Zkušenosti s internetovým bankovnictvím

[Filip Jirsák]

Proto jsem v počátku psal, že o vaši reakci nestojím. Neobsahuje často argumenty, je jen urážlivá.

To jste si popletl. Urážlivé jsou příspěvky uživatelů Trident Vasco, technomaniak, jirsk – a od vás. Já jsem nic urážlivého nepsal, a uvádím argumenty.

Jak jsem psal v úvodu, řešil jsem odborné lidi, nikoli BFU.

To jste se ovšem polně minul se zadáním. Bankám totiž nestačí zabezpečit bankovnictví pro pár odborníků. Banky je potřebují zabezpečit pro všechny své klienty – tedy i pro ty, kteří si myslí, že jsou odborníci, ale nejsou, i pro tu většinu, která počítačové bezpečnosti nerozumí a přiznává si to.

Samotné technické řešení jednoho jediného zařízení ve kterém se sejde více faktorů je méně bezpečné než když se faktory sejdou odděleně a člověk je musí spojit.

To není pravda. Ukázal jsem vám příklad, kdy jste měl 5 zařízení, a bylo to stejně nebezpečné, jako kdyby to bylo jedno zařízení. Nezáleží na počtu zařízení, záleží na počtu a síle faktorů.

Potvrzovací SMS s infomací co je potvrzováno není vyšší level zabezpečení, je to prostě standart.

Já jsem neřešil, zda je to standard nebo nadstandard. Porovnával jsem dvě různé úrovně zabezpečení.

Každé elektronické zařízení je nutno z principu považovat za děravé, žádný software není na 100% dokonalý

To neplatí je o elektronických zařízeních, ale o všem. O nelektronických zařízeních, o papíru a tužce, o lidech.
A hlavně je to tvrzení bezpečnostně naprosto nerelevantní. Bezpečnost totiž není ano/ne, není to digitální veličina, nýbrž je to veličina spojitá.

a radeji si chybu udělám já než aby to udělalo zařízení za mě

To je ovšem přístup, který bezpečnost snižuje.

ano odlišuju se od BFU, jak jsem psal, ty jsem neřešil.

Ano, z hlediska bezpečnosti jste na tom hůř než BFU. BFU aspoň používá ta bezpečnostní opatření, která mu nějaký odborník připravil a vhodně mu je podstrčil – třeba v bance mu nainstalují mobilní bankovnictví. Vy nemáte lepší informace o bezpečnosti než BFU, jenom navíc věříte nějakým nesmyslům, které vás vedou k tomu, že bezpečnost aktivně bojkotujete.

Máte každopádně můj obdiv za to, že se takto veřejně ztrapňujete. Osobně bych vás na žadné pozici nezaměstnal

Lidé, kteří aspoň něco tuší o bezpečnosti, vědí, který tábor v této diskusi je který. Ostatně i ten, kdo si podívá, na které straně výrazně převažují argumenty a na které nadávky, v tom má jasno.

Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu.

Viděl jste někdy nějaké mobilní bankovnictví? A viděl jste vůbec někdy nějaký chytrý mobil? Protože do bankovnictví se nedostanete bez přihlášení alespoň otiskem prstu, skenem obličeje nebo zadáním PINu. A obvykle je něčím takovým chráněn i přístup do samotného mobilu. Takže to, že někomu fyzicky seberete mobil, fakt neznamená, že byste se dostal do banky.

[Reklama]

[uwe.filter]

Další zrůdnost je třeba to, jak různí „bankovní experti“ propagují platební brány integrované do webu prodejce. ... např. koupí věc v neznámém obchodě za pětistovku a maximální škoda, kterou riskuje, je ta pětistovka. Ale když je ta brána integrovaná do webu obchodu, tak musíš důvěřovat každému tomu obchodu, že ti nevyluxuje kartu, nezapamatuje si tvoje údaje, neposkytne je někomu dalšímu atd.

Blast from the past, ty mi chceš říct že platíš v roce 24/25 ještě svojí hlavní platební kartou, že nepoužíváš virtuální karty při placení na webu (eg.: Revolut) ?

Používám kartu, kde mám většinu času nastavené nulové limity a jen když jdu platit, tak je zvednu na příslušnou částku. Takže pro mne to relativně bezpečné je. Ale mám pocit, že většina lidí tohle nedělá.

Souhlas. Nejhorší jsou všemožní frikulíni, kteří mají hloupé řeči typu "blast from the past".

[Mudvy]

Ja treba na uctech nic nemam a potrebne castky prevadim ze sporicich podle potreby prave pres mobilni bankovnictvy. Ze zporaku se daji posilat penize jen na vlastni ucet cili nemuzou jen tak nekam odletet jednim prikazem pryc 🙂.

Po kapsach nosim par stovek pro pripad nouze coz pokreje jidlo/tankovani a jine potreby kdyz toto selze.

Hrozba jsou ty predschvaleny uvery … ale slysel jsem legendu ze se jich da zbavit nedanim souhlasu pro marketingove kanpane

Podle moji zname co dela v bankovnictvi nejvic chybuji lide co posilaji penize kamsi a poste nic nectou a pak ziskaji subscription nebo sluzby co ani nechteli.

Nebo se kradou cisla pres e-simky jinym uzivatelum, pak se odcizi bankovni aplikace a utocnik ma pristup k uctu tak jako by byl majitel.

[_Tomáš_]

Vždyť i vzdělaný kolegové z IT oboru běžně odkliknou chybu certifikátu, protože to vidí pořád..

Nevím, mluv za sebe nebo za tvoje "vzdělaný" kolegy.
Já a lidi co znám máme nastaveno vynucovaní https ve všech prohlížečích. Pomocí GPO a v celé firmě, kde se objevím a vidím že to nemají, tak je to jedna z prvních věcí co tam tlačím.
Pokud to hodí chybu, heh nebo pokud stránka jede jenom na http, tak mám v hlavě hned alarm a řeším co se děje.
A řeší se to opravou webu, komunikací proč nemají zapnuté https atd. odklikávání je zakázano.
Pokud se nevyřeší, tak se ten web prostě nepoužívá.

Jasně, každý je superstar a nikdy neporuší pravidla, GPO se používá zpravidla na firemních počítačích, že, to asi není cílovka. Pravidelné testování ve firmách mluví jasně, vždy se někdo nachytá a mohu ti garantovat, že občas udělají chybu i ti, kteří o sobě tvrdí, jak jsou strašně obezřetní. Všichni občas uděláme chybu či něco opomeneme.

Plošné útoky ale necílí na ty, kteří jsou opatrní, ale právě na ty, kteří opatrní nejsou (a je jedno jestli to je kvůli jejich znalostem, vnitřního rozpoložení, manipulaci atd.).

Ono být dnes obezřetný začíná být sakra těžké, vždyť mobilní prohlížeče pro jistotu mi schovávají dost efektivně adresu webu, na kterém jsem, různé web view to odstraňují úplně, služby jako paypal, které se buď otevírají v okně bez url nebo v iframe ve mě budí také důvěru. Viděl jsem na Androidu zobrazený captive portál, který věrohodně kopíroval webové stránky české spořitelny, nešlo tak snadno rozeznat, že jsem vlastně jinde, dokonce to mělo i svůj vlastní adresní řádek se správnou url.

Nechci ale obhajovat mobilní aplikace, to také není růžové.

Ja treba na uctech nic nemam a potrebne castky prevadim ze sporicich podle potreby prave pres mobilni bankovnictvy. Ze zporaku se daji posilat penize jen na vlastni ucet cili nemuzou jen tak nekam odletet jednim prikazem pryc 🙂.

Po kapsach nosim par stovek pro pripad nouze coz pokreje jidlo/tankovani a jine potreby kdyz toto selze.

Hrozba jsou ty predschvaleny uvery … ale slysel jsem legendu ze se jich da zbavit nedanim souhlasu pro marketingove kanpane

Podle moji zname co dela v bankovnictvi nejvic chybuji lide co posilaji penize kamsi a poste nic nectou a pak ziskaji subscription nebo sluzby co ani nechteli.

Nebo se kradou cisla pres e-simky jinym uzivatelum, pak se odcizi bankovni aplikace a utocnik ma pristup k uctu tak jako by byl majitel.

Útočník pak můžeš si na tebe vzít úvěr, nulový zůstatek neznamená, že jsi v bezpečí. Některé banky dokocne umí bez problémů jít platbou i do mínusu (nebudu RB jmenovat).

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

a radeji si chybu udělám já než aby to udělalo zařízení za mě

To je ovšem přístup, který bezpečnost snižuje.

ano odlišuju se od BFU, jak jsem psal, ty jsem neřešil.

Ano, z hlediska bezpečnosti jste na tom hůř než BFU. BFU aspoň používá ta bezpečnostní opatření, která mu nějaký odborník připravil a vhodně mu je podstrčil – třeba v bance mu nainstalují mobilní bankovnictví. Vy nemáte lepší informace o bezpečnosti než BFU, jenom navíc věříte nějakým nesmyslům, které vás vedou k tomu, že bezpečnost aktivně bojkotujete.

Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu.

Viděl jste někdy nějaké mobilní bankovnictví? A viděl jste vůbec někdy nějaký chytrý mobil? Protože do bankovnictví se nedostanete bez přihlášení alespoň otiskem prstu, skenem obličeje nebo zadáním PINu. A obvykle je něčím takovým chráněn i přístup do samotného mobilu. Takže to, že někomu fyzicky seberete mobil, fakt neznamená, že byste se dostal do banky.

Toje zase jirsákův argument  ad vytržením
A viděl jste snad internetové bankovnictví? Otisk prstu se dá získat ze skleničky a možná se nějaký otisk najde na telefonu samotném, sken obličeje se dá zfalšovat vytištěním na karton
nedá se říct že jedno je bezpečnější než druhé, vždy platí za nějakých okolností (zda nosím  "ten PIN" do  smartphone bankovnictví nebo login údaje do internet.banking vyrytý do zadní stěny telefonu ) nebo zda telefon má primitivní čtečku skenu obličeje která se dá ošálit přilepením vytisklé fotky na obličej nebo že otisk prstu není bezpečnost(ní zvyšující )prvek ale  (bezpečnost) zjednodušující prvek, funguje, pokud zloděj najde telefon kdesi na zemi a nedokáže zjistit otisk prstu

takhle tunelově argumentovat se dá do nekonečna.

Máte každopádně můj obdiv za to, že se takto veřejně ztrapňujete. Osobně bych vás na žadné pozici nezaměstnal

Lidé, kteří aspoň něco tuší o bezpečnosti, vědí, který tábor v této diskusi je který. Ostatně i ten, kdo si podívá, na které straně výrazně převažují argumenty a na které nadávky, v tom má jasno.

[/quote]
odborník dokáže věci pochopit, že věci závisí na mnoha faktorech a dalším způsobu použití a ne jen slepě papouškovat reklamní tvrzení, že smrt-phone banking je bezpečnější protože je novější


rozdíl mezi smartphone bankingem a internetovým bankovnictvím je ten, že v případě smartphone bankingu je bankovnictví nedílně vázáno na ten daný kus smartphonu a, kdežto internetové bankovnictví na žádné zařízení vázané není (nebo ano, pokud se bere v úvahu to, ve kterém je simka pro potvrzovací SMS)

[Reklama]

[Filip Jirsák]

A viděl jste snad internetové bankovnictví? Otisk prstu se dá získat ze skleničky a možná se nějaký otisk najde na telefonu samotném

Jo, a zkoušel jste to? Bude vás to stát míň, než kolik je limit platby potvrzené otiskem prstu?

nedá se říct že jedno je bezpečnější než druhé, vždy platí za nějakých okolností (zda nosím  "ten PIN" do  smartphone bankovnictví nebo login údaje do internet.banking vyrytý do zadní stěny telefonu ) nebo zda telefon má primitivní čtečku skenu obličeje která se dá ošálit přilepením vytisklé fotky na obličej nebo že otisk prstu není bezpečnost(ní zvyšující )prvek ale  (bezpečnost) zjednodušující prvek, funguje, pokud zloděj najde telefon kdesi na zemi a nedokáže zjistit otisk prstu

Bezpečnější než kód poslaný SMS je to vždy. Ono mimochodem tu bezpečnost také hodně ovlivňuje chování uživatelů. Takže to, aby neměl uživatel vyrytý bankovní PIN na zádech telefonu, má banka do značné míry v ruce – tak, že umožní klientovi obsluhovat bankovnictví tak, aniž by potřeboval mít PIN vyrytý na telefonu.

Mimochodem, když banka povolí autorizaci platby pomocí SMS, co by udělala spousta lidí? No otevřou si internetové bankovnictví v prohlížeči v mobilu, tam zadají transakci, nechají si na ten samý mobil poslat SMS a tou platbu potvrdí. Co pak udělá útočník? Pošle uživateli odkaz na nějaký super prohlížeč, který mu bude úplně sám blokovat veškerou reklamu. Uživatel tomu prohlížeči pak povolí čtení SMS, a útočník má všechno, co potřebuje. A uživatel se bude hrozně divit, vždyť přece používal ten hrozně bezpečný prohlížeč.

odborník dokáže věci pochopit, že věci závisí na mnoha faktorech a dalším způsobu použití

Strefujete se do špatného. Já jsem oponoval tvrzení, že je důležitý počet zařízení. A tvrdil jsem, že důležitý je počet faktorů a jejich bezpečnost.

ne jen slepě papouškovat reklamní tvrzení, že smrt-phone banking je bezpečnější protože je novější

Kde tady někdo něco takového tvrdil?

rozdíl mezi smartphone bankingem a internetovým bankovnictvím je ten, že v případě smartphone bankingu je bankovnictví nedílně vázáno na ten daný kus smartphonu a, kdežto internetové bankovnictví na žádné zařízení vázané není

Hm, jako bych tohle v této diskusi už četl. Teda, vlastně, já jsem to v této diskusi už psal.

Možná příště, až se mnou zase budete chtít polemizovat, zkuste napsat něco, co jsem nepsal. Zatím se vám to povedlo v jediném případě – bohužel zrovna tehdy, když jste parafrázoval něco, co jsem údajně měl napsat.