Vlákno názorů k článku Jak je to s bezpečností internetového bankovnictví? od Karel Kocourek - "Identita banky je ověřována certifikátem, který vydává nezávislá...

"Identita banky je ověřována certifikátem, který vydává nezávislá instituce (nejčastěji VeriSign nebo I.CA). Klient tak má jistotu, že..." Zajimave, ze tahle cast zabezpeceni se vetsinou prejde nejakou kratkou zminkou, ale pritom ktery zakaznik skutecne zkouma cely strom certifikatu a jak se mu v ulozisti nejaky VeriSign nebo I.CA vubec objevily? Cela tahle vec muze fungovat, pokud se mezi sebou bavi dva administratori, ale Bezny Franta Uzivatel musi byt totalne mimo. Jedine rozumne reseni je prenos jednorazovych hesel nezavislym kanalem na potvrzovani uplne vseho.

No, tak třeba já strom CA nezkoumám, protože nemám smlouvu s firmou Verisign, tato firma nemá vůči mně žádnou odpovědnost, nokdy jsem nikoho z této firmy neviděl a vlastně ani nevím, zda vůbec existuje. Zkoumám pouze certifikát banky, kdo ho vydal je pro mě nepodstatné. Nastává problém, když se certifikát změní (což se stalo jednou). Pak volám na infolinku banky a chci vědět hash jejich certifikátu. Jistě už tušíte, jak jsem pochodil. Ani po několika desítkách minut mi ho nikdo neřekl. Nejlepší byla informátorka, která mi říkala, že když se připojuji na adresu ibs.rb.cz, tak že to jsou ty správné stránky internetového bankovnictví a že je tedy všechno v pořádku :-).

Hezká myšlenka, ale jak známo, hezké myšlenky jsou cestou do pekla. Už vidím uživatele, který nedůvěřuje VeriSignu a dokáže sám řešit problematiku hesel do 10 bank kde má účty, pokud uživatel bude jeětě ke všemu účetním v organizaci a organizace bude využívat elektronické bankovnictví tak to bude znamenat velice rychle ne desítky či stovky ale nejméně tisíce hesel. Hesla jsou dnes všude, ne jen v bankovnictví.
Kromě toho je to stejné, jako když policie by nevěřila občanským průkazům nebo cizinecká policie pasům.
Každý doklad (papírový nebo elektronický) někdo vydal. A je na uživateli aby si vybral čemu bude věřit.
Myslím si, že vybudování trezoru, ve kterém má kterákoli banka schovaný svůj privátní klíč k certifikátu svého webového serveru (na kterém provozuje elektronické bankovnictví) stálo banku něco v řádech desítek milonů Kč (náklady na fyzickou stavbu a zabezpečení jak mechanické tak elektronické).
I tak jistě existuje možnost jeho zcizení nebo zničení. Ale pokud budete takto paranoidní, tak kam své peníze dáte?
Do banky kterou pochopitelně někdo můžew vykrást nebo do do slamníku doma? Ten Vám mohou ukradnout taky, a jistě s menší námahou.
Když Vám někdo ukradne plnou peněženku tak nemáte smůlu, je to z velké části Vaše blbost. Když někdo provozuje elektronické bankovnictví na počítači s Windows 95 nebo 98 a k tomu používá banku, která mu pro aktivní transakce dá jméno a heslo, tak se nemůže divit, že má velmi brzo účet vytunelovaný.
Jsem toho názorum, že za blbost se musí platit - a nejléppe hodně tvrdě.

Dotaz? Kdyz mam W98 tak si o nejakem zabezpeceni nechat zdat? (Btw.pouzivam sms klic na potvrzovani transakci,takze maximalne nekdo u´vidi ty nuly na mych uctech,haha)
Rich

Vždyť je to celé jenom obrovská bublina. Už jenom to, že v browseru máš hromadu důvěryhodných certifikačních autorit, znamená že zrovna tohle je obrovská díra. POkud je site zabezpečena certifikátem, který browser vyhodnotí jako podepsaný důvěryhodnou autoritou, tak vše projde bez jakéhokoliv upozornění. Jak budu tedy chráněn pokud mi útočník třeba pishingem donutí víceméně nevědomky a bez souvilsostí s nějakou bankou naimportovat další (útočníkovu) certifikační autoritu. Když mi pak klasicky změní hosts soubor, tak pak neexistuje nic, čeho bych si mohl všimnout při přístupu na totálně podvrženou stránku. Pak je adresní řádek OK, certifikát je taky úplně OK.....

> Kromě toho je to stejné, jako když policie by nevěřila občanským průkazům nebo cizinecká policie pasům

No to je tak, že bys předával peníze kurýrovi, jehož totožnost by ověřila nějaká policie, ale těch by bylo tolik, že by si se v těch jejich uniformách vlastně vůbec nevyznal a tak bys ty peníze v klidu dal podvodníkovi, kterého by ověřil další podvodník vydávájící se za policistu protože byl oblečenej do nějaké uniformy s vejložkama.....

K jednorazovym heslum - Velky podnik pochopitelne dava platebni prikazy davkove v navaznosti na svuj informacni system, takze by to te ucetni taky tak zcela nemuselo vadit, a krome toho ma administratora, na ktereho se ta ucetni obrati a on posoudi bezpecnost a vyvodi patricne kroky.
Co se tyce mne jako drobneho stradatele :-) spokojuji se s prohlednutim stromu a duveruji ze pri instalaci MSIE byly korenove certifikaty dulezitych autorit nepodvrzene. Jako admin ve firme bych se pidil v bance po overeni hashe nezavislym kanalem (coz je bohuzel tristni zazitek, to vetsina lidi, kteri to zkusili, potvrdi), ale v opravdu velke firme to vypada tak, ze prijedou lidi z banky a obtezuji se predat svoje certifikaty osobne.
Vas nazor, ze za blbost se musi platit, to je ovsem ucinena esence socialniho darwinismu. V podstate ale mate pravdu. V jiste zemi, kde pravnici berou hromadne zaloby za podil na zisku, by za blbost platila ta banka :-) Protoze zakaznici si objednali od banky bezpecne elektronicke bankovnictvi a je starosti banky, aby bylo bezpecne i navzdory diletantismu uzivatelu.