Názory k článku
Bankovní identita je tady, banky ale čekají na ověření identit ze základních registrů

už aspoň vyřešili ten problém, kdy kdokoliv, kdo získá můj přístup do bankovnictví si může aktivovat Bankovní identitu a dělat mým jménem změny vůči státu či majetku?

Stačí nějaký zákeřný virus na mobilu, který si bude získávat odpovědi od např. George klíč či potvrzovací sms, tím se dostane do bankovnictví.

Řada lidí má více účtů a ten, na kterém nemají moc peněz si ani moc nechrání, teď najednou i přes tenhle účet půjde dělat dost problémů, ač dříve bylo jediné riziko ztráta zůstatku.

Rád bych, aby bylo možné dopředu vyloučit konkrétní třetí trany či nutnost je osobně povolit při aktivace/deak­tivaci.

ale druhý faktor (2FA) nic nezaručuje, jen přidává další bariéru. Pokud se 2FA používá jako nějaké aplikace či sms na mobilu, může jiná podvodná aplikace s tím manipulovat.

Díky všudepřítomnému stahování cizích kódu za běhu (reklamy), používání pochybných sdk není zase tak obtížné udělat hromadně podvodnou aplikaci z nějaké běžné, v minulosti se již párkrát stalo.

Tady najednou se banky a stát rozhodnout, že kdokoliv má přístup do mého účtu může zároveň i mým jménem dělat změny u státu s dalekosáhlými důsledky. Jako druhý faktor pořád může sloužit sms, která putuje nezabezpečeně, bez ověření a celou řadou v praxi provozovatelných útoků.

AirBank ale také nevynucuje aplikaci, ale stačí jí sms, co jsem koukal na podmínky, ale třeba to ještě změní.

Je irelevantní jakou banku mám a proč si nepořídím iphone, jde mi o princip, vidím v tom velké riziko pro hodně uživatelů, proto na to upozorňuji.

pristupovat k uctu z tefonu ti bezpecne pripada?, tvuj palec, je ta posledni prekazka, dokonce ta nejjednoduzsi

Iphone za 15+ tis s FaceID má opravdu málokdo. Spousty android telefonů za pár tisíc takovou míru ochranu zrovna nenabízí, jednotilvé aplikace mají poměrně široké možnosti jak takový proces nabourat, samotné biometrické ochrany se jen tak jmenují, v praxi jsou děravé jak řešeto. Do Androidu 9 neexistovala žádná ochrana aplikací mezi sebou. V současné době i pro Android 11 je několik kritických CVE pořád na cestě k opravě, např. CVE-2020-27059 se má opravit teprve v tomhle měsíci a platí na ní pořád NDA, a není jediná.

Česká spořitelna pro NIA podporuje pořád heslo + sms, využití George Klíče není povinné a ani ještě dostatečně rozšířené. Mluvím o riziku u lidí, kteří banku používají spíše pasivně, nejsou technologicky zdatní a pro ně je heslo + sms ve spojení s bankovní identitou obrovské riziko. Překonání aplikace Geroge Klíč už je lehce náročnější, ale pořád v podání adroidu to není nemožné.

Mimochodem jak probíhá samotný proces svázání aplikace? Lze ho udělat pouze online s využitím jiných kompromitovaných údajů? Pak si to útočník může svázat se svým zařízením.

"Mimochodem jak probíhá samotný proces svázání aplikace? Lze ho udělat pouze online s využitím jiných kompromitovaných údajů? Pak si to útočník může svázat se svým zařízením."
Mám vyzkoušeno ve FIO a AirBank: jediné zařízení může dělat aktivní operace (potvrzovat). Tohle zařízení může povolit přidání dalšího, tohle zařízení musí odsouhlasit změnu aktivního zařízení. Takže ne, útočník to nemůže udělat. A kdyby to udělal (jak?), tak to nelze přehlédnout.
Jestli Spořka povoluje NIA ověření pomocí SMS, místo keců o miliónech děr v Androidu spíš zvažte změnu banky.
Jestli považujete za reálné, že George Klíč lze v Androidu oblbnout, aby něco schvalovala bez vašeho potvrzení, buď si ušetřete na iPhone, nebo zrušte internetové bankovnictví.

Dobrý den, banka poskytuje bezpečné a auditované řešení pro své internetové bankovnictví a stejně tak i pro použití bankovní identity ve státní správě. Je nutné si však uvědomit, že nezáleží jen na zabezpečení na straně banky, ale stejně tak důležité je i obezřetné chování ze strany uživatele.
Ověřeni bankovní identitou umožňuje provádět odpovídající operace se stupněm ověření "značná", nikoliv "nejvyšší". Nelze tedy na základě toho např. disponovat majetkem ve vztahu ke katastru nemovitostí. Lze provádět pouze běžné operace typu získání výpisu z karty řidiče, rejstříku trestů, odeslání formulářů, žádostí, náhled na informace, odeslání daňového přiznání, apod., tedy usnadnění běžných životních situací.
Našim klientům pro autorizaci doporučujeme použití naší bezpečnostní aplikace George klíč, díky které potvrzování úkonů probíhá biometricky či za pomoci zvoleného PINu.
Jiřka, ČS

Bezpečnost především! Nutné dvoufaktorové ověřování. Právě jsem otestoval přihlášení do NIA pře ČSOB a vše v naprostém pořádku.

děkuji za vyjádření.

Ano, nejvyšší stupeň ověření vyžaduje nějaký HW klíč. U Majetkových rizik je třeba možnost si nechat poslat dávky či vratky na účet útočníka.

Správně zmiňujete, že část bezpečnosti záleží na koncových zařízeních, takže umožnění využívání bankovní idnetity všem vč. těch, kteří si moc nedbají o zabezpčení svých zařízení, protože to zatím nepotřebovali, může být velké riziko. Doteď mohli přijít jen o peníze, které měli na účtu, teď se to riziko výrazně zvyšuje.

George klíč je dobrý směr, ale pro přihlášení v "značném" ověření pořád stačí sms a aktivace přes bankovnictví. George Klíč je možné nainstalvoat na starých Adroidech, které nemají možnost jak aplikaci ochránit před jejím obelháním, ale chápu snahu zvýšit uživatelskou základnu. Tohle právě může být velké riziko, útočník se takhle může dostat k informacím či dělat změny bez vědomí majitele účtu a ani možnosti jak tomu předejít. To vše bez nutnosti aktualizovat smlouvu s bankou, je to jednostranný akt.

Tak, je to bezpečnější než z počítače, že jo.

Ještě dodatek: SMS jako druhý faktor banky nemůžou zcela zrušit, protože mají klienty s hloupým mobilem. Tam je to ale zase o něco bezpečnější, protože nehrozí hacknutý mobil. Další riziko, únos čísla, u nás zase moc snadný není, co jsem kdy měnil SIM, tak operátor byl až skoro protivně důkladný při kontrole identity. Ale v USA je to zjevně jinak.

jak jsem koukal, zakázat sice lze, ale stejně tak je možné jí znovu povolit přes online bankovnictví. MojeID při opětovném povolení vyžaduje znovu ověření totožnosti osobně, tady u vás to lze vše udělat zase online.

Ono je vlastně jedno čeho se obávám u svých účtů. Mně vadí tenhle plošný dopad i na lidi, kteří o téhle funkci nemusí nic vědět a najednou jim půjdou zneužít jejich bankovní účty ke komunikaci se státní správou.

Celé tahle aktivita s bankovní identitou je pěkná věc, vítám to, jen vidím určité bezpečnostní nesrovnalosti teď v počátcích.

Dobrý den, Jirko, zaregistrovali jsme všechny klienty s aktivní bankovní identitou a platným dokladem totožnosti. Udělali jsme to, protože chceme klientům zpřístupnit digi služby státu a umožnila nám to legislativa. Jestli tuto možnost nechcete používat, můžete souhlas odebrat přímo v Georgi.
Jiřka, ČS

Ano, je to výrazně nová věc, jednotlivé banky se s tím sžívají jak technicky, tak i procesně. Technicky to propadák není a nelze říct, jen je nutná spolupráce (a spoluzodpovědnost za bezpečnost) s koncovým zákazníkem, tady vidím slabina.

V technické a bezpečnostní rovině se primárně řešil samotný způsob napojení a procesy na straně bank, které budou danou aktivitu hlídat a ověřovat, dílčí části jsem jako externí poradce připomínkoval, varianta, že se zapne tahle funkce vše, se z pohledu bezpečnosti co vím neřešila, viz i nedostatečná výpočetní kapacita na straně státu při spuštění. Řešila se vyloženě technická stránka dané integrace. Vidím určité riziko právě v tom zapnutí všem klientům bez dodatečného ověření a prokázané vůle klienta na používání téhle funkce.

Věřím, že se postupně tyhle procesní neduhy nějak vyřeší a že i jednotlivé banky na nějakou další bezpečnostní vstvu přistoupí.

Dobrý den, každý uživatel sám rozhoduje, jakou bezpečnostní metodu pro vstup do bankovnictví, potažmo pro přístup ke službám státní správy nebo ke službám třetích stran, použije. Klienti si mohou vybrat buď metodu Heslo+sms, nebo naši bezpečnostní aplikaci George klíč, kde potvrzování úkonů probíhá biometricky nebo za pomoci zvoleného PINu. Pokud se tedy obáváte zneužití první metody, využívejte tu druhou, chcete-li. Současně je také nutné zmínit, že svou bankovní identitu pro přístup ke službám státní správy využívat nemusíte a tento přístup ke službám třetích stran můžete dokonce v bankovnictví George zakázat.
Jiřka, ČS

Díky moc za konstruktivní rozhovor.
Chápu obezřetnost a určitou skepsi, kterou projevujete vůči těmto novinkám, přece jen jde o veřejností neprobádanou oblast.
Řešení pro poskytování služeb elektronické identifikace (tedy i použití bankovní identity vůči státu) mj. podléhá auditu a akreditaci ze strany Ministerstva vnitra ČR. Věřím tedy, že zabezpečení přihlašovacích metod bylo důkladně prověřeno a jelikož jsme jako banka stále ve hře, nemohl to být v žádném případě propadák.
Současně si uvědomuji, že se s vaším názorem jistě ztotožní více lidí, což vlastně není na škodu, protože opatrnosti není nikdy nazbyt. Stále však platí, že pokud klienti chtějí využívat nejbezpečnější možnost přihlašování k účtu nebo k informacím, které lze pomocí bankovní identity získat, umožňujeme jim to prostřednictvím naší bezpečnostní aplikace George klíč.
Jiřka, ČS

Doufám, že režim opt-in. Opravdu bych nerad, aby se přístup do spořitelny jakkoli míchal s mým přístupem ke státním službám ! Pokud to není opt-in, prosím autory nasměrovat, kde mohu spořitelně, ČSOB, KB, mBank a dalším sdělit, že nechci, aby mi bankovní přístup párovali na identitu vůči státu (na to mám přece tu čipovou občanku, ne???). Kdyžtak aspoň jako tip na článek ?

7. 1. 2021, 00:20 editováno autorem komentáře

Celkem bezpečné mi to připadá

aplikace musí být spárovaná

platí to jen pro to dané zařízení

přihlášení se ověřuje biometricky

aktivní operace se znovu ověřuje (biometricky nebo speciálním pinem)

Útočník by musel mít fyzicky moje zařízení a taky mě (FaceID fotkou neoblbnete). No ale v tom případě se k účtu samozřejmě dostane úplně jednoduše: metoda gumové hadice funguje spolehlivě.
Ale tak, abych o tom nevěděl, to útočník dokáže dost těžko: potřebuje něco, co mám (zařízení) a něco co znám (pin - sem patří asi i ta biometrika).
Opravdu se nebavíme o tom, že k účtu přistupuju z mobilu přes web a ověřuju sms.

AirBank ověřování aplikací nevynucuje, ale doporučuje. A zatím neposkytuje bankovní identitu, takže v této souvislosti je to jedno - a až bude, uvidíme, jestli SMS bude přípustné ověření. Aplikace samotná (bankovnictví v mobilu) SMS nepoužívá vůbec - ale to snad nikde.

Já, když měnil SIM u T-Mobile, tak vždy bez problému, převedli číslo atp. Ale vždy jsem měl původní, že které vše kopírovali (a asi i ověřovali).

Doufejme, že prostě nepustí s ověřením přes SMS. Třeba u MojeID mám jako 2. Faktor otisk prstu, ale pro přístup k státním službám mám nastavený pouze HW klíč.

No, ona spořka je celkově taková divná svým přístupem.
Mám dvě jiné banky, jejichž přístup se mi líbí mnohem víc.
Ale i na obou najdu nějaký zádrhel co mi tam vadí a je potencionálně problematický.

Ale nemám chuť zkoumat každou banku, jestli to ještě některá nedělá lépe.

7. 1. 2021, 15:26 editováno autorem komentáře