Zkušenosti s internetovým bankovnictvím

[Franta Kučera]

Na počtu zařízení nezáleží.

Já bych řekl, že záleží. Jak na počtu zařízení, tak komunikačních kanálů. Napadnout počítač a mobil dá útočníkovi víc práce než napadnout jen počítač nebo jen mobil. Stejně tak s těmi komunikačními kanály - můžeme se sice vysmívat chatrnému zabezpečení SMS nebo psát o tom, že útočník může mít komplice u operátora... ale pořád je složitější prolomit dva komunikační kanály než jeden.

[Reklama]

[Filip Jirsák]

Ehm, historicky se bezpečnostní chyby umožňující získání roota stávají mnohořádově častěji než prolomení běžně používané asymetrické kryptografie.

To je úplně jedno, že je to častěji. Podstatné jsou dvě věci – závažnost chyby a její pravděpodobnost.

Že se toho masivně nezneužívá neznamená, že to nejde. Jen jsou jednodušší způsoby jak krást peníze.

To je to podstatné.

Naprosto vůbec nic? No tak to bych si asi měl začít hledat novou práci, ach jo.

Nevíte ty nejzákladnější věci. Že bezpečnost=nebezpečnost se neposuzuje podle počtu chyb, ale podle jejich závažnosti a pravděpodobnosti. Že bezpečné není jen to, co je absolutně neprolomitelné (což není nic), ale to, kde náklady na prolomení jsou vyšší než to, co bych prolomením získal.

Já zase nemůžu důvěřovat proprietárnímu softwaru a zařízení, které může na dálku ovládat někdo další (Google, Apple, tajné služby atd.).

Takže nemůžeš důvěřovat ničemu. Jinak bezpečnost bankovnictví (mobilního, internetového nebo fyzického na pobočce) není proto, aby chránila tebe, ale aby chránila banku. To, že tím banka chrání i tebe, je jenom proto, že aby banka chránila sebe, musí do určité míry chránit i své klienty. A nechci nějak podceňovat, kolik máš na účtě v bance, ale nemyslím si, že by si Google nebo Apple nějak pomohl, kdyby ti účet vybílil.

Já bych řekl, že záleží. Jak na počtu zařízení, tak komunikačních kanálů. Napadnout počítač a mobil dá útočníkovi víc práce než napadnout jen počítač nebo jen mobil. Stejně tak s těmi komunikačními kanály - můžeme se sice vysmívat chatrnému zabezpečení SMS nebo psát o tom, že útočník může mít komplice u operátora... ale pořád je složitější prolomit dva komunikační kanály než jeden.

Ne, nezáleží. U vícefaktorové autentizace záleží ne počtu faktorů a jejich bezpečnosti. Ostatně, co bys vlastně počítal jako zařízení? Když OTP vygeneruju na mobilu a zadám ho do počítače, jsou to dvě zařízení nebo jedno? A pokud jedno, tak které – počítač nebo mobil?

[Franta Kučera]

Ještě bych doplnil, že tahle diskuse má dvě roviny: 1) samotná bezpečnost, 2) svoboda a soukromí.

Nelíbí se mi představa, že by fungování člověka ve společnosti bylo podmíněno podepsáním smlouvy s jednou ze dvou korporací (Google, Apple), souhlasem s jejich podmínkami a používáním zařízení, které je černá skříňka plně pod jejich vzdálenou kontrolou. Uživatel (nebo nezávislá autorita, které uživatel důvěřuje) nemá šanci ovlivnit ani zjistit, co se uvnitř toho zařízení děje.

Pokud něco nejde dělat s respektováním svobody, soukromí a konkurence na trhu, tak je lepší to nedělat vůbec nebo to dělat nějakou jinou, třeba méně pohodlnou cestou. Rozhodně to nemá být něco de facto povinného pro všechny občany.

[Libor]

Na počtu zařízení nezáleží.

Já bych řekl, že záleží. Jak na počtu zařízení, tak komunikačních kanálů. Napadnout počítač a mobil dá útočníkovi víc práce než napadnout jen počítač nebo jen mobil. Stejně tak s těmi komunikačními kanály - můžeme se sice vysmívat chatrnému zabezpečení SMS nebo psát o tom, že útočník může mít komplice u operátora... ale pořád je složitější prolomit dva komunikační kanály než jeden.

Naprosto souhlasím s p. Kučerou. Toto by se mělo vytesat do kamene a ten postavit do vchodu banky tak, aby o něj její vedení pravidelně klopýtalo při příchodu a odchodu z práce.
Nejdřív mě ve Spořitelně přesvědčili abych používal George klíč, a pak když ho za půl roku zrušili, tak se hodně divili že se chci vrátit zpět k SMS.

Pokud přijdu o MT (závada, krádež, spadne mi do záchodu,...), tak zprovoznit náhradní SIM kartu pro volání + SMS je otázka 1-2 hodin, ovšem bankovní aplikace, ... kdo ví ..., a také - i když to může jít snadno zrovna teď - bude tomu tak i za rok?

Na mé argumenty o dvou různými zařízeních pokud možno s různými technologiemi (PC pro zadávání plateb a MT pro autorizaci) koukali jak na zjevení. Ale na druhou stranu se to dá pochopit - pokud většina jejich klientů má na účtu nevelkou částku. asi se jim nevyplatí investovat do vyššího zabezpečení.
Ale upravit tu jejich mobilní aplikaci tak, aby se s ní dalo pouze autorizovat platby a nic jiného - to by snad tak těžké být nemuselo.

[Filip Jirsák]

Naprosto souhlasím s p. Kučerou. Toto by se mělo vytesat do kamene a ten postavit do vchodu banky tak, aby o něj její vedení pravidelně klopýtalo při příchodu a odchodu z práce.
Nejdřív mě ve Spořitelně přesvědčili abych používal George klíč, a pak když ho za půl roku zrušili, tak se hodně divili že se chci vrátit zpět k SMS.

Pokud přijdu o MT (závada, krádež, spadne mi do záchodu,...), tak zprovoznit náhradní SIM kartu pro volání + SMS je otázka 1-2 hodin, ovšem bankovní aplikace, ... kdo ví ..., a také - i když to může jít snadno zrovna teď - bude tomu tak i za rok?

Na mé argumenty o dvou různými zařízeních pokud možno s různými technologiemi (PC pro zadávání plateb a MT pro autorizaci) koukali jak na zjevení. Ale na druhou stranu se to dá pochopit - pokud většina jejich klientů má na účtu nevelkou částku. asi se jim nevyplatí investovat do vyššího zabezpečení.
Ale upravit tu jejich mobilní aplikaci tak, aby se s ní dalo pouze autorizovat platby a nic jiného - to by snad tak těžké být nemuselo.

Mobilní bankovnictví je řádově bezpečnější, než posílání nešifrované SMS. Myslí si to bezpečnostní odborníci, myslí si to banky, myslí si to bankovní dohled. To, že si laik Libor myslí opak (bůhví proč, žádné argumenty neuvádí), na tom nic nemění.

[Reklama]

[uwe.filter]

Naprosto souhlasím s p. Kučerou. Toto by se mělo vytesat do kamene a ten postavit do vchodu banky tak, aby o něj její vedení pravidelně klopýtalo při příchodu a odchodu z práce.

+1, chtěl jsem napsat něco velmi podobného, včetně toho tesání do kamene.

[L..]

Ještě bych doplnil, že tahle diskuse má dvě roviny: 1) samotná bezpečnost, 2) svoboda a soukromí.

Pokud vám jde o soukromí, tak je (smysluplná) autorizace přes SMS zcela nevhodná, protože při ní chodí detaily vašich bankovních transakcí nešifrovaně přes mobilní síť.

Fakt by mě zajímalo, kolik budou mít ty speciální HW autentikátory, co teď CZ banky chystají, zákazníků. Podle tohohle fóra to vypadají, že jim lidé utrhají ruce, ale mě něco říká že to spíš bude mít problém nezajít na úbytě.

[jjrsk]

Mobilní bankovnictví je řádově bezpečnější, ...

Za tohle tvrzeni by se melo zavirat ... na dozivoti.

Je to totiz presne naopak, bankovnicvi v mobilu neni zabezpeceno naprosto nijak. Kdokoli ten mobil zcizi(nebo hackne), ma zcela neomezeny a nicim nezajisteny pristup.

Fakt by mě zajímalo, kolik budou mít ty speciální HW autentikátory,...

Ve firemnim sektoru urcite znacny. Ony totiz jestli firmy typicky o neco nestoji, tak je to to, ze se jim jejich ucetni prihlasuji k firemnim uctum soukromym mobilem. Zdravime KB a CSOB ... (mozna nekdo dalsi potvrdi i dalsi pripady)

A pokud bys to nahodou nepochopil, tyhle ustavy(choromyslnych) nechapou(nedokazou to, protoze jejich celkove IQ je -∞) ze soukroma osoba je nekdo jiny nez zamestnanec, a to ze se nekdo prijlasuje mobilem k soukromemu uctu neznamena, ze by mu melo byt dovoleno se stejne prihlasit k dalsim uctum na ktere ma dispozicni prava.

BTW: Ad SMS jednak neni pravda ze by to bylo nesifrovane, ale ta sifra je davno prolomena. Existovaly casy, kdy se bezne pouzival SIM Toolkit ... jenze to se zase nikda nanaucil pouzivat droid.

[_Tomáš_]

Mobilní bankovnictví je řádově bezpečnější, ...

Za tohle tvrzeni by se melo zavirat ... na dozivoti.

Je to totiz presne naopak, bankovnicvi v mobilu neni zabezpeceno naprosto nijak. Kdokoli ten mobil zcizi(nebo hackne), ma zcela neomezeny a nicim nezajisteny pristup.

Fakt by mě zajímalo, kolik budou mít ty speciální HW autentikátory,...

Ve firemnim sektoru urcite znacny. Ony totiz jestli firmy typicky o neco nestoji, tak je to to, ze se jim jejich ucetni prihlasuji k firemnim uctum soukromym mobilem. Zdravime KB a CSOB ... (mozna nekdo dalsi potvrdi i dalsi pripady)

A pokud bys to nahodou nepochopil, tyhle ustavy(choromyslnych) nechapou(nedokazou to, protoze jejich celkove IQ je -∞) ze soukroma osoba je nekdo jiny nez zamestnanec, a to ze se nekdo prijlasuje mobilem k soukromemu uctu neznamena, ze by mu melo byt dovoleno se stejne prihlasit k dalsim uctum na ktere ma dispozicni prava.

BTW: Ad SMS jednak neni pravda ze by to bylo nesifrovane, ale ta sifra je davno prolomena. Existovaly casy, kdy se bezne pouzival SIM Toolkit ... jenze to se zase nikda nanaucil pouzivat droid.

já ti nevím.

Když ti někdo hekne nebo ukradne počítač, jsi na tom stejně. Posuzovat míru bezpečnosti tak, že si rovnou skočíš do stavu, že bezpečnost je prolomena je vtipné. Netuším, jak můžeš tvrdit, že bankovnictví v mobilu není zabezpečeno nijak.

K těm sms, v 2G/3G legacy sítích se sms přenáší v nešifrovaně, pouze se kóduje. V LTE se k posílání sms používá buď IMS (tam je šifrování neúčinné) nebo diameter (tam není). V 5G se také používá IMS, ale již to je nedílnou součástí a není potřeba to dodělávat jako plugin, stačí znát imsi a sms si přečteš, když se hodně snažíš. VoLTE je asi pro sms nejbezpečnější cesta.

Drtivá většina sms se v ČR přenese nešifrovaně v 2G síti (3G síť už skoro není), ČTÚ nařizuje provoz 2G sítě do roku 2028.

[snugar_i]

Když ti někdo hekne nebo ukradne počítač, jsi na tom stejně.

To zas úplně ne. Pokud oběť nemá heslo do bankovnictví uložený v prohlížeči, tak je ten počítač úplně k ničemu (je to stejný jako se tam hlásit z kterýhokoliv jinýho počítače), a pokud jo, tak sice nemusí lámat heslo, ale pořád ještě musí unášet SMS.

[Pavel...]

ked uz spamujete, tak aspon inteligentne.

Příště si tohle blábolení nechte pro sebe. Na rozdíl od vás aspoň nepíšu o věcech, o kterých nic nevím.

zanesvarili ste uplne zbytocne diskusiu uplne nesuvisiacou temou. Zakladatel vlakna sa nezapodieval porovnavanim fiktivneho nebezpecenstva takeho verzus makoveho.

"Prosím, nevysvětlujte mi, že bankovnictví v mobilu je super a že je chci. "

Ne, nikomu to namluvit nechci. Také jsem nic takového nenapsal. Je to 2FA v neuspokojivé podobě, proto to také banky nepoužívají.
....

to na co som reagoval bolo, ze vam staci uznat jedine zariadenie s vybranymi magickymi vlastnostami za 2FA. To, ze si k tomu dodate hrst magickych poziadaviek typu "bezpecne ulozisko" z toho nerobi druhy faktor.

Mobilní bankovnictví je řádově bezpečnější, než posílání nešifrované SMS. Myslí si to bezpečnostní odborníci, myslí si to banky, myslí si to bankovní dohled.

Nie, uradnici si myslia ze SMS je prezitok a tlacia na banky aby to nepouzivali, tot vsjo.
Porovnavat aplikaciu s komunikacnym kanalom a hovorit nieco o zabezpeceni je cisty nezmysel.

SMS je doplnok aplikacie s nejakymi moznostami a nejakym stupnom bezpecnosti.

[L..]

Je to totiz presne naopak, bankovnicvi v mobilu neni zabezpeceno naprosto nijak. Kdokoli ten mobil zcizi(nebo hackne), ma zcela neomezeny a nicim nezajisteny pristup.

Hele, popros někoho ze svého okolí kdo mobilní bankovnictví má a nech si ho ukázat. Evidentně jsi ho nikdy neviděl a píšeš naprosté nesmysly.

Ony totiz jestli firmy typicky o neco nestoji, tak je to to, ze se jim jejich ucetni prihlasuji k firemnim uctum soukromym mobilem.

A proč ty firmy jednoduše nedají účetním firemní mobily?

BTW: Ad SMS jednak neni pravda ze by to bylo nesifrovane, ale ta sifra je davno prolomena. Existovaly casy, kdy se bezne pouzival SIM Toolkit ... jenze to se zase nikda nanaucil pouzivat droid.

SMS jako taková je nešifrovaná. To, že některé kanály, kterými se SMS přenáší, šifrované jsou na tom nic nemění. Zprávy v SIM toolkitu byly šifrované end-to-end. Jenže ten měl tu nevýhodu, že člověk musel fyzicky dojít s mobilem do banky a tam banka svoji aplikaci nahrála. A chytré telefony jeho funkce nahradily, takže udržovat ho dál nemělo smysl.

[Anonymní Anonym]

Všem co tu obhajují mobilní bankovní aplikace. Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.

Chápu, že se řeší BFU, ale tady bych čekal jinou úroveň. To že se dá SMS ukrást a podvrhnout neřeší to, že útok na jedno zařízení, opakuji  jedno zařízení je snadnější navíc často hromadný než zkoušet účit na dvě konkrétní zařízení, opakuji dvě konkrétní zařízení zárověn abysme získali přístup ke konkrétnímu účtu.

K tazateli, já mám u RB stále ještě ověření přes SMS, možná i proto tam nemám odpad typu bank id, ale i tak mě banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit. Takže RB bych se také vyhnul, navíc SMS ověření nebude dle dnešních standartů takže věci jako propojení účtu tam imho nerozjedete. KB+ mám a jsem spokojen až na zmiznuté dobijení twistu.

Trošku se zapomíná i na bezpečnost fyzickou, už tu pár případů bylo ale divím se, že to není častěji. Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.

p.s. prosím pana Filipa, nereagujte na mě, vždy jsou to reakce velmi zcestné a bez argumetnů :-)

[asparukh]

Fio je za me jednoduche a docela primocare.  Mame tam nekolik uctu soukromych i firemnich a zatim to nikdo neproklina.

Ovsem u Unicreditu, kde mam hypo, se na stav konta chodim radsi jednou rocne ptat do banky, protoze to bankovnictvi je HRUZA. To neprehanim, fakt chodim na pobocku.

Mám to stejně, Fio je v pohodě, jak appka, tak webové bankovnictví.
Unicredit (mám taky kvůli hypo) je jeden velký UI fail.

Sice nechodím na pobočku, ale pokud tam chci udělat cokoliv složitějšího, než se podívat na zůstatek,
tak je to nejmíň na 20 minut, jeden Lexaurin a sprostý telefonát na info linku, kde to musí udělat za mě,
protože to v tom bankovnictví (v prohlížeči - jejich appku nepoužívám) nejde.

[jjrsk]

já ti nevím.

Když ti někdo hekne nebo ukradne počítač, jsi na tom stejně.

To teda rozhodne nejsem. Protoze i kdyby si zjistil muj login vcetne hesla, tak bez toho telefonu co na nej prijde ta sms je mu to uplne k prdu.