Je přístup do online bankovnictví bezpečný?

karel

Je přístup do online bankovnictví bezpečný?
« kdy: 12. 12. 2016, 10:31:10 »
Prosim opravte mne v uvaze o bepzecnosti pristupu do internetoveho bankovnictvi.
Z principu muze byt muj pocitac nakazen malwarem a tedy ovladan treti stranou bez toho abych to ja ci antivirus vedel (Zero day). Utocnik si tedy s mym pocitacem v zasade muse delat co chce tzn. treba:
-podvrhnout IP  adresu webu me banky (zapis do host) -takze i pri kontrole URL  je vse v poradku, ikdyz misto na web banky pristupuji na webovy server utocnika
-certifikat si pro svuj web muze vystavit sam a do meho operacniho systemu dat svou certifikacni autoritu jako duveryhodnou
Takze ja pri kontrole pristupu na korektni URL pres validni HTPPS jsem spokojeny, presto ze pristupuji na web utocnika?

Je ma uvaha spravna ?
« Poslední změna: 12. 12. 2016, 10:45:49 od Petr Krčmář »


Re:Je pristup do online bankovnictvi bezpecny?
« Odpověď #1 kdy: 12. 12. 2016, 10:44:24 »
Vicemene z podobnych duvodu se proto pouziva dvoufaktorova autorizace u plateb a casto i prihlasovani.

lum

Re:Je pristup do online bankovnictvi bezpecny?
« Odpověď #2 kdy: 12. 12. 2016, 10:48:26 »
Z principu veci neexistuje bezpecne misto na zemi - jaderny vybuch,  zaplavy, zemetreseni, vybuch supernovy, cerna dira - bezpecne misto je iluze.

Obdobne je to v IT - marketing nuti neustale vylepsovat sw  - aby se prodavalo.
I kdyby existoval sw, na kterem si dali opravdu zalezet, necpali tam zbytecne cool veci - stejne bude obsahovat kritickou chybu - jen ji najit.

Ted si predstavte OS a prohlizec, ktery neustale meni, zaplatuje, meni a zaplatuje  -s vysokou pravdepodobnost neobsahuje chybu, ale chyby.

Dvou faktorova autentizace je fajn, pokud nemate smartphone - ten ma obvykle stovky neopravenych chyb a vypouzivate k pristupu na net stejnou sit s PC. Pokud je PC neduveryhodne, tak smartphone je uz tim tuplem neduveryhodny.

Nejaky certifikat, je to posledni posledni v retezci chyb.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #3 kdy: 12. 12. 2016, 10:54:44 »
Bezpečnost je vždycky vyvážením rizika a nákladů (nejen finančních). Existují třeba offline zařízení pro generování kódů pro dvoufaktor nebo je možné tuhle úlohu přesunout do čipové karty připojené k počítači skrz čtečku s vlastní klávesnicí. Tohle úplně odbourává problém chytrého telefonu připojeného k internetu (nehledě na možnost jednoduchého odposlechu autorizačních SMS).

Ovšem uživatelé pokročilejší metody ochrany nechtějí. Jedna česká banka před lety tuhle formu autentizace kartou zavedla povinně a klienti začali hromadně utíkat, protože „to je složité a jinde to nemusí být“. Je ale možné, že to banky stále nabízejí, zeptal bych se na to.

j

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #4 kdy: 12. 12. 2016, 10:59:01 »
...
Pokud pouzijes sms a (idealne uplne blbej) mobil, tak je pravdepodobnost pomerne nizka. Predpoklada samo, ze si tu SMS prectes a prekontrolujes aspon castku a cast cisla uctu. Magori ktery si do mobilu nainstalujou "tu uzasnou appku co z ni nemusim opisovat SMS" zbouraj i ten posledni kousek bezpecnosti.

BTW: Az ti bude browser nadavat, ze certifikat je expirovanej nebo revokovanej, a ty zavolas do banky, co ze se jako deje, tak ti se 100% jistotou reknou, ze to nemas resit.


Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #5 kdy: 12. 12. 2016, 11:09:35 »
Ne vždy. Minimálně mojí ženě se to před lety stalo v GE a nadiktovali jí okamžitě otisk klíče :-D.

Lojza

  • *****
  • 672
    • Zobrazit profil
    • E-mail
Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #6 kdy: 12. 12. 2016, 11:27:31 »
neni bezpecne, cekam kdy redirect nebudou delat pres hosts ktery antiviry hlidaj proti zmene ale pres route

zakladem jsou 2 nezavisle kanaly, sms nejlepe na hloupy telefon


Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #7 kdy: 12. 12. 2016, 11:35:16 »
Vaše úvaha je správná. Ale právě proto se online bankovnictví zabezpečuje dalším kanálem nezávislým na počítači – alespoň zasláním nešifrované SMS s platebními údaji a potvrzovacím kódem, v lepším případě šifrovanou SMS nebo speciálním autentizačním zařízením. Samozřejmě to závisí na tom, že před tím, než ten ověřovací kód opíšete, zkontrolujete platební údaje – alespoň číslo účtu a částku. Útočník pak sice může na napadeném počítači platební údaje nepozorovaně změnit, ale vy ty změněné údaje uvidíte v té potvrzovací SMS a poznáte tak, že je něco špatně a platbu nemáte autorizovat.

Mimochodem, Raiffesienbank posílá v té potvrzovací SMS i začátek otisku klíče serveru, se kterým právě komunikujete, takže podvržené HTTPS můžete zjistit i podle toho. Akorát je škoda, že to nikde nepropagují a bankéř na pobočce ani nevěděl, co ten kód v SMS znamená, musel jsem si to zjistit sám.

karel

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #8 kdy: 12. 12. 2016, 11:51:09 »
dekuji vsem, bohuzel za potvrzenim ze dany scenar je mozny.... dvoufaktorovou autorizaci formou zabezpecen SMS mam , ale prijdu o ni, protoze mobilni operatori uz nemaji sim kartu ze SIM toolkitem.... a mne byse hodil vymenit operator. jinak dvoufaktorova autorizace kdyz mam minimalne email ucet v pocitaci a na mobilu stejny je problem. Jedinym bezpecnym resenim je tedy jak zminujete druhy hloupy mobil ci nejaky "kalkutor od banky"....

.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #9 kdy: 12. 12. 2016, 12:06:07 »
Další cestou může být dvoufaktorové přihlašování přes token, údajně to u nás už podporuje Reiffeisen. Jakékoliv čistě mobilní bankovnictví je podle mne sebevražda.

pavelx

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #10 kdy: 12. 12. 2016, 12:41:49 »
Mimochodem, Raiffesienbank
Až na to, že jejich banking se vůbec nezměnil od dob E-banky http://www.abclinuxu.cz/clanky/ruzne/elektronicke-bankovnictvi-ebanka

Pako

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #11 kdy: 12. 12. 2016, 12:55:51 »
Mimochodem, Raiffesienbank
Až na to, že jejich banking se vůbec nezměnil od dob E-banky http://www.abclinuxu.cz/clanky/ruzne/elektronicke-bankovnictvi-ebanka

Což není na škodu, alespoň není responzivní nebo jinak snadno nepoužitelný.

Zpočátku mimochodem se ani jinak než pomocí hardwarové "kalkulačky" přihlásit nedalo.

Dneska myslím že aplikace na sim kartě chráněná 6-ti místným pinem nahradí.

A myslím že i jejich aplikace pro iOS je bezpečná.

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #12 kdy: 12. 12. 2016, 12:56:59 »
dvoufaktorovou autorizaci formou zabezpecen SMS mam , ale prijdu o ni, protoze mobilni operatori uz nemaji sim kartu ze SIM toolkitem […] jinak dvoufaktorova autorizace kdyz mam minimalne email ucet v pocitaci a na mobilu stejny je problem.
I nešifrovaná SMS bezpečnost podstatně zvyšuje. Mobilní telefony mají podstatně lepší bezpečnostní model aplikací, než desktopové operační systémy (resp. mají vůbec nějaký, na rozdíl od počítačů). Aby někdo mohl upravit tu potvrzovací SMS v mobilu, musel by zneužít nějakou chybu přímo v operačním systému (ano, existují takové chyby), zatímco v PC stačí, aby si uživatel spustil nějaký záškodnický program, není k tomu potřeba chyba v systému.

Jedinym bezpecnym resenim je tedy jak zminujete druhy hloupy mobil ci nejaky "kalkutor od banky"....
RB stále možnost používat „kalkulátor“ nabízí: Osobní elektronický klíč.

jpu

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #13 kdy: 12. 12. 2016, 13:03:57 »
je, len nesmies pristupovat z androidu ;)

Jenda

Re:Je přístup do online bankovnictví bezpečný?
« Odpověď #14 kdy: 12. 12. 2016, 13:20:39 »
Aby někdo mohl upravit tu potvrzovací SMS v mobilu, musel by zneužít nějakou chybu přímo v operačním systému (ano, existují takové chyby)
Nebo prostě odsniffnout ze vzduchu a cracknout pomocí volně dostupných toolů, že.

Ale samozřejmě, je to mnohem, mnohem lepší než nic.