Zkušenosti s internetovým bankovnictvím

[mhepp]

Zdravím,

v poslední době mne banka (KB) donutila přejít do nového bankovnictví (KB+, spíše KB--), které umí jen zlomek toho, co staré. Hlavně, že v novém dyzajnu. Diskuze s podporou nevede k uspokojivým výsledkům (není, nelze, možná za dva roky).

Proto hledám novou banku a rád bych poprosil o vaše zkušenosti v tomto směru.

Co potřebuji:

• Internetové bankovnictví na desktopu/v prohlížeči bez nutnosti používání aplikace v telefonu. Zde možná mohu slevit, pokud půjde jen o přihlašování a v nouzi se půjde přihlásit i bez aplikace.
• Možnost zasílání oznámení o pohybu na účtu na e-mail/SMS/...
• Propojení účtů z jiných bank. (Zde je to proto, že kvůli hypo mám ještě další účet u Spořky a jejich George je vzor toho, jak ne.)
• Možnost načtení QR kódu ze souboru
• Platební kartu a běžné věci jako zablokování plateb na internetu a tak...

Co nechci:

• Používat aplikaci v mobilním telefonu.
• Být nucen do obskurností, které nemají nic co do činění s bankovnictvím (například ukládání každého, komu posílám peníze do adresáře, zdravím do Spořky).

Prosím, nevysvětlujte mi, že bankovnictví v mobilu je super a že je chci. Nechci. Stejně tak prosím o věcné zhodnocení bankovnictví, které používáte s ohledem na výše uvedené požadavky...

Děkuji...

[Reklama]

[_Tomáš_]

KB jsou experti na slovo vzatí, horší projekt než KB+ jsem dlouho v bankovním světě nezažil, to znám i ČSOB.

Dříve nebo později budou muset veškeré banky přejít na bezpenější způsob přihlašování, tj. aplikaci nasadí postupně všechny, ty lepší budou mít k dispozici alternativu v podobě nějakého HW token (připravuje Air, RB a GM).

Zkus se podívat na Airbanku nebo Rajfku, umí vše, co jsi sem napsal. Pravděpodobně to ale umí i ostatní menší banky.

Budeš ale bojovat s tím oznámením o pohybu na email/sms, tohle postupně banky ruší.

[𝑾𝑰𝑭𝑻]

No, takhle: bez mobilního čehosi se dneska bude něco hledat těžko, protože od ověřování SMSkou prakticky všichni dávají ruce pryč a pokud je hlavním kritériem toto, tak sám nevím, která banka tohle dneska u nás nabízí.

TL;DR: Zkuste AirBank, myslím, že vše, co požadujete, umí, aspoň mě z toho seznamu nenapadá nic, co by byl problém. Jasně, jsem zaujatý, používám to jako primární banku, ale co jsem viděl bankovnictví (internetové i mobilní) několika jiných bank, vždycky to bylo horší.

[Jiří Švácha]

Zkusil bych se podívat na AirBank. Jen bez mobilní aplikace to asi nepůjde minimálně na dvoufaktor a potvrzování bude potřeba prakticky u každé banky. Ale myslím že je v plánu i HW token.

[XXX_Sam_XXX]

Taky mám zkušenosti s KB+ a zlámal bych jim za to nejradši ruce.
Teda ne vyvojářům, tipnu si že to museli nenávidět. Ale tomu kktovi co v KB šéfuje vývoj.

[Reklama]

[mhepp]

HW token a tak mi až tak nevadí - může být doma na bezpečném místě a je při rozumném zacházení věčný (Yubikey mám cca 8 let a furt funguje).

Proč ne mobil, je to prosté - není to „bezpečné“ zařízení - hrozí jeho „ztráta“ (rozbití, ztracení, ukradení, zastarání) a nechci být pak v pasti jenom proto, že musím udělat něco v bankovnictví.

Wift: zaujatost mi nevadí, naopak, pokud ji používáš jako primární banku, je to známka toho, že jsi s ní spokojený a tvář banky je dnes právě to bankovnictví.

Mimochodem, do KB-- jsem se zatím přihlásil pouze dvakrát, našel fůru chyb a nedodělků a raději mizím.

Děkuji všem za tipy.

[_Tomáš_]

HW tokeny připravuje několik bank, ale zatím nevím o tom, že by to nějaká spustila pro FO veřejně. Co jsem zaznamenal, tak nejvíce řeší to, že to nechtějí spouště pro 4 uživatele, ale hledají cestu, která bude dostupná 2/3 uživatelů (technicky).

Daleko více než omezení na mobilní aplikaci pro přihlašování mě trápí omezení na JEDINOU aplikaci pro přihlášení. Ztráta telefonu se rovná kompletní znepřístupnění účtů a pak je docela zábava.

Nedávno jsem dával telefon do servisu, takže záloha, tovární nastavení, obnova. Všechny banky to přežili až na KB+, tam si s tím doteď neporadili ani na pobočce (a už měsíc čekám bez přístupu k účtu) a na Rajfku, tam to muselo jít opět trikem vytvoření nového účtu, nastavení nové aplikace k účtu, připojení předchozího účtu k novému, smazání nového účtu (starý známý trik, který funguje u více bank, ale jsou na to potřeba dva doklady).

Taky mám zkušenosti s KB+ a zlámal bych jim za to nejradši ruce.
Teda ne vyvojářům, tipnu si že to museli nenávidět. Ale tomu kktovi co v KB šéfuje vývoj.

ruce bys musel urážet ještě někomu výš než tomu, kdo má na starosti vývoj. Bohužel se to rozhodlo (vč. termínu) příliš nahoře.

[noob]

CREDITAS

[Filip Jirsák]

Banky mají povinnosti dané legislativou ohledně zabezpečení transakcí. Pokud jsou vaše požadavky v rozporu s touto legislativou, máte smůlu. Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky. Proto tammusí být další faktor, kterým operace zadané na počítači potvrdíte. Nejlepším řešením jsou aplikace pro mobilní telefony, protože mohou být dostatečně bezpečné, zároveň snadno použitelné pro uživatele a drtivá většina uživatelů má chytrý mobil.

HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol). Takže byste musel mít speciální HW klíč s klávesnicí a displejem, kam byste tyhle údaje mohl zadat. S tím kdysi dávno začínala v ČR eBanka. Jenže něco takového dnes nedává žádný smysl – uživatelsky by to bylo daleko horší, než použití mobilu, a bylo by to podstatně dražší, než nejlevnější mobily.

SMS už dávno nejsou považované ze bezpečné. Některé banky je možná stále nabízejí, ale je to pro banku náklad a riziko navíc, takže takovou službu pravděpodobně bude poskytovat pár bank, které obslouží těch pár podivínů, ale nevyplatí se to provozovat každé bance.

Banky nemají předepsané, jak přesně musí transakce zabezpečit. Posuzuje se celkové riziko, které banka významně sníží tím, když platbu autorizujete v mobilní aplikaci. Takže autorizaci SMS může banka také povolit, ale pak musí to snížení rizika dohnat někde jinde. Mimochodem, proto také některé platby nemusí vyžadovat potvrzení, případně některé platby stačí v mobilu potvrdit otiskem prstu a jiné musíte potvrdit PINem. Záleží to na tom, jak moc je ta platba bankou vyhodnocena jako riziková a o kolik tedy potřebuje snížit riziko potvrzením v mobilní aplikaci.

Pokud se bojíte, že přijdete o mobil a tím i o přístup k bankovnictví, spárujte si s bankovnictví víc zařízení. Třeba mobil a tablet. Pokud to KB neumožňuje a je to pro vás důležité, nezbyde než změnit banku.

[hknmtt]

Tak klasika, Fio.
Aj ked "Propojení účtů z jiných bank." je taka neskutocna exotika ze pochybuje ze to niekde najdes.
A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.

Fio ma sice aplikaciu ale nie je povinna, akurat ze ak si ju nahodis tak nemozes pouzivas sms kody ale MUSIS verifikovat cez aplikaciu.

Takze s tymi poziadavkmi asi ostan pri tej KB

[martyd420]

Zkusil bych se podívat na AirBank.

Jako pro lidi, kterým jednou měsíčně přijde výplata a neřeší daňové přiznání a reporty pojišťovnám, apod. asi OK. Ale jinak slušné hyperjavascriptové peklo. Navigace zpět vpřed nefunkční, po naprosto absurdním automatickém odhlašování se neumí vrátit na předchozí stránku a uživatel všechny filtry zadává znovu. Heslo do aplikace musí mít přesně šest číslic, ne méně, ne více, ne jiné znaky. Bezpečné heslo lze nastavit až hluboko v nastavení objevíte možnost šestičíslicové pravidlo vypnout. Pro obnovení hesla jsem byl na pobočce nucen vybrat si (a pamatovat si) dva obrázky z dětských omalovánek. Support katastrofální, o nezrušitelné předplatné ilegálně strhávané z karty neprojevují absolutně žádný zájem. Takže na airbank pozor, to nechceš zažít

[_Tomáš_]

Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky

Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.

HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol).

Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí. Mícháš dvě věci dohromady, někde potřebuješ mít uložený tajemství (teď se používá zabezpečná enclava uvnitř telefonu), pak aplikaci, která ti zobrazí výzvu a po tvém potvrzení jí skombinuje s tajemstvím a doručí bankce. Ty přepisovací kalkulačky jsou už historie.

Já bych k tomu jen dodal, že banky jsou odpovědné za případné zneužití, takže pokud jim bude stačit pouze jméno+heslo, může se stát, že v tom zahučí neskutečné peníze, tak se snaží. Kupodivu až tohle byl ten hlavní hnací motor, aby banky začaly něco dělat a nedrželi se alibistického "nikomu nesdělujte číslo karty a heslo k účtu, je to vaše vina".

Těch bank, které umožňují více aplikace je pořád dost málo a ještě míň těch, které umožňují je mít i v jiném režimu, než že jedna je aktivní a druhá se musí aktivovat přes tu první, protože notifikace na přihlášení chodí vždy jen na jednu.

Navigace zpět vpřed nefunkční

Které bance to funguje? Prohlížeče dnes neumí ani bezpečně uchovávat session cookies, Google si to řeší hardcodování svých věcí do chromu, banky mají smůlu, tak si sezení ve webovém prohlížeči drží v javascript paměti jako proměnnou. Dopředu/zpět by mohlo fungovat přes history api, nevím, proč to nepoužívají, obnovení stránky to ale zabije snad u všech bank.

Která banka ti umí zrušit předautorizované transakce na kartě? Snad žádná, on jim takové zásahy totiž zakazují podmínky kartových asociací a částečně i zákon o platebním styku. Daný subjekt by musel by na černé listině. Řešením je bohužel zrušit kartu.

Ty obrázky beru jako vtípek, nepamatuji si je a na pobočce s doklady to lze vždy přeskočit.

[mhepp]

...

Toto je přesně ta odpověď, která mne nezajímá. Nechci číst tvé domněnky.

[bmn]

Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware. Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti. Někde se o tom už psalo, mám pocit že to byly účty nějaké BTC směnárny. Asi k tomu ale zatím nedochází v takové míře, že by vyžadovali druhý faktor. To by pak uživatelé prskali. Kdyby alespoň nějaká banka měla možnost platby zadané na mobilu potvrzovat na PC.

[Michal Šmucr]

Na KB+ jsem přešel koncem loňského roku, ale při svém (základním) způsobu používání mi tam nic neschází, používám to primárně na mobilu (web je jen fallback), notifikace dostávám z té mobilní appky, případně si je můžu zapnout e-mailem. Účty v ostatních bankách mě v KB+ moc nezajímají, jelikož mají případně své natvní appky, ale možná jsem to jen nepochopil. QRka chci načítat primárně přes mobil a jeho foťák, protože si takhle běžně posílám peníze s ostatními lidmi (co mají mobilní aplikace a vygenerují mi to QRko), platím s tím občas v hospodách atp.
Ale jasně, beru třeba máte i další specifické požadavky, a jestli vám na podpoře řekli, že to ještě není, nebo to bude trvat dlouho, tak hledáte alternativu.

Jen mě trochu zarazilo - teď nezávisle na KB+, jak jste psal, že mobil není bezpečný, můžete ho ztratit atp. Mě to naopak s tím sandboxováním aplikací, vestavěnou biometrií atp. přijde out-of-box výrazně bezpečnější než standardní PC třeba s certifikátem v souboru (jak to kdysi bývalo). A s tím ztracením, řekl bych že i kdybyste to řešil jen přes web a telefonem jen potvrzoval (takhle to preferují třeba mí rodiče), tak většina bank vám umožní nainstalovat a povolit tu ověřovací appku na víc zařízení - může to být třeba tablet, starší mobil v šuplíku (pokud nemá úplně nějaký prehistorický OS).
Takže nějaká forma zálohy, aby člověk při případné ztrátě nebo závadě toho primárního mobilu nemusel hned na pobočku, je také možná. Což tak jako tak podle mě dává smysl pořešit i pro případné ostatní ověřovací aplikace k různým jiným službám mimo bankovnictví, pokud je člověk používá.