Fórum Root.cz
Hlavní témata => Software => Téma založeno: Petr 05. 10. 2017, 15:53:37
-
Máte nějaké doporučení jak zlepšit přístup do internetového bankovnictví z počítače s linuxem ?
Napadá mě:
- deaktivovat všechny pluginy
- v anonymním módu ?
- mít ve Firefoxu jiný profil (heslovaný ?? )
- spouštět Firefox pod jiným (vyhrazeným) uživatelem
- nebo spouštět si virtualizovaný další linux a z něj
Jaký je váš názor ?
Děkuji.
-
browser, kde nejede nikdy nic jinyho nez internetove bankovnictvi nebo datova schranka
mam nainstalovany ff, chrome a chromium, posledni je ten "bankovni" a na nic jineho tento prohlizec nepouzivam
-
Elegantni reseni - QubesOS.
Crude reseni - ocesany browser pod jinym uzivateletem.
Urcite tak ci onak 2FA, minimalne SMSky, pokud banka umi "kalkulacku", tak tu.
-
snad jedině kalkulačku, tu u nás má ale jen hrska bank (např. rb), airbanka plánuje snad už letos spustit pilotní přístup s bezpečnostním tokenem). Máte někdo info o ostatních bankách?
Můžeš vymyslet poměrně silné zabezpečení, ale poté stačí jedenkrát ho porušit a můžeš být rovnou v řiti. QubesOS je bezva, ale s notebooky má problémy (když už běží, výdrž na baterii, sleep a další drobnosti pokulhávají) a já třeba většinu věcí dělám na cestách.
Osobně používám dedikovaný server, který mám v 4U kleci v jednom pražském DC a na něj se připojuji přes vnc. Ne že bych byl tak paranoidní, ale měl jsem server a místo navíc, schopnost používat bankovnictví odkudkoliv mě uspokojuje, stejně tak mi veškerá komunikace běží pod ssh a chodí mi z toho notifikace při připojení, takže mám volnost a kontrolu zároveň. Škoda, že banky neumí whitelist IP adres. To jen nápad pro lidi, kteří potřebují být na cestách.
-
snad jedině kalkulačku, tu u nás má ale jen hrska bank (např. rb), airbanka plánuje snad už letos spustit pilotní přístup s bezpečnostním tokenem).
AirBank má bezpečnostní token už minimálně rok, spíš déle.
-
Separátní profil trochu pomůže, omezí do jisté míry možnosti některých útoků jako CSRF/HEIST/CRIME a reflected XSS.
Doporučuji chodit do IB přes záložku (nebo v případě separátního profilu přes homepage). To zabrání překlepům apod. a nebude nutné vždy psát „https://“.
Zákaz pluginů a separátní VM – má smysl, ale ne až tak v profilu pro IB, ale hlavně v profilech pro stránky, které náhodně potkáte. Ideálně všechny potenciálně nebezpečné aktivity uzavřít do separátního virtuálního stroje. Tím se dostáváme ke zmíněnému QubesOS.
Anonymní režim zde IMHO nemá moc smysl. Separátní uživatel je taková slabší alternativa virtuálního stroje (a silnější alternativa separátního profilu). Při útoku záleží i na X11/Wayland, ale AFAIK i ve Waylandu je dost možností útoku, jako fake password prompt.
-
AirBank má bezpečnostní token už minimálně rok, spíš déle.
to neni HW token, ale SW token, apka v telefonu, tak nevim no :o
-
AirBank má bezpečnostní token už minimálně rok, spíš déle.
to neni HW token, ale SW token, apka v telefonu, tak nevim no :o
Ano, je SW. Ale to je výhoda, protože HW tokeny mají různé nevýhody:
1) Token, co jen ukazuje náhodná čísla, která musíš opsat: Zásadní díra je, že nevidíš, co podepisuješ. Plus opisování je otrava. Je nejlevnejší, ale pořád to pár stovek je.
2) Token, co do něj musíš přepsat detaily transakce a on spočítá hash (jako měla třeba e-Banka): Hrozný opruz s dvojím
vypisováním údajů a přepisováním. Navíc je drahý.
3) Token, co má vlastní síťové připojení: Sice se nemusí nic opisovat, ale je dost drahý na pořízení na provoz (potřebuje to síťové připojení) a vzhledem k němu je i napadnutelný.
4) Karta, co se strká do počítače: Potřebuje SW podporu (nelze zadávat příkazy mimo počítač, kde to máš rozchozené, na Linuxu to může být problém vůbec rozchodit).
Z toho hlediska je SW token v mobilu ideální řešení, protože je jednoduchý na provoz, levný a nemusíš nic opisovat, jen potvrdíš zobrazené údaje. Bezpečnost je přitom docela slušná, lepší než laiky adorované SMS - pokud by to chtěl někdo napadnout, tak by musel rootnout ten telefon.
-
to neni HW token, ale SW token, apka v telefonu, tak nevim no :o
HW token je lepší, ale SW token je zase lepší než SMS.
Mnoho lidí si neuvědomuje, že stačí pár dokumentů, a operátor přeaktivuje telefonní číslo na novou, čistou SIM, a autorizační SMS je v ten moment v cizích rukou. Ještě horší to je, když je telefon zaměstnavatele, zaměstnavatel překativuje číslo během pěti minut, a klidně během dalších pěti minut zpět na původní SIM kartu.
SMS ověření je zhůvěřilost, která hlavně kryje banku (přenáší odpovědnost na uživatele telefonu), ale ve skutečnosti to bezpečnost nezvyšuje tak moc, jak si většina lidí myslí.
-
Připojím se s pohodlnou odpovědí.
Mít více bankovních účtů. (Klidně 3+ a z toho jeden jako cold storage u banky, která umoznuje deaktivovat internetové bankovnictví).
Když nemáš na běžně používaném bankovním účtu nic o co by jsi nemohl přijít (max pár peněz na nákupy), tak ti bude stačit běžné obvyklé zabezpečení, které ti nabídne každá moderní banka. Pak klidně platit z mobilu ... pohodlnosti se meze nekladou.
-
V norsku maju prijemnu vec co som zatial inde nevidel, okrem klasickeho hw otp, maju navyse aj sim aplikaciu (netreba nic instalovat) a na mobile mi vyskoci okno s informaciou o transakcii a treba zadat heslo a ono to autorizuje operaciu - cca 2sek od kliknutia k vyzve na heslo a 2 sek na potvrdenie. "Podpisuje" sa to na priamo sim karte.
Je to zatial najkomfortnejsie co so mal moznost pouzit - ked to porovnam s hw otp, sw otp, sms, gemalto thin reader (tatrabanka/reifeisen) alebo smartcard.
-
V norsku maju prijemnu vec co som zatial inde nevidel, okrem klasickeho hw otp, maju navyse aj sim aplikaciu (netreba nic instalovat) a na mobile mi vyskoci okno s informaciou o transakcii a treba zadat heslo a ono to autorizuje operaciu - cca 2sek od kliknutia k vyzve na heslo a 2 sek na potvrdenie. "Podpisuje" sa to na priamo sim karte.
Je to zatial najkomfortnejsie co so mal moznost pouzit - ked to porovnam s hw otp, sw otp, sms, gemalto thin reader (tatrabanka/reifeisen) alebo smartcard.
V Česku to také banky používaly - v dávných dobách se na to používal SIM Toolkit. Bezpečností to asi bylo srovnatelné s HW tokenem. Banky od toho upustily, protože to vyžadovalo dohodu s operátory, a hlavně, token na SIM kartě se aspoň v té době nedal aktivovat niajk na dálku, ale vyžadoval aktivaci přímo v bance.
-
Podle mě je nejlepší nechat na běžném účtu je pár desítek tisíc aby bylo na pivo a pak stačí ta SMS. A zbytek mít na něčem jako ING konto.
Různé tokeny, hw klíče a certifikáty jsou takové znepříjemnění života že to risknu s sms.
-
A zbytek mít na něčem jako ING konto.
Zběžně jsem prošel homepage produktu a nedočetl jsem se tam, jak toto doporučení souvisí se zabezpečením (na což se tazatel ptal). Jestli jsi tím chtěl naznačit, že si máme sednout na zadek z neuvěřitelného úroku 0.5 % do 300 kKč (tj. 1500 Kč ročně), tak mi to přijde dost slabé.
-
A zbytek mít na něčem jako ING konto.
Zběžně jsem prošel homepage produktu a nedočetl jsem se tam, jak toto doporučení souvisí se zabezpečením (na což se tazatel ptal). Jestli jsi tím chtěl naznačit, že si máme sednout na zadek z neuvěřitelného úroku 0.5 % do 300 kKč (tj. 1500 Kč ročně), tak mi to přijde dost slabé.
Rizika používání online bankovnictví nelze eliminovat (to by se muselo kompletně vypnout), ale pouze mitigovat.
Pokud mitigujete rizika, posuzuje se přínos opatření vs. jeho cena (náročnost).
Jedním z nejefektivnějších metod je rozdělit finance na vícero kont a přístupy pro placení a pro karty mít jen k účtu, na kterém máte pouze rozumný obnos peněz. Poté už může být akceptovatelné riziko např. při ztrátě platební karty, nebo při narušení bezpečnosti komunikace s bankou.
Odpověď bankéřčíslojedna patrně mířila tímto směrem.
-
Přejdi k Unicreditu. Těm internetové a mobilní bankovnictví už asi měsíc nefunguje, takže je to zcela bezpečné. ;D 8)
-
Škoda, že banky neumí whitelist IP adres.
Vhodnejsie by bolo mutual TLS - t.j. pouzivat serverovy certifikat (to je to standardne https) + klientsky certifikat v prehliadaci, takze aj server vie na urovni TLS identifikovar klienta. Mne to pride ako take SSH pre HTTP ;-). Pochybujem vsak, zeby nejaka banka toto podporovala pre BFU pouzivatelov.
-
Pokud chceš používat internetové bankovnictví, tak základ je mít v pohodě OS, Pokud za ten nedáš ruku do ohně, nevíš co ti tam běží a proč a kdo to dodal, tak je úplně jedno jaký máš prohlížeč, jak ho máš zabezpečený a podobně.
Když už máš v pohodě OS, tak aby jsi měl v pohodě prohlížeč, ...
pak router, zda ti nečaruje s https, některé to umí přebalit :-(
.....
a nakonec aby v bance měli servery v pořádku :-(
U Fio mám na všem limity a při pohybu mi chodí do několika hodin mail tak se cítím v suchu a bezpečí, jo a trochu OT, ale možná to s tím přeci jen souvisí, pro BTC jsem si generoval private key po bootu z liveCD na pc odpojeném od všeho, disku, sítě, .... .
My, jako návštěvníci root-a si třeba umíme trochu poradit, jak ale může třeba takový nepočítačový jediněc v dnešní době důvěřovat internetovému bankovnictní ?
-
My, jako návštěvníci root-a si třeba umíme trochu poradit, jak ale může třeba takový nepočítačový jediněc v dnešní době důvěřovat internetovému bankovnictní ?
Moze a doveruje, lebo on si neuvedomuje rizika(istota nic netusiaceho). Na druhej strane tie rizika niesu ovela vyssie ako pri inych rizikovych veciach.
Ja problem vidim na druhej strane a to az niekto hackne moju banku a ja sa nebudem vediet dostat k mojim peniazom aspon na par dni. Dnes vela ludi mava hotovost minimalnu a taky vypadok by s nimi pekne zamaval.
-
...jak ale může třeba takový nepočítačový jediněc v dnešní době důvěřovat internetovému bankovnictní ?
To měl být vtip? Přece úplně stejně, jako důvěřuje Facebooku. Tato odpověď shrnuje celou problematiku vztahu IT - uživatelé.
-
Zná tady někdo někoho komu vybrali přes počítač účet ?
Jak velkou chybu musel udělat a v čem konkrétně ?
Já znám kupu lidí se zavirovanými windows, kteří vesele platí v bance a nikdo jim nic neukrad .
Dělat proti tomu nějaké drakonické opatření je řádný overkill .
Já to mám tak, že jak tu někdo psal mám několik účtů a tam kde mám nejvíc peněz nemám ani kartu , a tam kde karty mám , tak mám limity no a navíc když mi přijde potvrzovací sms tak si ji aspoň přečtu jestli sedí částka a účet.
To online bankovnictví má sloužit člověku a né člověk jemu, i když chápu, že tady na rootu je výskyt paranoidních jedinců zvýšen.
To je asi tak jako když doktor na základě svých znalostí nejí nic nezdravého vyhýbá se všem aktivitám jenom proto, že ví co by se mohlo potencionálně stát. Ale stane se to promile lidem .
Mimochodem elektronické bankovnictví mám od roku 99 kdy začla expandia banka dnes asi reiffeisen či kdo je pohltil , doma mám ještě tu jejich "kalkulačku" a v té době kolegové v komerčce dělali přesuny na účtu přes pobočkový telefon a hesla sdělovali úplně běžně do telefonu...
-
..... pro BTC jsem si generoval private key po bootu z liveCD na pc odpojeném od všeho, disku, sítě ...
Málo entropie
-
..... pro BTC jsem si generoval private key po bootu z liveCD na pc odpojeném od všeho, disku, sítě ...
Málo entropie
Jenže já si ten klíč vytvořil tak, že jsem si do sha256sum poslal svou vlastní interpretaci babičky od Boženy Němcové ;-) Myslím že podruhé to stejně napsat nedokážu. Hmmm, možná jsem tam měl poslat aktuální snímek z kamerky :-(
-
... jak si většina lidí myslí.
A ty nekdy myslis? Protoze SMS sama o sobe je ti khovnu, jeste musis znat login. Pricemz je to cely zalozeny na tom, ze jedno nebo druhy neni takovej problem ziskat, ale je problem ziskat oboje.
Přejdi k Unicreditu. Těm internetové a mobilní bankovnictví už asi měsíc nefunguje, takže je to zcela bezpečné. ;D 8)
Tak tim bych si nebyl tak jistej ;D, vzhledem k tomu ze se lidem objevujou a zase mizej penize (jak jejich tak zjevne i cizi) ...
...
BTW: V tech vyspelejsich statech predevsim za bezpecnost tech penez odpovida banka a nikdo jiny, a i kdyz uzivatel neco podela, jde to za bankou, protoze prave ona mela zajistit, aby to podelat neslo.
-
... jak si většina lidí myslí.
A ty nekdy myslis? Protoze SMS sama o sobe je ti khovnu, jeste musis znat login. Pricemz je to cely zalozeny na tom, ze jedno nebo druhy neni takovej problem ziskat, ale je problem ziskat oboje.
Jak ukazují vybrané účty, tak zas takový problém to není.
BTW: V tech vyspelejsich statech predevsim za bezpecnost tech penez odpovida banka a nikdo jiny, a i kdyz uzivatel neco podela, jde to za bankou, protoze prave ona mela zajistit, aby to podelat neslo.
U nás to taky do určité (naštěstí relativně rozumné) míry je. Kdyby to bylo jinde, tak bys ty první ječel, co ti to banka vnucuje za blbosti a že ty sám nejlíp víš, jak si zabezpečit účet.
-
liveCD rulez...
-
... jak si většina lidí myslí.
A ty nekdy myslis? Protoze SMS sama o sobe je ti khovnu, jeste musis znat login. Pricemz je to cely zalozeny na tom, ze jedno nebo druhy neni takovej problem ziskat, ale je problem ziskat oboje.
Jak ukazují vybrané účty, tak zas takový problém to není.
Tohle máš nějak podložené a nebo jen tak plácáš?