Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Je telefonní bankovnictví bezpečné?

aktualizováno 
Požádali jsme o názor na bezpečnost telefonního bankovnictví ředitele divize informační bezpečnosti eBanky a předního českého kryptologa, Tomáše Rosu. Je podle něj telefonní bankovnictví bezpečné? A jak je na tom ve srovnání s internetbankingem?

Pohlížet na bezpečnost telefonního bankovnictví lze ze dvou hledisek - z pohledů autentizace a důvěrnosti dat. Z hlediska důvěrnosti dat lze podle něj bohužel označit telefon za přístroj odposlouchatelný. Na rozdíl od internetbankingu, kde lze komunikaci s bankou šifrovat, totiž neexistuje dosud mnoho kvalitních šifrovacích telefonů - a pokud ano, nejsou vzájemně kompatibilní.

Problém autentizace je řešen bankami různě, avšak vzhledem k odposlouchatelnosti spojení, musí být toto řešení přiměřeně robustní. Za nepříliš robustní až nebezpečné lze považovat případy, kdy je klientovi obyčejně přiděleno identifikační číslo (může být rodným číslem, číslem platební karty či náhodně vygenerovaným shlukem číslic) a heslo, případně PIN, které klient uvádí na začátku spojení pro svou autentizaci. Tento přístup příliš nevylepší ani situace, kdy klient uvádí vždy jen určité, bankou náhodně volené pozice ze svého hesla. Aby tato metoda byla robustní, musela by být délka hesla daleko za hranicí akceptovatelnosti pro běžné klienty. V opačném případě lze statisticky ukázat, že po několika odposleších útočník postupně stejně získá celé heslo.

Méně běžným případem je zabezpečení výše uvedeným způsobem, doplněným jednorázovými transakčními hesly pro autentizaci (certifikaci) vlastních příkazů. Z pohledu aktivních operací tento způsob podstatně vylepšuje dříve uvedené. Certifikační hesla jsou předána klientovi bezpečným kanálem (v neporušené obálce, podobně jako PIN) a jsou použitelná pouze jedenkrát, což splňuje požadavky na bezpečnost. Nicméně transakční hesla jsou často používána tak, že certifikují jen aktivní operace. To vidí Tomáš Rosa jako horší zprávu, neboť prolomením úvodní autentizace, která je nepoužívá, lze zjistit zůstatek či pohyb na účtu. Na druhou stranu, jejich použití na začátku každé, byť pasivní transakce by způsobilo rychlý úbytek těchto hesel a jejich časté obměňování, což je v praxi bank těžko představitelné. Navíc je zde ještě jeden podstatný problém a tím je nepopiratelnost klientských transakcí. Zadávaná transakční hesla totiž nejsou závislá na konkrétních parametrech transakce, což otevírá potenciální možnosti pro další útoky.

Třetím způsobem, jakým lze v praxi zabezpečit transakci, je svázání autentizace s určitým fyzickým předmětem - nejčastěji půjde o takzvaný PIN kalkulátor či mobilní telefon s nahranou bankovní aplikací. Takový postup splňuje dva ze tří požadavků pro ideální autentizaci - klient "něco zná" (splňují minulé dva příklady) a něco "má" - prokazuje se i držením určitého předmětu (pro přečtení kódu je nutné znát PIN a vložit jej do předmětu). Posledním požadavkem pro splnění ideálu je "něčím být" - například v případě, že by vlastněný přístroj snímal otisky prstů, bylo by ověření klienta dokonalé. Biometrické přístroje však dosud oscilují mezi bezpečností a cenou. Nicméně teoreticky se o jejich případném využití v oblasti přímého bankovnictví uvažuje.  

Předměty jsou konstruovány tak, aby na základě odposlechnutých spojení nebylo možné vytvořit jejich kopie. Lze si je vlastně představit jako obrovský soubor jednorázových hesel, která jsou ovšem generována postupně a mají omezenou platnost. Díky jejich nevyčerpatelné zásobě s nimi lze „plýtvat“ i na úvodní autentizaci klienta, čímž se celé schéma stává skutečně robustním. V případě certifikace příkazů také vyniká závislost certifikačního kódu na parametrech transakce. Nelze proto k danému kódu podvrhnout jiný příkaz. Tato závislost nabývá ideální podoby u PIN kalkulátorů, do kterých klient přímo ručně přepisuje jednotlivé části příkazu – má tak vše pod svou kontrolou. Certifikace mobilním telefonem probíhá technicky stejně, s tím rozdílem, že certifikační kód může být počítán na straně banky a do telefonu je odeslán až samotný výsledek, Tato praxe dnes nepředstavuje podstatné zvýšení rizika.Jaké je posouzení bezpečnosti systému IVR a telefonního kontaktu s operátorem? Podle Tomáše Rosy ve značné míře závisí na architektuře celého systému - pokud je kvalitní, neměl by být v těchto dvou systémech z hlediska bezpečnosti významný rozdíl. Banky ovšem často u automatů slevují z požadavků na bezpečnost (například heslo či PIN mohou být oproti hovoru s operátorem zadávány celé). Na druhou stranu mohou být i kvůli bezpečnosti často hlasové automaty omezeny na pasivní transakce.

Jak vidí Tomáš Rosa srovnání telefonního a  internetového bankovnictví?
Podle zkušeností odborníků se lidé více bojí operací přes internet než telefon. Internet lze ale přitom z již uvedených důvodů zabezpečit lépe. I když jde o nebezpečnější prostředí (útoky jsou častější), prostředky na jejich odvrácení jsou výrazně vyspělejší, ovšem i zde vše záleží na implementaci dané banky. Důvod obav je podle Tomáše Rosy nejspíše ten, že zatímco na rizika telefonních hovorů (možnost odposlouchávání) si lidé již zvykli, internet je mladším médiem a lidé tedy neuvykli zvažování a posouzení možných rizik s „chladnou hlavou“.

 

Autor:



Nejčtenější

Odeslal 30 tisíc na chybný účet. Už dva roky čeká na vrácení

Ilustrační snímek

Možná už se vám někdy stalo, že jste se spletli v čísle účtu, kam jste poslali peníze. Možná jste měli štěstí, že šlo o...

Nechceme programátory tady, my jim práci přivezeme, říká manažer ajťáků

Lukáš Zrzavý

Sehnat nové zaměstnance jim prý nečiní velký problém. V době, kdy je trh práce vyčerpán a většina firem marně pátrá po...



PENÍZE 2038: Euro v Česku nebude a hotovost jen okrajově, míní experti

(Ilustrační snímek)

Když se řekne peníze, určitě si umíte spočítat, kolik jich máte, jak s nimi nakládáte a co pro vás znamenají. Ale...

Podnikáte? Zabezpečte osobní údaje. Poradíme, jak na GDPR

Ilustrační snímek

Nejen podnikatelé jsou v panice. Stejně tak třeba party místních hasičů, kluby aktivních důchodců či útulky pro psy se...

Nežeň se, do důchodu času dost. Jak se vyhnout zklamání z nové práce

Ilustrační snímek

Nastupujete do prvního zaměstnání, těšíte se na kolegy, pracovní náplň a vhod přijdou i peníze pravidelně na účtu....

Další z rubriky

Věrnost jedné bance se už nenosí, nové banky dál zvyšují počty klientů

Ilustrační snímek

Novým nízkonákladovým bankám dál narůstají počty klientů. Sedmička nových bank jich má už téměř tři miliony. Mít...

Banky začínají proměňovat své pobočky. Boj o klienty má další rozměr

Nový koncept klientsky přívětivých poboček odstartovala Komerční banka v roce...

Do bankovního světa zasáhla digitalizace. Klienti už nemusí chodit na pobočky, mohou finance spravovat po internetu i...

Stavební spoření překonává inflaci. Kdy zhodnotí peníze co nejvíc?

Ilustrační snímek

V Česku roste zájem o stavební spoření. Potvrzují to počty uzavřených smluv. Během prvních dvou měsíců letošního roku...

Peníze mají být na jednom místě, říká Aleš Michl

Peníze mají být na jednom místě, říká Aleš Michl

Kurzy.cz Zdroj: ČRO Radiožurnál | 20.4.2018 | 17:06 | Pořad: Dvacítka Radiožurnálu Jan MOLÁČEK, moderátor -------------------- Z...

Najdete na iDNES.cz