Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?

Petr

Máte nějaké doporučení jak zlepšit přístup do internetového bankovnictví z počítače s linuxem ?

Napadá mě:
- deaktivovat všechny pluginy
- v anonymním módu ?
- mít ve Firefoxu jiný profil (heslovaný ?? )
- spouštět Firefox pod jiným (vyhrazeným) uživatelem
- nebo spouštět si virtualizovaný další linux a z něj

Jaký je váš názor ?
Děkuji.


zdenek henek nereg.

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #1 kdy: 05. 10. 2017, 16:58:26 »
browser, kde nejede nikdy nic jinyho nez internetove bankovnictvi nebo datova schranka

mam nainstalovany ff, chrome a chromium, posledni je ten "bankovni" a na nic jineho tento prohlizec nepouzivam

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #2 kdy: 05. 10. 2017, 17:09:13 »
Elegantni reseni - QubesOS.
Crude reseni - ocesany browser pod jinym uzivateletem.

Urcite tak ci onak 2FA, minimalne SMSky, pokud banka umi "kalkulacku", tak tu.

Tomas2

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #3 kdy: 05. 10. 2017, 17:53:22 »
snad jedině kalkulačku, tu u nás má ale jen hrska bank (např. rb), airbanka plánuje snad už letos spustit pilotní přístup s bezpečnostním tokenem). Máte někdo info o ostatních bankách?

Můžeš vymyslet poměrně silné zabezpečení, ale poté stačí jedenkrát ho porušit a můžeš být rovnou v řiti. QubesOS je bezva, ale s notebooky má problémy (když už běží, výdrž na baterii, sleep a další drobnosti pokulhávají) a já třeba většinu věcí dělám na cestách.

Osobně používám dedikovaný server, který mám v 4U kleci v jednom pražském DC a na něj se připojuji přes vnc. Ne že bych byl tak paranoidní, ale měl jsem server a místo navíc, schopnost používat bankovnictví odkudkoliv mě uspokojuje, stejně tak mi veškerá komunikace běží pod ssh a chodí mi z toho notifikace při připojení, takže mám volnost a kontrolu zároveň. Škoda, že banky neumí whitelist IP adres. To jen nápad pro lidi, kteří potřebují být na cestách.

L.

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #4 kdy: 05. 10. 2017, 18:02:59 »
snad jedině kalkulačku, tu u nás má ale jen hrska bank (např. rb), airbanka plánuje snad už letos spustit pilotní přístup s bezpečnostním tokenem).

AirBank má bezpečnostní token už minimálně rok, spíš déle.


Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #5 kdy: 02. 11. 2017, 16:51:53 »
Separátní profil trochu pomůže, omezí do jisté míry možnosti některých útoků jako CSRF/HEIST/CRIME a reflected XSS.

Doporučuji chodit do IB přes záložku (nebo v případě separátního profilu přes homepage). To zabrání překlepům apod. a nebude nutné vždy psát „https://“.

Zákaz pluginů a separátní VM – má smysl, ale ne až tak v profilu pro IB, ale hlavně v profilech pro stránky, které náhodně potkáte. Ideálně všechny potenciálně nebezpečné aktivity uzavřít do separátního virtuálního stroje. Tím se dostáváme ke zmíněnému QubesOS.

Anonymní režim zde IMHO nemá moc smysl. Separátní uživatel je taková slabší alternativa virtuálního stroje (a silnější alternativa separátního profilu). Při útoku záleží i na X11/Wayland, ale AFAIK i ve Waylandu je dost možností útoku, jako fake password prompt.

trubicoid2

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #6 kdy: 02. 11. 2017, 18:20:07 »
AirBank má bezpečnostní token už minimálně rok, spíš déle.

to neni HW token, ale SW token, apka v telefonu, tak nevim no  :o

L.

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #7 kdy: 02. 11. 2017, 18:54:59 »
AirBank má bezpečnostní token už minimálně rok, spíš déle.

to neni HW token, ale SW token, apka v telefonu, tak nevim no  :o

Ano, je SW. Ale to je výhoda, protože HW tokeny mají různé nevýhody:

1) Token, co jen ukazuje náhodná čísla, která musíš opsat: Zásadní díra je, že nevidíš, co podepisuješ. Plus opisování je otrava. Je nejlevnejší, ale pořád to pár stovek je.

2) Token, co do něj musíš přepsat detaily transakce a on spočítá hash (jako měla třeba e-Banka): Hrozný opruz s dvojím
vypisováním údajů a přepisováním. Navíc je drahý.

3) Token, co má vlastní síťové připojení: Sice se nemusí nic opisovat, ale je dost drahý na pořízení na provoz (potřebuje to síťové připojení) a vzhledem k němu je i napadnutelný.

4) Karta, co se strká do počítače: Potřebuje SW podporu (nelze zadávat příkazy mimo počítač, kde to máš rozchozené, na Linuxu to může být problém vůbec rozchodit).

Z toho hlediska je SW token v mobilu ideální řešení, protože je jednoduchý na provoz, levný a nemusíš nic opisovat, jen potvrdíš zobrazené údaje. Bezpečnost je přitom docela slušná, lepší než laiky adorované SMS - pokud by to chtěl někdo napadnout, tak by musel rootnout ten telefon.

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #8 kdy: 02. 11. 2017, 19:08:06 »
to neni HW token, ale SW token, apka v telefonu, tak nevim no  :o

HW token je lepší, ale SW token je zase lepší než SMS.

Mnoho lidí si neuvědomuje, že stačí pár dokumentů, a operátor přeaktivuje telefonní číslo na novou, čistou SIM, a autorizační SMS je v ten moment v cizích rukou. Ještě horší to je, když je telefon zaměstnavatele, zaměstnavatel překativuje číslo během pěti minut, a klidně během dalších pěti minut zpět na původní SIM kartu.

SMS ověření je zhůvěřilost, která hlavně kryje banku (přenáší odpovědnost na uživatele telefonu), ale ve skutečnosti to bezpečnost nezvyšuje tak moc, jak si většina lidí myslí.

df4024

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #9 kdy: 02. 11. 2017, 19:33:07 »
Připojím se s pohodlnou odpovědí.

Mít více bankovních účtů. (Klidně 3+ a z toho jeden jako cold storage u banky, která umoznuje deaktivovat internetové bankovnictví).

Když nemáš na běžně používaném bankovním účtu nic o co by jsi nemohl přijít (max pár peněz na nákupy), tak ti bude stačit běžné obvyklé zabezpečení, které ti nabídne každá moderní banka. Pak klidně platit z mobilu ... pohodlnosti se meze nekladou.

mon

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #10 kdy: 02. 11. 2017, 19:34:29 »
V norsku maju prijemnu vec co som zatial inde nevidel, okrem klasickeho hw otp,  maju navyse aj sim aplikaciu (netreba nic instalovat) a na mobile mi vyskoci okno s informaciou o transakcii a treba zadat heslo a ono to autorizuje operaciu - cca 2sek od kliknutia k vyzve na heslo a 2 sek na potvrdenie. "Podpisuje" sa to na priamo sim karte.
Je to zatial najkomfortnejsie co so mal moznost pouzit - ked to porovnam s hw otp, sw otp, sms, gemalto thin reader (tatrabanka/reifeisen) alebo smartcard.

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #11 kdy: 02. 11. 2017, 19:58:04 »
V norsku maju prijemnu vec co som zatial inde nevidel, okrem klasickeho hw otp,  maju navyse aj sim aplikaciu (netreba nic instalovat) a na mobile mi vyskoci okno s informaciou o transakcii a treba zadat heslo a ono to autorizuje operaciu - cca 2sek od kliknutia k vyzve na heslo a 2 sek na potvrdenie. "Podpisuje" sa to na priamo sim karte.
Je to zatial najkomfortnejsie co so mal moznost pouzit - ked to porovnam s hw otp, sw otp, sms, gemalto thin reader (tatrabanka/reifeisen) alebo smartcard.

V Česku to také banky používaly - v dávných dobách se na to používal SIM Toolkit. Bezpečností to asi bylo srovnatelné s HW tokenem. Banky od toho upustily, protože to vyžadovalo dohodu s operátory, a hlavně, token na SIM kartě se aspoň v té době nedal aktivovat niajk na dálku, ale vyžadoval aktivaci přímo v bance.

bankéřčíslojedna

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #12 kdy: 02. 11. 2017, 20:39:45 »
Podle mě je nejlepší nechat na běžném účtu je pár desítek tisíc aby bylo na pivo a pak stačí ta SMS. A zbytek mít na něčem jako ING konto.

Různé tokeny, hw klíče a certifikáty jsou takové znepříjemnění života že to risknu s sms.

Jenda

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #13 kdy: 02. 11. 2017, 21:15:24 »
A zbytek mít na něčem jako ING konto.

Zběžně jsem prošel homepage produktu a nedočetl jsem se tam, jak toto doporučení souvisí se zabezpečením (na což se tazatel ptal). Jestli jsi tím chtěl naznačit, že si máme sednout na zadek z neuvěřitelného úroku 0.5 % do 300 kKč (tj. 1500 Kč ročně), tak mi to přijde dost slabé.

Re:Jak zvýšit bezpečnost při přístupu do internet. bankovnictví ?
« Odpověď #14 kdy: 02. 11. 2017, 21:21:13 »
A zbytek mít na něčem jako ING konto.

Zběžně jsem prošel homepage produktu a nedočetl jsem se tam, jak toto doporučení souvisí se zabezpečením (na což se tazatel ptal). Jestli jsi tím chtěl naznačit, že si máme sednout na zadek z neuvěřitelného úroku 0.5 % do 300 kKč (tj. 1500 Kč ročně), tak mi to přijde dost slabé.

Rizika používání online bankovnictví nelze eliminovat (to by se muselo kompletně vypnout), ale pouze mitigovat.
Pokud mitigujete rizika, posuzuje se přínos opatření vs. jeho cena (náročnost).

Jedním z nejefektivnějších metod je rozdělit finance na vícero kont a přístupy pro placení a pro karty mít jen k účtu, na kterém máte pouze rozumný obnos peněz. Poté už může být akceptovatelné riziko např. při ztrátě platební karty, nebo při narušení bezpečnosti komunikace s bankou.

Odpověď bankéřčíslojedna patrně mířila tímto směrem.