Trvalá hesla nejsou dostatečná
Většina bank u nás používá pro identifikaci a autentizaci klienta identifikační čísla, heslo nebo PIN (popřípadě obojí). Obvykle telefonnímu bankéři dva poslední jmenované údaje nezadáváte celé, nýbrž hlásíte pouze některé znaky, o něž jste požádáni. K dodatečnému ověření vaší totožnosti může sloužit i ověřovací dotaz (na datum narození či rodné příjmení matky). Do této skupiny se řadí všechny banky, které nezmíníme dále.
Výše popsaný způsob zabezpečení má slabinu v tom, že pokud by se někdo rozhodl odposlouchávat váš telefon, získá během několika vašich hovorů vše, co k ovládání vašeho účtu potřebuje. (Simulací toho, jak s počtem zachycených sezení postupně roste útočníkova znalost hesla například u metody "3 ze 6" - klient udává telefonnímu bankéři tři znaky z šestimístného hesla - bylo zjištěno, že průměrným počtem čtyř odposlechů může útočník získat celé heslo; nejmenší potřebný počet odposlechů u simulačních bloků činil přitom 2, nejvyšší 8.)
Odborníci proto radí trvale přiřazená hesla čas od času měnit. Největším nebezpečím je ale vždy selhání lidského faktoru – lidé by si neměli hesla zapisovat a nechávat je ležet na veřejně přístupných místech apod. Pro uklidnění klientů je ovšem třeba říci, že Česká bankovní asociace podle slov přesedy příslušné komise zabývající se bezpečností nezaregistrovala dosud žádný případ zneužití telebankingu.
Jednorázová transakční hesla: vyšší stupeň bezpečí
Dvě banky (Raiffeisenbank a Živnostenská banka) mají standardně k výše uvedenému nastavený další bezpečností prvek – soubor jednorázových transakčních hesel (TAN – Transaction Authentification Number), který klient obdrží v obálce (pochopitelně by neměla být porušená). Obsahuje padesát hesel, z nichž každé lze použít jen jednou. Po jejich vypotřebování dostane klient další sadu. Rozdíl mezi dvěma zmiňovanými bankami spočívá ve zpoplatnění – zatímco u Raiffeisenbank jsou TANy vydávány zdarma, zaplatí klienti Živnobanky za každou sadu 50 Kč. Za stejný poplatek si na vlastní žádost mohou obstarat jednorázová transakční hesla klienti GE Money Bank.
Jedinou bankou, která zabezpečuje operace přes telefon jedině pomocí jednorázových transakčních hesel zasílaných na mobilní telefonem či PIN kalkulátorem, je eBanka. V prvním případě jsou při provádění operace klientovi zasílána jednorázová hesla na jeho mobilní telefon s nahranou bankovní aplikací. Jejich přečtením klient potvrdí svou totožnost a posléze celou transakci.
V druhém případě je pro vygenerování jednorázových hesel použit PIN kalkulátor - hesla si pomocí něj klient generuje sám. Tento způsob zabezpečení přístupu k účtu je ovšem poněkud nadstandardní - přijde klienty na 89 korun za měsíc.
Nutno podotknout, že na poli bezpečnosti telefonního bankovnictví se z pohledu klienta neodehrály od loňského roku žádné změny.
Za nadstandard si připlatíte
Pokud jste klientem České spořitelny či Komerční banky a chcete vyšší než standardně nabízené zabezpečení (které funguje na bázi trvale přiřazených hesel), můžete požádat o vydání PIN kalkulátoru. Vyšší bezpečnost vás tak přijde jednorázově na 1350 Kč (ČS) nebo 1000 Kč (KB).
Další prvky zabezpečení
Tolik k hlavnímu zabezpečení. Existují však i další prvky, které mohou pomoci zabránit
GSM Banking: do banky odkudkoliv. Více čtěte ZDE |
Další procedurou, která má klienta chránit, je automatické zablokování při zadání nesprávných identifikačních znaků. Nejčastěji je systém nastaven na blokaci po třech špatných pokusech.
Bezpečnostním prvkem může být i zasílání automatických zpráv při realizaci jakékoliv transakce nebo transakce zadané kanálem přímého bankovnictví. Nenabízejí je však všechny banky. A nebývají samozřejmě zasílány zdarma.
Podle zákona o bankách jsou všechny hovory nahrávány a archivovány po dobu deseti let.
Jak probíhá identifikace a autentizace u jednotlivých bank? |
- pomocí identifikačního čísla (příp. uživatelského jména), hesla či PINu -pomocí uživatelského jména, hesla a nakonec jednorázového transakčního hesla (TANu) – obvykle jen pro aktivní transakce - pomocí uživatelského jména a jednorázových transakčních hesel zasílaných na mobilní telefon nebo vytvořených pomocí PIN kalkulátoru |