Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od PT - Pochopil jsem spravne, ze internetove bankovnictvi je v...
-
PT (neregistrovaný)
Pochopil jsem spravne, ze internetove bankovnictvi je v RB reseno pres certifikat/klic? Protoze takhle to mela (asi stale ma) KB. Jenze to neni internetove bankovnictvi, ale __domaci__ bankovnictvi. Nebo si mam ten klic nahrat do telefonu a vsude s sebou tahat kabel? Tohle je uplne na pytel. Beru, ze pak prichazi k veci mobilni bankovnictvi, presto me certifikaty uprimne otravuji. Neni to neresitelne, ale je to podle autorova motta "trpim".
Jo a nevim jak je to s uhadnutelnosti PINu, ale vetsina lidi v nich bude mit cisla budto rodna, nebo narozeni nejblizsi rodiny nebo nejake to tel. cislo nejblizsi rodiny...
Tim se nechci nejak zvlast zastavat hesel, ale rict, ze PIN je lepsi diky tomu, ze to nikdo jiny nepouziva je sice fajn, ale je treba rict, ze na cisla lidi moc pamet nemaji a proto pak ta "sila" vypada. -
Jenda (neregistrovaný)
KB a RB (z článku) nejdou srovnávat, jedno je pro PC, druhé pro smartfouny.
Jinak doteď jsem nepochopil smysl toho procesu v KB. Opakovaně s tím prudím v diskuzích, když se někde objeví nějaký obhájce KB, a ještě mi nikdo nebyl schopen ukázat attack vector, kterému by ta Javovina mohla zabránit.
-
Podle posledních informací už existuje varianta bez Javy, která akorát neumí pár věcí a hlavně existuje web mobilnibanka.cz, kde si v hlavní bance jednou autorizujete mobilní banku a můžete ho používat. Pro Android a iOS existují i aplikace.
No a na webu teď píšou, že už chystají verzi úplně bez Javy (hurá) -
Nevím, zda to KB používala (když to najednou umí i bez certifikátu, tak asi ne), ale podepisování transakcí elektronickým podpisem brání útokům zevnitř banky a chrání banku. Pokud bude mít příkaz k úhradě podepsaný uznávaným elektronickým podpisem klienta, každý v ČR musí uznat, že ten příkaz dal skutečně klient, že to není nějaká chyba (nebo záměr) banky. Pokud to bude jen obyčejný elektronický podpis, pořád má banka slušnou šanci prokázat, že za příkaz je zodpovědný klient. No a elektronický podpis z webového prohlížeče jinak než přes Javu neuděláte.
-
Souhlasím, že v téhle konkrétní implementaci uživatel stejně nejspíš nemá kontrolu nad tím, co podepisuje. Alespoň z mých pár setkání s tím appletem KB si nevybavuju, že bych se vůbec mohl podívat, co vlastně podepisuju. Na druhou stranu, ten applet musí být elektronicky podepsaný, stahuje se z nějakého webového serveru (který snad je oddělen od bankovního systému), ten applet pak má uživatel na disku a může jej analyzovat – nebo-li na případném podvodu by se muselo podílet víc lidí a existovalo by větší riziko prozrazení u klienta. Nejde ani tak o to, že by se pokusila podvádět banka jako taková (proti tomu stejně není obrana), ale že by se o to pokusila nějaká skupina zaměstnanců.
-
Jenda (neregistrovaný)
„Alespoň z mých pár setkání s tím appletem KB si nevybavuju, že bych se vůbec mohl podívat, co vlastně podepisuju.“
No právě o to mi jde.
„ten applet pak má uživatel na disku a může jej analyzovat“
Aha, takže uživatelé si mají ukládat všechny applety, co jim kdy byly poslány, aby je v případě nesrovnalostí mohli dát analyzovat, jestli v nich náhodou nebyla nějaká nekalost. Viděl jste nějaký takový požadavek v návodu k jejich bankingu? Kolik uživatelů to dělá? Kolik prohlížečů vůbec umožňuje nějak uživatelsky přívětivě zkopírovat applet?
„ale že by se o to pokusila nějaká skupina zaměstnanců“
Například že to místo skupiny, která dělá webový interface, udělá skupina, která dělá applet.
-
x (neregistrovaný)
Jirsak jirsak, zase kravoviny ....
1) onen "uznavany" pospis (aneb to co vydava trebas posta), je uznavany (ze zakona) vyhradne organy statni spravy. V pripade komercnich subjektu (coz banka je), je to ciste na tom subjektu.
2) cimz se dostavame k bodu dva, kde svuj podpis, ma banka pod kontrolou, narozdil od cizich, kde nemuze nijak ovlivnit podminky, za kterych je vydavan.
V obou pripadech pak nelze nijak dokazat ani prokazat, ze podpis vykonala konkretni fyzicka osoba (narozdil od podpisu neelektronickeho, kde to lze s vysokou mirou pravdepodobnosti urcit, tim spis, pokud jde o podpis overeny trebas notarem)
2) a nyni se dostavame do bodu 3, coz bude pro Jirsaka novinka, ale autentizace certifikatem/klicem je kupodivu zcela standardni soucasti http. Jen to prakticky nikdo nepouziva. Zadna java na to neni treba.
ČLÁNKY DO MAILU