Vyborny napad, ze. Nechme uzivatele pristupovat k uctu pod jmenem jake si zvoli ... uz vidim jak kdejaka krava s login name smoulinka a heslem smoulinka zaluje banku, protoze ji nekdo vyluxoval konto, za to, ze banka nema bezbecne bankovnictvi. Taky mi ponekud vadi, ze desetimistne cislo si tezko zapamatuji a musim ho tedy mit nekde napsane, coz je zase nebezpecne na me strane (i kdyz to je podobne jako nosit u sebe kartu), proto je tam navic i heslo, ktere by pak uzivatel mel mit opravdu jen v hlave. To ze nekdo trefi vase desetimistne cislo je dosti nepravdepodobne (predpokladam-li jednu cifru jako paritu, zbyva mi miliarda kombinaci). Myslim si, ze tohle tam proste neni jen tak pro nic za nic, ale ciste jako urcita rozumna uroven zabezpeceni.
Prvni ctyri cislice jsou z rodneho cisla, prvni dvocisli rok, druhe dvojcisli den. Ale mam to jen podle dvou prihlasovacich jmen do Servis 24, treba to neni pravidlo.
Proste dobra bezpecnost musi fungovat i *navzdory* uzivateli. Spolehnout se na to, ze clovek zvoli dobre heslo, nejde. Spolehnout se na to, ze si clovek zapamatuje dobre heslo, nejde. Z toho plyne, ze zabezpeceni (jen) pres heslo je proste spatny napad.
Pokud mi nekdo predhodi desetimistne cislo se slovy "zapamatuj si ho, je to pro tvoje dobro", tak ten nekdo proste vyresil svuj problem tak, ze z nej udelal muj problem - a tedy penize bych za reseni mel dostat ja a ne on.
A kdo tvrdí, že oněch deset číslic má být tajných? Je to prostě jen identifikační číslo, kterým se člověk přihlašuje k určitému účtu. Toto číslo můžu např. sdělit někomu na helpline, když mám problém. Heslo je však tajné a to rozhodně nikomu na helplince říkat nebudu, to nemá co znát ("veřejné" je snad jen v Oskarově samoobsluze, kde se diktuje nahlas operátorovi:-).
A proč namísto deseti číslic není číslo účtu?
1) Jeden účet může mít více disponentů a zajímá mne, který z nich převedl ten meloun na Kajmany ...
2) Pamatovat si číslo účtu nebo jiné 10 místné číslo, není to fuk? Oboje musím mít někde napsané.
Zminenych 10 cislic musi byt tajnych, protoze:
1) Spolu s heslem tvori dvojici zabezpecujici ucet, heslo si voli uzivatel, nemusi byt tudiz zvoleno dostatecne bezpecne (uzivatel si tam da svoje rodne cislo, retezec "qwerty", retezec "aaa", jmeno sveho milacka atd.) - utocnik by pak mohl pri znalosti cisla zkusit "nahodny" utok zkousenim hesla, pri znalosti dane osoby by ho pak mohl jeste lepe smerovat (odhadnout pouzite heslo)
2) Toto cislo je tajne a ma ho znat pouze uzivatel, narozdil od cisla uctu samotneho, jeho rodneho cisla atd. ktere proste slouzi k tomu aby je sdeloval dal ... - pokud bude cislem nejaka takovato hodnota, pro utocnika neni problem si ho zjistit, a pak napriklad schvalne neustale zablokovavat uzivateli jeho ucet vlozenim 3 spatnych hesel
3) Ve specialnich pripadech (zminena helpline) sice cislo sdelujete, ale je to pouze zpet vasi bance "zabezpecenym" kanalem (pokud samozrejme telefon neni odposlouchavan), ktera vam cislo vydala. NENI zadny duvod sdelovat ho komukoli jinemu, cislo slouzi prave a jenom k vasemu pristupu ke kontu.
Souhlasím s tím, že toto číslo nebudu na potkávání nikomu sdělovat, protože zde hrozí možnost zablokování účtu. Ale už nehrozí hádání hesla, protože a) existuje blokování při špatných pokusech b) nedávám si hesla triviální. Pokud by mělo být toto číslo tajné, tak na webu nebude zobrazované, ale bude v poli password psaném s *. Trvám tedy na tom, že to je čistě ID operátora s účtem.
Ono blokování mají banky ne-moc-dobře řešeno, protože prostě možné je. Ale pokud by to někdo dělal naschvál, tak to lze řešit právní cestou, IP adresa apod. jsou určitě logovány. Dovedu si představit, že si někdo své číslo špatně opíše a soustavně ho zadává špatně a mne tím nevědomky opakovaně blokuje ...
Každopádně telefon a hlavně operátora na helplince nepovažuji za zabezpečený kanál, důvěrné informace jim nesděluji - pokud by někdo mohl zneužít přístupu k účtu online, jsou to právě oni.
BTW v některých státech i RČ (což JE osobní údaj!) je neveřejné, příp. část je veřejná a druhá tajná část slouží pro ověření identity při přihlašování přes RČ.
ad a) ano, blokovani existuje, ale stale zde jista sance v podobne 3 pokusu zustava, i kdyz mala (proto tam to blokovani je), presto ji proste nelze zanedbat ...
ad b) tak se ale bezny BFU chovat nemusi (a nejspise nebude) a s tim je potreba pocitat
ID by v podstate melo byt tajne, ze se zobrazuje normalne ... no zrejme bylo usouzeno, ze to uz by bylo na uzivatele moc (pamatovat si cislo a jeste ho zadavat skryte, tzn. vyplnovat dve krizkova pole) ... pak nezbyva nez sam zajistit, aby cislo nikdo neokoukal
Ze si nekdo spatne napise sve cislo a zablokuje ucet nekomu jinemu je nepravdepodobne (samozrejme nikoli nemozne). A to jak predpokladanym pouzitim parity v cisle, tak zminenym pomerem miliarda:poctu vydanych cisel. Pravni cesta samozrejme mozna je, ale jak vsichni vime, je velmi zdlouhava a nejista, zpetne uz vam stejne tezko nahradi zmareny nejaky jedinecny obchod, kdy jste zrovna nutne potreboval poslat druhe strane penize.
Heslo helpline samozrejme zdelovat nebudete (ci cokoliv co neni treba), navic ani oni nemusi cislo primo dostat, pri pristupu prez telefon lze napriklad toto cislo zadat prez ciselnik, jeste v prubehu autorizace, operator pak jen vidi, ze jste se uspesne autorizoval, ale ne jakym cislem. Navic oni jsou zamestnanci dane banky a na dane pozici jsou vazani zajiste bezpecnostnimi narizenimi, selhani jednotlivce vsak nelze nikdy vyloucit, proti nemu neni bezpecny zadny system. Ale to uz je pak problem dane banky a ne vas, zde by vas banka musela jednoznacne odskodnit pri "selhani" jejiho zamestnance.
Pokud neduverujete telefonu, pak vam nezbyva nez zajit na banku osobne a resit danou vec primo s pridelenym osobnim bankerem, kteremu zrejme budete muset verit (jenze, i on muze sverene ucty zneuzit, ze ... takze co? Pujdete za vedoucim oddeleni? Vedoucim pobocky? Generalnim reditelem? I ten muze banku vytunelovat ... :-))
U nas je RC verejne, co vice na to rict? S tim banka nic neudela, to je treba resit nekde jinde ...
"Navic oni jsou zamestnanci dane banky a na dane pozici jsou vazani zajiste bezpecnostnimi narizenimi, selhani jednotlivce vsak nelze nikdy vyloucit, proti nemu neni bezpecny zadny system."
Tomu vazani bych teda neduveroval ani za mak - pokud bude znat nekdo me cislo a heslo, tak klidne prex x proxy serveru muze zadat z jakehokoliv pocitace prikaz k prevodu penez na Kajmany;-) apod. Proste heslo jako takove nema nikdo jiny znat nez uzivatel a mozna jeste tak pocitac v zaheshovane podobe (nad zasifrovanou podobou hesla bych privrel oci, kdyz chci posilat novou kartu stale se stejnym pinem).
"... resit danou vec primo s pridelenym osobnim bankerem, kteremu zrejme budete muset verit (jenze, i on muze sverene ucty zneuzit, ze ... takze co?"
Ne, osobni banker nemuze ucet zneuzit, protoze tam transakce podepisuji a v pripade, ze by mi s uctem nekdo neco provedl, velmi rychle se zjisti, ze to byl dotycny banker a jednal bez meho povereni.
Bude-li tedy nekdo znat me heslo do inetbankingu, udela tam anonymne cokoliv a ja to bance nedokazu vyvratit. heslo=podpis
ČLÁNKY DO MAILU