"Paradoxní je i to, že z průzkumu ČSOB vyplynulo, že 30 % dotázaných věří internetovému bankovnictví, ale nikoliv smartbankingu."
To není paradoxní, ale logické. Já smartbanking nepoužívám, i když chytrý mobil mám. Protože porušuje princip dvou autentizačních kanálů. Operace zadaná v internetbankingu (kam se přihlásíte jménem a heslem) se potvrzuje SMS kódem, ketrý přijde na druhé zařízení.
V případě smartbankingu v celém procesu figuruje pouze jedno zařízení, a jedno zařízení je mnohem jednodušší hacknout než dvě.
Tak zrovna SMS o pohybech na uctu jsou vetsinou placene, at uz za kus nebo pausalem. Jinak by si banky mely laskeve zamest pred vlastnim prahem:
1. Smartbanking je obrovska cesta zpet do dob, kdyz se InternetBanking zabezpecoval pouze heslem, dokud nedoslo k nekolika slusnym prusvihum. Pak se zavedlo alespon zabezpeceni pres SMS, coz dneska diky Smartbankingu zase nefunguje. Kolik bank aktivne nabizi treba autenzizacni kalkulacku a za jakou cenu? Nebo nejakou jinou alternativu?
2. Vnuceni bezkontaktnich karet temer vsem, ackoliv jimi lze platit bez jakehokoliv zabezpeceni do vyse limitu. Ne, ze by se kontaktnima kartama predtim nedalo obcas zaplatit bez PINu.
3. Placeni na internetu - misto, abych obchodnikovi poslal konkretni castku, mam mu dat pres kartu pristup ke svemu uctu, on si castku vybere. Mozna taky nekolikrat, s automatickym opakovanim, nebo v jine vysi. tedy mimo tech par odborniku, kteri zapinaji a vypinaji limity na 0 pred a po kazde platbe.
4. Platby pres FB tu tusim chtela nebo dokonce zavedla nektera z bank. Genialni napad spojit placeni se smirovaci siti pro exhibicionisty. Jeste treba platby v hospodach a barech pro opilce mimo pricetnost, nebudou?
5. Tusim je InternetBanking nektere banky mi pred casem nabidl v prohlizeci ulozeni hesla, ackoliv predtim to nekolik let nedelal. Tady si akorat nejsem jist, zda to byla zmena v prohlizeci nebo bance.
Vždy a za všech okolností jde jen o kšeft. Banka, která by nepodporovala IB dnes nemá šanci přežít. Takže o bezpečnosti se bude sice krásně žvanit, ale na druhé straně se zůstane na úrovni, kterou budou BFU ještě ochotni akceptovat, protože eventuální kiks bude ve srovnání se ziskem bezvýznamný a napsat smlouvu s klientem tak, aby banka se z odpovědnosti vyvlékla, nebude pro kvalitního právníka za současného stavu legislativy žádný velký problém.
Jenze svuj podil na tom maji i banky. Na jedne strane povazuji za "nebezpecne" internetove bankovnictvi a az na vyjimky (Fio banka) stale obtezuji klienty potvrzovacimi SMS (ktere jsou vazane jen na konkretni zarizeni a konkretni SIM daneho operatora - v zahranici bez dual sim pristroje tedy nepouzitelne) a na druhe strane dovoli zadani i autorizaci transakce na jednom miste v tak vecne deravem odpadu jako je Android, ktery nelze nijak zabezpecit.
Trochu si protireci. Budto jim jde skutecne o bezpecnost (pak ovsem nelze pouzit Android) nebo jsou to jako obvykle jen zvasty.
Era je jediná banka, u které si prostě nepamatuji adresu bankovnictví a musím tam chodit přes vyhledávač.
Bezkonktatních karet jsem se bál do té doby než mi právě Era vnutila bezkonktatní kartu a jinak to nešlo. Co mě ale překvapilo tak při její ztrátě mi bez řečí vrátili 240 Kč, který dotyčný nálzece utratil v supermarketu.
Ptal jsem se u svých dalších bank (KB, RB, CS, Air) jak se chovají k náhraději při ztrátě bezkontaktní karty, když mi jí vnucují aniž bych jí mohl odmítnout a všechny mi odpověděli, že to neřeší a proplácejí.
Fascinujici ... predevsim proto, ze revokovany certifikat je dle jeijch vyjadreni "vporadku" a "nevime proc a nevime kdy to bude, vypnete si kontrolu".
Mezi nami, v principu (pokud by to fungovalo jak ma) je to banka kdo zodpovida za bezpecnost, tudiz vadny pristup by mel jit vyhradne k jeji tizi (napriklad ty aplikace do telefonu => banka nese 100% odpovednost, protoze neco takoveho umoznuje).
Uzivatel/zakaznik tu neni od toho, aby resil bezpecnost, kvuli tomu si je dava do te banky. Jinak si je muze zasit do slamniku.
bohužel při zneužití karty pro platby na internetu to není tak samozřejmé, pokud člověk nemá pojistku, banka se snaží hádat (případy z okolí). Naopak u kreditních karet to je naprostá lahoda a vlastně to je jediný důvod proč si pořídit kreditní kartu - peníze patří bance a ta se o ně dobře stará.
V Anglii chodí třeba karta a pin ve dvou obyčejných obálkách 1-2dny po sobě, jenže, protože tam nemají poštovní schránky, tak obálka zůstane ležet za prvními dveřmi, někde na lavičce, topení atd. a je na vás si obálku pohlídat, abyste ji vůbec dostal.
Při placení za různé služby kartou (elekřina, plyn, fitko,..), vás zase zarazí, že jim musíte nadiktovat komplet údaje ke kartě aby si mohli kdykoli stáhnout fakturovanou částku. Tak to jen doufáte, že tam sedí kompetentní osoby a na účtu je pro ně nezajímavá suma.
Přesně takhle bezpečnost karet funguje. Když někdo něco ukradne, banka to vrátí. IMHO mnohem důležitější než používat všechny ty "bezpečné" technologie, je nastavení vhodného limitu pro platbu(případně ho jednorázově zvýšit) a tak i pokud by to banka nechtěla vrátit, tak to zas tak nepálí (ukázkový příklad jak to nemá být byla do nedávna spořitelna, která změnu limitu zpoplatnila).
Cena za platbu kartou je stejně tak přemrštěná, že tyhle ukradené peníze nikoho netrápí. Uvidíme, jestli se něco změní jejich zastropování v EU, pokud se teda bude pokračovat v jejich snížení na rozumnou úroveň.
Obávám se, že jsme ve stavu, kdy čip platební karty bez napájení je většinou chytřejší, než manažer, rozhodující v bance o bezpečnosti.
To tuhle tři nebo čtyři roky nazpátek jsem kupoval barák a finance poskytla jistá Wustenrot hypoteční banka. Až po dvou měsících jsem zjistil náhodou při vyřizování nějakých jiných věcí, že si příchozí platby a tak můžu zkontrolovat na jejich portále a že už přihlašovací údaje poslali. Jenomže nic nedošlo, takže jsem si nechal vše poslat znovu. Když to došlo, myslel jsem, že mě omejou:
1) Byl to obyčejný dopis. Žádný doporučeně, nic do vlastních rukou. Hlavně levně.
2) Přihlašovací údaje podle dopisu jsou dva, číslo smlouvy a PIN. Jo, to klasický, čtyřmístný číslo.
3) I přes ujištění z banky, že v dopise budou jenom instrukce a tzv. "heslo", v hlavičce bylo i číslo smlouvy.
4) PIN nešel ani nahradit něčím rozumným, ani změnit.
Nezkoumal jsem, jestli je tam nějaký timeout na zadání pinu blbě, ale pro data minera, který chce prodat jména, adresy, kontaktní údaje a čísla účtů, ze kterých je placeno, by bohatě stačilo zkoušet botem jeden pin a střídat čísla účtů... Místo toho toho jsem to potichoučku, polehoučku předčasně přeúvěroval. Celejch pět let u někoho, kdo ze mě dělá debila a zvreřejňuje moje kompletní nacionále a majetkový poměry, bych psychicky nezvládl.
A to jsem si kdysi myslel, že Spořka s omezením délky hesla a zákazem některých znaků byla blbě zabezpečená (hesla z KeePassu systematicky odmítala, dokud jsem svůj bezpečnostní standard 384b neskrouhl na 10 anglických písmen a číslic). Ještě, že aspoň 2FA měli... Už jsem od nich taky utekl za lepším.
A to dokupování balíků SMSek u Unicreditu, to byl mazec. Vycházelo to na 20Kč/kus nebo tak nějak. Se zůstatkovýma SMS by to při deseti trvalákách (plyn, voda, elektrika, net, hypo, pojištění, školka pro děcko,...), jedné výplatě, pěti výběrech z bakomatu nebo platbách u obchodníka vyšlo na 320Kč/měsíc + 40Kč za zadání příkazu (přihlášení + zůstatkovka). Prostě máš účet zadarmo, ale tvoje prachy dáme komukoli a připlať si za jejich ochranu... Divím se, že jsem u nich ty čtyři měsíce vydržel.
> Podle průzkumu ČSOB z dubna tohoto roku je nadále nejslabším článkem bezpečného online nakupování i financí hlavně sám uživatel. Není se čemu divit, pokud skoro 16 % lidí heslo do internetového bankovnictví používá i pro přístup do jiných aplikací
Podle mě zde je slabý článek technika. Pomocí kryptografie není problém zajistit, aby tohle nevadilo, to jen výrobci prohlížečů nebyli dosud schopni takovou věc implementovat. Hlavně, že můžeme přes browser telefonovat a přehrávat JavaScriptem dekódované video v canvasu.
> Ale pouze 45 % dotázaných si nechává posílat SMS zprávy o změnách na účtu.
Já mám teda Eru, což je skoro-ČSOB, a ta notifikace o změnách posílat neumí.
> Lidé na zcela neznámých webech ochotně zadají kompletní údaje z karty, včetně CVC kódu.
Znovu problém banky. Transakce kartou jsou postavené úplně opačně, než by měly být - místo toho, abych předával údaje obchodníka bance, předávám údaje o kartě obchodníkovi. Což má řešit 3DSecure, ale oba weby, kde jsem ho viděl (FedEx a iTesco), ho měly děravé.
> a pouze 18 % lidí zásadně používá 3D Secure
Ukázka zpackaného 3DS v rukou FedExu. A ještě jedna věc - Era (předpokládám, že ČSOB taktéž) při potvrzování 3DS transakce neposílá v SMS částku ani příjemce platby!
> Ne bez rizika je i svěření karty do rukou číšníka či prodejce u off-line plateb.
Pomohlo by, kdyby ČSOB přestala používat magnetický proužek, takže bych ho mohl smazat, a používat jenom chip-and-pin transakce, které se oproti zkopírování magnetického proužku hackují hůř.
Pomohlo by, kdyby ČSOB umožnila vypnout bezkontaktní platby bez pinu, nebo ještě lépe vydávala karty pouze kontaktní.
Pomohlo by, kdyby vyškrábání CVV kódu z karty a přerušení antény pro bezkontaktní platby nebyly trestné činy podle § 234.