FK~

Moje odkazy

Ostatní odkazy

Close Windows
Nenajdete mě na Facebooku ani Twitteru
Rozpad EU
Jsem členem FSF
There Is No Cloud …just other people's computers.
Sane software manifesto / Manifest příčetného softwaru

mBank

vydáno: 26. 11. 2007 14:20, aktualizováno: 30. 1. 2014 11:03

Pamatujete jejich původní stránky? Působily dost amatérsky, ba co víc byly vyloženě hnusné. Dnešní web vypadá o poznání lépe, dokonce by se dalo říct, že vkusně.

mBank je nadějná malá internetová banka s polskými kořeny. Banka nabízí běžný účet, spořící účet a hypotéku. K dnešnímu dni má v ČR jedinou pobočku a šest dalších připravuje.

Zaujal mě moderní přístup ke komunikaci s klienty: mBanka není nějaká zatuchlá rakouská kampelička a na svých oficiálních stránkách má blogdiskusní fórum. Tento styl samozřejmě nevyhovuje všem typům klientů, ale já oceňuji, že oficiální představitelé mBanky se toho vůbec nebojí a jsou ochotní se zapojit do svatých válek o informační bezpečnosti svého ústavu.

Bezpečnost

Na diskusním fóru banky se strhla diskuse na téma bezpečnost. (to jsme opravdu nečekali ). Většina lidí si asi řekne, to by člověk blil a nic číst nebude, já jsem si ale příspěvky prošel a dovolil bych si malé shrnutí:

Jádro diskuse, tkví ve sporu, jestli jsou nešifrované SMSky dostatečným zabezpečením internetového bankovnictví. Jejich problémy jsou dva:

  • lze je odposlechnout cestou - na straně operátora nebo ve vzduchu
  • kdokoli se zmocní našeho telefonu má kontrolu nadnaším účtem

Protiargumentace je velice chabá - spočívá v tom, že zloděj přece nezná naše klientské číslo (a taky heslo na web). To je prachsprostá security through obscurity praktika, na kterou bychom se neměli nikdy spoléhat. Odporuje myšlenkám Kerckhoffova principu (...Spolehlivost šifrovacího systému nesmí záviset na utajení algoritmu. Spolehlivost je založena pouze na utajení klíče...). Nikdy se nesmíme spoléhat na to, že osoba, která drží náš mobil, nezná další údaje o nás.

Zbývá pak už jen ochrana jménem a heslem, což je ale zabezpečení na úrovni freemailu. Softwarové nebo hardwarové odchytávače kláves, předpokládám, znáte. A HTTPS (SSL/TLS) rovněž není protokol, na který bychom se mohli plně spolehnout.

Možným řešením může být to, že si vyhradíme jeden zvláštní mobil a budeme ho zapínat jen v případě potřeby - jsme pak chráněni standardním PINem SIM karty. Také můžeme telefon zamykat kódem telefonu (ne každý to umí). Toto řešení je bohužel nepohodlné a také řeší pouze polovinu problému - možnost odposlechu po cestě trvá stále

Můžeme se tedy hádat v nekonečných diskusích, nebo raději počkat, až chlapci a děvčata v mBank zapracují a připraví nějakou fajn SIM Toolkitovou aplikaci, která posune bezpečnost na tak trochu serióznější úroveň. Otázkou totiž je, jestli si zatím nepřiplatit pár korun za bezpečné řešení.

Výhody a nevýhody

Kladně hodnotím:

  • Moderní přístup ke komunikaci s klienty
  • Ceník a úrokové sazby - na české poměry velmi přívětivé

Zlepšit by si zasloužilo:

  • Zabezpečení - pokud tomu současnému věříte, tak můžete mít rovnou účet ve Spořce.
  • Klientský systém - zatímco veřejný web se mi líbí, klientská část systému vypadá dost zaostale: můžete to posoudit v demu na polských stránkách.
  • Důvěryhodnost: začínat je vždy těžké a důvěra přichází postupně. Serióznost se může zdát trochu v rozporu s dosavadním stylem komunikace, ale já věřím, že se podaří skloubit oboje.

Anketa

Důvěra v bezpečnostní řešení a cena, kterou jsou lidé ochotní za bezpečnost zaplatit, jsou subjektivní. Proto jsem pro vás připravil anketu na Ábíčku, kde se můžete vyjádřit, kolik peněz byste svěřili bance, která se spoléhá na nešifrované SMSky. Svoje komentáře ale směřujte raději pod tento článek - tady si je spíš přečtu.

Doporučení

Přestože jsem poukázal na více nevýhod než výhod, mBank si vaši pozornost zaslouží. Minimálně stojí za to, založit si účet, mít tam pár šupů a používat ho jako internetovou peněženku.

Nejlepší českou bankou je zatím pořád eBanka, ale mBank je zajímavá budoucí konkurence a je to výzva.

Časem budeme vědět víc...

Témata: [počítačová bezpečnost] [bankovnictví]

Komentáře čtenářů


Koroner, 19. 6. 2008 09:21, Kerckhoffův princip [odpovědět]

Není mi jasná vaše zmínka o Kerckhoffově principu -- neznalost loginu a hesla přece není pouhá neznalost algoritmu. Kerckhoffův princip tedy porušen není.

Koroner


xkucf03, 19. 6. 2008 11:59, Odporuje myšlenkám Kerckhoffova principu [odpovědět]

IMHO odporuje jeho myšlenkám: v případě šifrování je jediným údajem, který musíme chránit klíč. Všechno ostatní může (mělo by) být veřejné (algoritmus, protokol...). V případě přihlašování do banky bude klíčem heslo* Zatímco klientské číslo nebo číslo účtu jsou z principu veřejné údaje. Číslo účtu můžu dát kde komu, aby mi posílal peníze. Proto se taky tyhle údaje při zadávání neschovávají za hvězdičky jako je tomu u hesla.

*) případně bankovní PIN, pokud banka není zaostalá a SMSky jsou jím chráněny.


Anonym, 3. 7. 2009 18:12, Nevite co je paysec?nabizi [odpovědět]

Nevite co je paysec?nabizi to napr. hellomobile.


xkucf03, 4. 7. 2009 13:01, PaySec [odpovědět]

PaySec [pejsek] je „elektronická peněženka“ – není to bankovní účet, ale platební systém jako např. PayPal nebo PayPay. PaySec je český a provozovaný ČSOB.


Původní mbank, 19. 9. 2015 18:52, internetové bankovnictví mbank [odpovědět]

Původní internetové bankovnictví sice nebo graficky tak dobře zpracované ale bylo daleko přehlednější než to aktuální. Osobně bych si vybral to starší.


Franta, 20. 9. 2015 11:46 [odpovědět]

To nové jsem neviděl, ale občas na to slyším nadávat kolegy. Tak na tom možná něco bude :-)

Přidat komentář

reagujete na jiný komentář (zrušit)
jméno nebo přezdívka
název příspěvku
webová stránka, blog
e-mailová adresa
nápověda: možnosti formátování
ochrana proti spamu a špatným trollům

Náhled komentáře