Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od Jan Elznic - Jestli něco vážně krajně nesnáším, tak jsou to...
-
Jestli něco vážně krajně nesnáším, tak jsou to číselná klientská čísla u bank pro přihlášení k bankovnictví. Kdo si to má sakra pořád pamatovat?! Uživatelské jméno, nebo ještě lépe email, který navíc bývá unikátní, si snadno zapamatujete, číslo o hodně cifrách těžko. Navíc jsem nucený si ho takto někam poznamenat, čímž zvyšuji riziko jeho zcizení.
Co mě také dokáže řádně vytočit, je zablokování účtu po třikrát špatně zadaném hesle. Navíc když máte jako uživatelské jméno číslo, může se vám takto snadno zablokovat účet kdokoliv. Často je potřeba pak osobně navštívit pobočku, protože náhradní bezpečnostní kódy nebo jiná hesla většinou po ruce nemáte nebo o nich ani v horším případě nevíte. Vždyť kdo má všecka ta čísla pořád někde skladovat?! Nemluvě o tom, že návštěva pobočky stojí náklady i banku - pracovníky někdo platit musí.
Pěkný expert na tyhle problémy je např. Česká Spořitelna se svým Servisem 24. Přijde mi, že banky házejí klientům i sobě úplně zbytečně klacky pod nohy.
-
Předem se omlouvám za poněkud delší reakci :-).
Bavíme se třeba o České Spořitelně, dobře. Tak tedy když bychom si rolbou shrnuli všechna ta čísla, tak:
- číslo svého účtu
- jednorázový kód pro mobilní bankovnictví
- PIN pro mobilní banku
- bezpečnostní kód z protokolu (který se mění při skoro každé návštěvě pobočky a vygenerování protokolu nového)
- klientské číslo
- přihlašovací heslo pro Servis24
- čtyřmístné bezpečnostní heslo pro komunikaci s operátorem
- PIN pro platební kartu
- číslo karty a datum její expirace pro možnost platit přes internetNemluvě o extra dlouhých IBAN a BIC/SWIFT variantách pro odesílání či přijímání plateb ze zahraničí.
To máme k uchování útctyhodných 12 číselných či písmenných formátu, které si nemohu nastavit podle sebe vůbec nebo mi banka diktuje, jak mají vypadat (pro různá PIN čísla nanejvýš 4 číslice, jinde zase musí obsahovat nejméně 8 znaků, kde alespoň jeden z nich je písmeno) či dokonce čas od času sama od sebe změní (třeba vygenerováním nového protokolu), a aby toho nebylo málo, tak internetová aplikace pro jistotu jednou po kratší době obtěžuje se změnou hesla, přičemž jako nové heslo nesmím použít žádné z těch, které sem už v minulosti používal.
A aby to bylo ještě méně jednoduché, tak Česká Spořitelna nepoužívá ani jednotnost v názvosloví. To co se někde jmenuje "Heslo pro mobilní banku" se jinde zase nazývá "PIN k mobilní bance". "Číslo z protokolu" je jinde nezváno zase "Bezpečnostním kódem".
Nutnost používat pro každou byť malou transakci SMS zprávy, které dnes už někdo ani vůbec nepoužívá, nebo má zařízení, které je ani nepodporuje (skoro všechny tablety), je už jen třešnička na dortu v otravování života klientům.
To a mnohem více mi na usnadnění přístupu ke službám elektronického bankovnictví, ať už toho mobilního, nebo stolního internetového, překáží nejen v pohodlí. A upřímně, neznám doposud nikoho, kdo by s těmito bariérami neměl alespoň jednou výrazný problém, a to že ve svém okolí mám lidí využívajících služeb ČS docela dost (řekněme desítky). Kolik návštěv poboček už bych si mohl uštědřit, mít trochu více snahy autorizaci do služeb usnadnit.
Já umím být za svou bezpečnost odpovědný a nepotřebuji být tímto balastem omezován - bere mi to akorát můj čas. Takže moje priorita při příštím výběru banky je jasná: JEDNODUCHOST.
A abych nenadával jen na Českou Spořitelnu, není to samozřejmě jen ona. Namítkou taková mBank (doporučuji článek Rikiho Fridricha na jeho blogu "Prečo nepoužívam mobilnú aplikáciu Mbanky" - http://content.fczbkk.com/preco-nepouzivam-mobilnu-aplikaciu-mbanky-aj-ked-je-dobra/ - který mi naprosto mluví z duše), dále Fio banka a další a další.
-
Petr Dvořák (neregistrovaný)
Ano - samozřejmě já rozumím tomu argumentu, že hesel do různých systémů je mnoho, a že se pak špatně pamatují, ale myslím, že to je více problém u "velkého internetu" (který se právě používá jednou za čas) než na mobilech, které tím, že je máte po ruce používáte častěji. Ono ostatně článek byl i o tom, že ne vše, co "platí na beton" na desktopu platí i na mobilech. Ad SERVIS 24 - já osobně jsem zapomněl své klientské číslo, takže ten problém znám. Naštěstí mám zvláštní typ křeče v ruce, která když položím ruku na numerickou klávesnici píše klientské číslo do SERVIS 24. :)
-
Petr Dvořák (neregistrovaný)
Děkuji za reakci - délka reakce mi samozřejmě vzhledem k délce článku už z principu nesmí vadit. :)
Je pravda, že globálně těch čísel a hesel pro banku je velmi mnoho (některé ale do toho seznamu úplně nepatří - např. jednorázový kód se generuje jednou při aktivaci) a s některým ze systémů člověk zákonitě musí přijít do křížku. Je pak otázka, jestli jako "finální instance" může fungovat cokoliv jiného, než pobočka a osobní ověření. Věřím, že nikoliv, to pak maximálně tak vyústí ve speciální telefonickou linku se speciálním tajným kódem, jehož 3., 5. a 9. cifru musíte sdělit... Takže přibude nový problém.
Variabilita hesel je primárně dána tím, že pro různé kanály by měla být nastavena různá hesla, aby kompromitací autentizačního mechanismu jednoho kanálu nedošlo kompromitací všech kanálů.
Během čtení diskuze jsem například více prozkoumal i Vámi zmíněnou aplikaci mBank, která pro přihlášení požaduje klientské číslo a heslo stejné, jaké je použito pro internetové bankovnictví. Kompromitací mobilního zařízení tak hrozí kompromitace "velkého bankingu". Klienti mBank by se podle mě měli ozvat - toto není v pořádku a není to ani více user-friendly, než co mají jiné banky...
Za nekonzistentní naming hesel se musím omluvit. Samozřejmě se nám to v průběhu projektu také občas stává, typicky proto, že se název v půlce projektu (kdy řešíme zásadní a pro koncové uživatele nezbytnou otázku, jestli se "to" bude jmenovat "veverka" nebo "divný oranžový skoro mýval") změní na něco jiného (na "myš lezoucí po stromu z huňatým ocasem") ne nesprávně se to propaguje organizací... :(
-
Mně by nevadilo, že banky používají tolik kanálů v rámci autentizačního mechanismu, ale klient by měl mít možnost svobodně se rozhodnout, jakou úroveň zabezpečení si sám zvolí. Klienti mají odlišené potřeby - někteří řeší více jednoduchost a použitelnost, jiní zase bezpečnost. Banky by v tomto mohly vyjít uživatelům vstříc a i na základě těchto vylepšení získat poměrně důležitou konkurenční výhodu, protože těch, co na složitost autentizačních mechanismů nadávají, je opravdu hodně. Dost by mě třeba zajímal výsledek nějakého průzkumu, který by takového potřeby klientů bank zkoumal.
-
Petr Dvořák (neregistrovaný)
Bohužel, zde Vás nepotěším - toto je (co jsem za tu chvíli, co se v oboru pohybuji pochopil) za banky poměrně staré téma. Za bezpečnost Vašich peněz odpovídá banka (a to minimálně z pohledu dopadu reputačního rizika). Není proto možné nechat nastavení nižšího zabezpečení na klientovi. Nikomu nikdy nevysvětlíte, že 50 000 klientů přišlo o peníze proto, že si sami zvolili v internetovém bankovnictví jednodušší přihlašování.
Podobně jako v diskuzi k Androidu výše se domnívám, že bezpečnost nemůže být dána do ruky uživatelům, protože přirozeně preferují komfort (zatímco přihlášení je časté, peníze Vám ukradnou jen jednou, a to kdo ví jestli)...
-
Ano, je mi už delší dobu jasné, že je to věc obav bank z negativního PR (a musím na druhou stranu uznat, že média jsou opravdu senzacechtivá), a proto je snažší naházet klacky pod nohy klientům, než-li na takový problém pohlížet i z jiného úhlu a snažit se vyhovět.
Minimálně co do počtu různých hesel a čísel, opětovným výzvám ke změně hesla nebo možnosti použít pro autentizaci e-mailovou adresu nebo uživatelské jméno, které se pamatuje lépe, by se daly udělat takové ústupky, při kterých by nedošlo k ohrožení bezpečnosti klienta, za to však by daleko užitečnější byla jednoduchost používání takových služeb.
Mimochodem, jak jsem již zmiňoval: Nutnost používat různá hesla a kódy nutí uživatele si je psát na různé lístečky nebo ukládat do poznámek v telefonu či počítači v nezašifrované podobě, což bezpečnosti dle mého názoru paradoxně spíše ubere, než-li přidá (spekulativní by mohl být asi jen počet takových případů - IMHO je jich ale opravdu hodně).
-
Toť je otázka. Nemám tušení, do jaké míry toto upravuje legislativa, a určitě by záleželo také na konkrétní situaci, ale myslím, že pokud by za prolomení zabezpečení mohl svou nezodpovědností sám klient, neměl by mít na kompenzaci nárok. Pan Dvořák se tu ale tuším snažil naznačit, že i v takových případech by si média na bankách slupla, což docela chápu, protože čtenářům neseriózních plátků si stačí přečíst titulek, že "bezpečnost byla prolomena", a už se dále nedočtou, nebo je nezajímá, že vina je na straně klienta a nikoliv banky, která se potom neprávem pro ně stává nedůvěryhodná. Jde o to najít nějaký rozumný kompromis.
-
Petr Dvořák (neregistrovaný)
Dobrý den, problémy, které zmiňujete jsme v bankovních aplikacích nepotkali. Nestává se zkrátka to, že by si klient nezapamatoval 4-9 místný číselný PIN ani na pátý pokus (když tedy opět mluvím za Raifku). Podle mě to je především proto, že s takto jednoduchým přihlášením do aplikace klienti pro běžné operace chodí raději, než do internetového bankovnictví (pro přihlášení je potřeba SMS klíč, takže tak jako tak má uživatel nakonec svůj telefon v ruce). A když se do aplikace přihlašujete ob den, tak PIN zkrátka nezapomenete...
-
Tak do teď jsem velmi oceňoval povedený článek a Vaši argumentaci v diskusi, ale tady - úplně na konci v posledním příspěvku - s Vámi nesouhlasím. Naopak musím potvrdit předchozí příspěvek Jana Elznice. Asi se ale netýká mobilních aplikací, ale Servisu 24.
Pokud se do aplikace NEpřihlašujete ob den, ale třeba jednou za měsíc a podobných aplikací čí účtů máte desítky a speciálně ty bankovní si nikam nepíšete, je pravděpodobnost pozapomenutí či chyby poměrně velká. Heslo jsem obnovoval několikrát, pokaždé to byl nervák, ale vždy jsem to zvládl po telefonu (se smlouvou v ruce).Na druhou stranu jste v článku p. Elznicovi už vysvětlil, proč musí být počet pokusů, než dojde k zablokování, malý.
Kuriózní je to u IB GE MB, kde vás sice ušetří složitého přihlašovacího jména, protože se používá číslo účtu. Pak ale mužete každého, kdo má účet u té banky, potrápit tak, že mu účet zablokujete několika pokusy o přihlášení.Krátce už jsem okusil komfort mobilní aplikace v Android, kdy sice prvotní instalce nebyla triviální, ale další použití s jediným heslem je luxusní.
ČLÁNKY DO MAILU