichu předpokládá, že uživatel klikne na ODESLAT myší a tím celou předanou hodnotu opatření odvaří :-) -
Jen tak pro zajímavost, co jsem vygooglil:
dal jsem "the best keyloger"
První odkaz: "http://www.supremtec.com/"
"
You can even configure it to take a screenshot on every mouse click and "Enter" key so you won't miss any event.
"
To je funkce, o které jsem mluvil, když má člověk na daném stroji keyloger, má k němu přístup, a není problém nainstalovat trojského koně, kterým přímo vidím jeho obrazovku, hýbu myší, vidím, co má ve schránce a vidím kam kliká.
Takže grafická klávesnice není zabezpečení. To je jen funkční vychytávka pro případy, když někdo nemá klávesnici a má pouze myš.
Zabezpečení je ověřování přes nezávislý zdroj (minimálně SMS na mobil, "klíčenka" od mBanky). Pokud má člověk na disku (na flash-disku...) svůj privátní klíč a podepisu jím, tak k němu má útočník (v případě trojanu) fyzicky samozřejmě taky přístup.
Prostě je třeba při zabezpečení uvažovat, a ne nabízet grafické klávesnice, které fungovaly proti keylogerům možná tak před 10 lety, teď jsou už ale naprosto nanic, protože každý pořádný keyloger umí snímat okolí myši... -
njn (neregistrovaný)Ale na bezpečný token žádná aplikace přístup nemá - jde vůči němu jen ověřovat, získat privátní klíč jednoduchým způsobem nelze.
Samozřejmě jde mít antibezpečný token, ale pak takový nekupovat a koukat na recenze a před koupí hledat ve vyhledávači, jestli na něm není nějakej známej bezpečnostní problém.
Btw, velmi bych se vyhýbal bezdrátovým myším a klávesnicím. Většina vůbec nemá přenos šifrovanej (přitom se o tom vůbec nemluví a neschopný firmy takovej šmejd vesele prodávaj dál v tisících), takže keylog si vesele taky může mít soused za zdí... -
anonymníjj, oni tu sms umi posilat i jako open (netreba toolkit) a moc to IMO bezpecnost nesnizuje, protoze pro jakoukoli akci je treba mit u sebe mobi, na ktery prijde autorizacni kod + vedit prislusnej pin.
Pravdepodobnost ze by nekdo ziskal obe je miziva (a bez toho mobilu si samo mobil kam to posilat nezmeni).
=> jednoduche a efektivni. Kdyz nekde vidim prihlasovani jmeno+heslo ... -
Otázka je, jestli když už mám přístup k tomu systému, rovnou není lepší nabourat komunikaci mezi bankovní aplikací a tím tokenem (aby se aplikaci pokaždé vracelo, že je vše vpořádku, to by ale šlo asi jen kdyby banka nepoužila klasickou asymetrickou kryptografii a něco udělala špatně (a že se to dějě celkem často...)).
Ohledně bezdrátové klávesnice máš pravdu (myš mám bezdrátovou, protože kablík omezuje a riziko je oproti klávesnici minimální (nevyťukávám hesla na grafické klávesnici :) ...)), taky mám raději klávesnici připojenou kabelem, a stejná rada platí i pro připojení přes WiFi, kde už jde poslouchat celý počítač. -
Wulf (neregistrovaný)"Pokud vám někdo přišel na heslo, tak stačilo aby si přesměroval zasílaní autorizačního čísla na svůj mobil (což ještě před 14 dny spořka umožňovala) a pak už mu nic nebránilo vám vysát účet."
Kec.
Ve chvíli, kdy se to pokusil přesměrovat na svůj mobil, byl bych o tom informován i na svém mobilu, a měl bych tuhle zimu dvanáct, od jara 24 hodin na to, abych zavolal do spořky (ani bych tam nemusel chodit) a zastavil ho.
Vím, jak to funguje, protože jsem změnu čísla autorizačního mobilu absolvoval. -
speedkilometer (neregistrovaný)No a? Trocha te logiky by neuskodilo. Vsechno lze zakazat. Lze dokonce zmenit banku. Lze zmenit manzelku. Lze spachat sebevrazdu. Ale jedine pres telebanking nebo na prepazce si napriklad zvednete limity u karet. I kdyz mate autentizacni kalkulator. I kdyz mate limity na 0.
-
Maaartin (neregistrovaný)Tvuj certifikat na disku neni bezpecnejsi nez tvuj pocitac. Kdyz si ho zas*, pardon zavirujes, tak tvuj bezpecny microsofti produkt odesle utocnikovi klidne i certifikat. Rekl bych ze certifat nenabizi skoro zadnou dodatecnou bezpecnost.
Oproti tomu vytahnout papirek s TAN ze srajtofle, opsat 6 cislic je opravdu bezpecne - pomineme-li pouziti nasili, riziko 3:1000000 (mas 3 pokusy) a pripad kdy nekdo ukradne soucasne ten papir i heslo do bankovnicti. A je to skoro i pohodlnejsi. -
pap (neregistrovaný)Autentizační kalkulátor používám již od začátku nabídky možnosti ovládat účet přes net, tehdy to ještě nebyl servis 24,a pro zadávání hesel a úschovu používám KeyWallet, nevím jestli jede pod Vistou ale pod XP ano, vřele doporučuji (KeePass je taky špica, navíc jsou oba free a czech lang)
-
polygon (neregistrovaný)Není moc rozdíl mezi windows aplikací a webovou aplikací. Jen v tom, že webová aplikace se snadněji updatuje. A certifikát je docela OK, ale je to statická záležitost, která se mění tak jednou za rok. Nejlepší zabezpečení je vždycky kombinace různých prvků. Tzn jméno+heslo, certifikát, kalkulačka a pro větší transakce ještě autorizační sms.
-
speedkilometer (neregistrovaný)a) Nekdo by si konecne mel posvitit na telefonicke bankovnictvi. System je naprosto tragicky. Pokud si zloduch da tu namahu a nainstaluje nekde ve vetsim panelaku odposlech, bude mit behem mesice vsechny potrebne udaje pro vysati uctu poloviny mistnich uzivatelu telebankingu. A to vubec nemluvim o VOIP. Kdyz jsem si pred odjezdem na dovolenou zvysoval limity na kartach, musel jsem rict do telefonu vsechna cisla karet, rodne cislo, klientske cislo atd. Naprosto _B_R_U_T_A_L_N_I_ !!!
b) Vubec bych se nedivil, kdyby za propagandou ohledne "utoku" na internetove bankovnictvi stala sama banka. Zatimco telefonicke bankovnictvi nevyzaduje zadne dalsi investice, internetove zere zdroje docela razantne, pritom telefunujici matka dvou deti stoji rozhodne mene nez IT picicmundove. -
Pouzivaji to skoro vsechny nemecke banky, neobtezuje to uzivatele certifikaty (jako u KoBa, kde je treba instalovat tuny Javy, ktera obcas nekde funguje, jinde ne) nebo kalkulackami? Uzivatel ma papir s TANy, kdyz dojdou, banka posle nove, ktere se bud musi aktivovat (s pouzitim TANU ze stareho seznamu), nebo nemusi (trosku min bezpecne, to je ale dano nemeckym proistredim, obyc. postou v oddelenych zasilkach se posilaji i platebni karty a PINy k nim) -
To je ale nepohodlné. Vyžaduje to restart PC a při zadávání transakcí nemůžu vkládat čísla z jiného zdroje (nebo je naopak dávat do účetnictví).
To máš stejně jako s platebními kartami. Kdyby nebylo možné platit jednoduše přečtením údajů na nich vytištěných, tak se nikdy neprosadí.
Jde o to nastavit rozumný poměr mezi rizikem a uživatelským komfortem s tím, že za případné ztráty bude ručit banka. -
anonymníPokud někdo nemá strach používat systémy Spořitelny, tak dobře mu tak, když díky tomu přijde o peníze. Stačí se podívat na jejich zabezpečení a na smluvní podmínky s tím spojené a je jasné.
A to nemluvím o častých pádech jejich možných systémů, čímž vznikají další bezpečnostní rizika a to dosti velká. -
Blažená nevědomost...
Pokud vám někdo přišel na heslo, tak stačilo aby si přesměroval zasílaní autorizačního čísla na svůj mobil (což ještě před 14 dny spořka umožňovala) a pak už mu nic nebránilo vám vysát účet. V jste sice dostal SMSku, že teď se autorizační čísla posílají na jiný mobil, ale to vám bylo prd platné, protože tou dobou už jste byl bez peněz.
Ale jo, pokud to používáte tak fajn. Ono se vám pravděpodobně s účtem nikdy nic nestane. Pravděpodobně. Jenom vám doporučuji nezjišťovat si nic o bezpečnosti, protože jinak budete mít velmi neklidné spaní. -
anonymníTak to bych jim vyčítal. Vracejí se do pravěku. Stačí vést komunikaci pro změnu čísla mobilu na autorizační SMS na jiném než internetovém kanálu - telebanking nebo kuminikace s mobilem. Když je člověk 5 let v zahraničí, tak se mu blbě dochází do pobočky. Možná mám málo informací, ale zatím asi nehrozí, aby se sfalšovala SMS z mobilu do banky. Prostě stačí pro senzitovní operace požívat vždy 2 odlišné kanály komunikace a jeden z nich nemusí být fyzický kontakt. Myslím, že Spořka je jen pohodlná a není zrovna ¨technologicky moc vpředu, to je vše.