Způsoby zabezpečení internetových aplikací jsou různé. Dobrou zprávou je, že od příštího roku ve standardním internetovém bankovnictví žádné z českých bank nebude možné realizovat aktivní transakci (například příkaz k úhradě) pouze pomocí trvalého uživatelského jména a hesla, které jsou odborníkům vyloženě trnem v oku.
Posledními mohykány, u kterých trvalá hesla stačila, byly Česká spořitelna (do výše 20 tisíc) a Citibank. U České spořitelny potřebují od začátku října všichni klienti pro zadání aktivní transakce sms kód zaslaný na mobil a Citibank od listopadu zavádí použití autentizačního klíče.
Statickými hesly se tak za chvíli dostanete již jen do zjednodušeného internetového bankovnictví GE Money Bank (Internetbanka Genius, maximální výše převodu 10 tisíc korun) a Komerční banky (Expresní linka Plus - přístup na účet přes internet s omezenými funkcemi, funguje jako "přídavek" k telebankingu).
Certifikáty versus SMS kódy
Dalším způsobem ochrany je u českých bank takzvaný osobní certifikát v souboru, který vygeneruje elektronický podpis a je chráněn heslem. Může být vyžadován již při vstupu do aplikace, nebo jen pro autorizaci transakcí. Nabízí jej svým klientům BAWAG Bank CZ, Volksbank a WSPK. Poslední ze jmenovaných bank ovšem nabízí jeho vylepšenou variantu – certifikát uložený na USB tokenu. Toto zařízení slouží k ukládání a správě důvěrných dat, jako jsou digitální certifikáty a páry privátních a veřejných klíčů, v chráněných úložištích. Je u nich zajištěno, že privátní klíč neopouští dané zařízení a nemůže být zneužit. Vyšší zabezpečení samozřejmě není zadarmo.
Ostatní banky, které podpisové certifikáty používají, poskytují obvykle variantní způsob ochrany – obvykle jednorázovými kódy zasílanými na mobil (GE Money Bank, Raiffeisenbank), nebo jednorázovými kódy, které obdrží klient poštou do vlastních rukou (Živnostenská banka). Živnobanka navíc umožňuje certifikát uložit na čipovou kartu i USB token.
|
JAK CHRÁNIT SVÉ PENÍZE PŘED ÚTOKY? |
Nadstandardní zabezpečení pomocí certifikátu na čipové kartě dále nabízí ČSOB, ČS a Komerční banka. Poslední jmenovaná banka má další zvláštnost – pro podepsání první aktivní transakce po přihlášení do aplikace potřebujete nejen certifikát, ale i sms kód zaslaný na mobil. Vysoká míra zabezpečení je u používání certifikátu na čipové kartě dána tím, že vaše údaje nikdy čipovou kartu neopustí a ani je není možné z karty přehrát jinam. Karta je "zaheslována" pomocí PINu, bez něhož ji nelze použít - je tak chráněna před zneužitím neoprávněnou osobou v případě např. ztráty nebo krádeže.
Jednorázové kódy zasílané na mobilní telefon jsou v Česku stále oblíbenější – kromě klientů již zmíněných bank (Česká spořitelna, GE Money Bank, Raiffeisenbank, v kombinaci s certifikátem Komerční banka) je používají pro podepisování aktivních transakcí i klienti ČSOB a Poštovní spořitelny.
Bezpečnější doručování sms kódů zvolila jako standard eBanka – sms kód je zasílán při přihlášení do aplikace i pro potvrzení transakce a je chráněn BPINem. Umožnění zasílání sms kódů již při přihlášení plánuje ještě v tomto roce ČSOB, která také svým, klientům v případě vlastnictví služby ČSOB Mobil 24 nabízí setjně jako eBanka zasílání SMS klíče šifrovanou SMS zprávou. eBanka dále zájemcům umožní ochranu pomocí jednorázových hesel vygenerovaných PIN kalkulátorem či internetovým klíčem, který funguje jako digitální podpis.
Již zmíněné jednorázové kódy zasílané poštou zmíněné u Živnobanky používá i Oberbank. Klient pro každou transakci použije jeden ze sady padesáti kódů, který je poté hned zneplatněn.
PIN Kalkulátor jako standardní zabezpečení internetbankingu nabízí HVB Bank – pro přístup do aplikace i pro potvrzování transakcí. Jak jsme již zmínili, bude ji brzy následovat Citibank.
Zajímavou novinku chystá BAWAG Bank CZ - chce klientům poskytnout zabezpečení internetového bankovnictví pomocí certifikátu uloženého na čipu platební karty.
Bezpečnost posilují i další prvky
Samozřejmě existují další prvky, které mají pomoci zamezit případnému vykradení konta přes web. Patří mezi ně například možnost nastavení limitů pro transakce, odhlášení z aplikace při delší nečinnosti, bankou resp. aplikací vynucené časté změny hesla či zablokování přístupu k účtu při opakovaném zadání nesprávných údajů.
Banky nabízejí možnost posílání sms o účtu - např. vždy při přihlášení do internetového bankovnictví či při uskutečnění převodu. To samozřejmě také může pomoci. Je však třeba informovat se o výši poplatků za tyto zprávy, aby vás kontrola nad vaším účtem nevyšla příliš draho.
Hodnocení bezpečnosti v testu
Bezpečnost pro nás otestoval a podle úrovně standardního zabezpečení banky v testu seřadil server Technet.cz s následujícím komentářem:
Letošní test ukazuje, že to bankovní domy myslí se zabezpečením svých on-line produktů stále vážněji. Navíc některé z nich nabízejí na svých stránkách rady, jak se chovat při přístupu ke svému účtu přes internet a jak si chránit počítač.
Přesto se i letos našla banka, u níž je zabezpečení výrazně pod úrovní ostatních. Řeč je o Citibance, která se však hodlá zhruba od poloviny října polepšit a přidat ke svým ochranným prvkům možnost využití PIN kalkulátoru a možnost změnit přihlašovací údaje.
Třetina všech bank se však stále nemůže pochlubit certifikátem pro podpis a zašifrovaní každé akce, který patří k jedněm z nejlepších bezpečnostních prvků. Ještě méně bank pak nabízí certifikát na čipové kartě či USB Tokenu. Pokud banky nabízejí takové lepší zabezpečení za příplatek, vyplatí se do něj investovat.
