Moje odkazy
Obsah článku:
vydáno: 26. 11. 2007 14:20, aktualizováno: 30. 1. 2014 11:03
Pamatujete jejich původní stránky? Působily dost amatérsky, ba co víc byly vyloženě hnusné. Dnešní web vypadá o poznání lépe, dokonce by se dalo říct, že vkusně.
mBank je nadějná malá internetová banka s polskými kořeny. Banka nabízí běžný účet, spořící účet a hypotéku. K dnešnímu dni má v ČR jedinou pobočku a šest dalších připravuje.
Zaujal mě moderní přístup ke komunikaci s klienty: mBanka není nějaká zatuchlá rakouská kampelička a na svých oficiálních stránkách má blog a diskusní fórum. Tento styl samozřejmě nevyhovuje všem typům klientů, ale já oceňuji, že oficiální představitelé mBanky se toho vůbec nebojí a jsou ochotní se zapojit do svatých válek o informační bezpečnosti svého ústavu.
Na diskusním fóru banky se strhla diskuse na téma bezpečnost. (to jsme opravdu nečekali ). Většina lidí si asi řekne, to by člověk blil a nic číst nebude, já jsem si ale příspěvky prošel a dovolil bych si malé shrnutí:
Jádro diskuse, tkví ve sporu, jestli jsou nešifrované SMSky dostatečným zabezpečením internetového bankovnictví. Jejich problémy jsou dva:
Protiargumentace je velice chabá - spočívá v tom, že zloděj přece nezná naše klientské číslo (a taky heslo na web). To je prachsprostá security through obscurity praktika, na kterou bychom se neměli nikdy spoléhat. Odporuje myšlenkám Kerckhoffova principu (...Spolehlivost šifrovacího systému nesmí záviset na utajení algoritmu. Spolehlivost je založena pouze na utajení klíče...). Nikdy se nesmíme spoléhat na to, že osoba, která drží náš mobil, nezná další údaje o nás.
Zbývá pak už jen ochrana jménem a heslem, což je ale zabezpečení na úrovni freemailu. Softwarové nebo hardwarové odchytávače kláves, předpokládám, znáte. A HTTPS (SSL/TLS) rovněž není protokol, na který bychom se mohli plně spolehnout.
Možným řešením může být to, že si vyhradíme jeden zvláštní mobil a budeme ho zapínat jen v případě potřeby - jsme pak chráněni standardním PINem SIM karty. Také můžeme telefon zamykat kódem telefonu (ne každý to umí). Toto řešení je bohužel nepohodlné a také řeší pouze polovinu problému - možnost odposlechu po cestě trvá stále
Můžeme se tedy hádat v nekonečných diskusích, nebo raději počkat, až chlapci a děvčata v mBank zapracují a připraví nějakou fajn SIM Toolkitovou aplikaci, která posune bezpečnost na tak trochu serióznější úroveň. Otázkou totiž je, jestli si zatím nepřiplatit pár korun za bezpečné řešení.
Kladně hodnotím:
Zlepšit by si zasloužilo:
Důvěra v bezpečnostní řešení a cena, kterou jsou lidé ochotní za bezpečnost zaplatit, jsou subjektivní. Proto jsem pro vás připravil anketu na Ábíčku, kde se můžete vyjádřit, kolik peněz byste svěřili bance, která se spoléhá na nešifrované SMSky. Svoje komentáře ale směřujte raději pod tento článek - tady si je spíš přečtu.
Přestože jsem poukázal na více nevýhod než výhod, mBank si vaši pozornost zaslouží. Minimálně stojí za to, založit si účet, mít tam pár šupů a používat ho jako internetovou peněženku.
Nejlepší českou bankou je zatím pořád eBanka, ale mBank je zajímavá budoucí konkurence a je to výzva.
Časem budeme vědět víc...
Témata: [počítačová bezpečnost] [bankovnictví]
Není mi jasná vaše zmínka o Kerckhoffově principu -- neznalost loginu a hesla přece není pouhá neznalost algoritmu. Kerckhoffův princip tedy porušen není.
Koroner
IMHO odporuje jeho myšlenkám: v případě šifrování je jediným údajem, který musíme chránit klíč. Všechno ostatní může (mělo by) být veřejné (algoritmus, protokol...). V případě přihlašování do banky bude klíčem heslo* Zatímco klientské číslo nebo číslo účtu jsou z principu veřejné údaje. Číslo účtu můžu dát kde komu, aby mi posílal peníze. Proto se taky tyhle údaje při zadávání neschovávají za hvězdičky jako je tomu u hesla.
*) případně bankovní PIN, pokud banka není zaostalá a SMSky jsou jím chráněny.
Nevite co je paysec?nabizi to napr. hellomobile.
PaySec [pejsek] je „elektronická peněženka“ – není to bankovní účet, ale platební systém jako např. PayPal nebo PayPay. PaySec je český a provozovaný ČSOB.
Původní internetové bankovnictví sice nebo graficky tak dobře zpracované ale bylo daleko přehlednější než to aktuální. Osobně bych si vybral to starší.
To nové jsem neviděl, ale občas na to slyším nadávat kolegy. Tak na tom možná něco bude :-)