Názory k článku
Průzkum: 28 % zákazníků by kvůli internetovému bankingu změnilo banku

Tak a jaka jsou fakta? Kolik zakazniku opusti nove priserne bankovnictvi CS?

Osobně jsem zrušil mBanku, když se z toho jejich bankovnictví staly omalovánky. Na změně banky není mnoho těžkého dnes. Záležitost jedné návštěvy.

Hm, tim, ze zadam vygenerovany SMS kod od zleho hackera se najednou poslou penize uplne jinam? To nedava ani smysl. Aspon ne u CS. Pravda, George sem videl pred necelym rokem (asi jeste alpha) v demu a nelibilo se mi to, ale jestli dobre chapu, tak rec je o stavajicim CS IB?

Tak ono internetové bankovnictví je v podstatě jediná věc, v čem se banky liší. Účet na běžné osobní použití vám skoro všechny banky dají zdarma, kartu a pár výběrů taky, úrok je v podstatě zanedbatelný taky všude, osobně do banky nikdo nechodí, takže IB je to jediné, v čem se liší a podle čeho si člověk vybírá.

No, právě. Servis24 byl (a je) vynikající, ale to co předvádějí (spolu s masírkou v TV reklamě) s Georgem, to jsem poněkud nepochopila.
Už jenom "nejvyšší forma zabezpečení" je podle nich teď mobilní aplikace "George klíč", s pevnou (krátkou) maximální délkou PINu (kromě toho, že mobil jde zavirovat - některý jsou tak i v rámci firmware od výroby), což je s aktuální možností certifikátu na tokenu zcela nesrovnatelný.

Jenže, v jiných bankách je to taky bída s nouzí s tímhle... Ale rozhodně se budu na konci roku (kdy Servis24 chtějí potopit) rozhlížet.

0 .. slovy nula nula prd.. to jsou jen vlhké sny těch, co do ankety a na novinkách.cz mají plnou hubu keců, ale nakonec lenost něco řešit a dořešit stejně zvítězí :-)

Ano, díky, ale mohlo by to být i na přihlášení (což v Servis24 jde, a paradoxně to podporuje i George se svym "klíčem").

Ale určitě to bude jedna z variant, protože jsem se už fakt namíchla...

Rozhodně (ostatně RB a eBanka je příklad na mnoho tisíc let - btw, eBanku jsem kdysi dávno taky měla). Navíc, jedna z hlavních deviz George (kromě toho, že tyhle "omalovánky" evidentně převzali od "matky", aby mohli vlastní řešení zabít, a už se o to nemuseli starat), jak jsem pochopila, má být v tom, že vám bude i všemožně radit, co s prachama, "že by bylo lepší, kdybyste...", apod. Což je třeba přesně to, co já vůbec nepotřebuju.
Dokonce si umím i sama na toaletě utřít zadek, heč...

Fio stále podporuje podpisovou aplikaci místo zcela nezabezpečených SMS. Stejně tak je i aplikace pro Windows Phone/Mobile.

Co tak sonduji kolem, většina bank si dala poslední rok za cíl totálně dokopat IB. V rámci zpřístupnění dat provádí změny "ku prospěchu zákazníků" Dobré věci zavrhnout - třeba šifrované bankovní zprávy u RB. Banka tvrdí, že to operátor a operátor to háže na banku. Také má někdo stejný pocit?

Změna, co přinesla teď Raiffeisenbank, je naprosto tragická a ano, přesně myšlenka citovaná v nadpisu mne napadla, jít jinam. Dělám malé desítky plateb denně a to bankovnictví je naprosto nepoužitelné, otravné, nepřehledné.

Já jsem například před lety banku změnil právě proto, že původní změnila bankovnictví. Prohlásil jsem, že s tím barevným hnusem, kterému navíc omezili možnosti, pracovat nebudu a změnil jsem banku - nejen já, ale i moji známí, kteří byli u téže banky. Říká se tomu hlasovat peněženkou.
Ono zvykat si na jiné bankovnictví staré banky nebo jiné bankovnictví nové banky až takový rozdíl není. Zvlášť, když to bankovnictví nové banky je lepší.

A totéž jsem udělal i s operačními systémy - když jsem měl příbuzným předělávat WinXP na novější, tak jsem jim tam rovnou dal Linux - stejně by si museli zvyknout na něco jiného, tak kde je psáno, že to musí být od stejného výrobce?

Asi sis nevšimnul, na co si uživatelka hlavně stěžuje. Že v roce 2018 je za vrchol bezpečnosti dávána mobilní aplikace, a vyměněna za PKI.
Což je skutečně absurdní.

Ne, nic jinýho podle mě nebude. Byla jsem i přímo na (velký) pobočce. A i skoro přesně před rokem (na jiný - abych měla porovnání), kdy se od tý doby nic nezměnilo. A slovem nic myslím skutečně nic: Nic jako certifikát nebude, a u aplikace podle aktuálních informací jenom max. 6-číselný PIN (ostatně, tohle všechno je i v dokumentaci na jejich stránkách - včetně "nejvyššího zabezpečení"). Patrně je strašně těžký změnit alespoň tuhle položku. Jedna řádka ve zdrojáku? Práce na 5 minut?
Ale to by se muselo alespoň chtít...

A nedělají to zdaleka poprvé, kdysi byl nejvyšším zabezpečením externí kalkulátor, kde se kód počítal dle parametrů příkazu, atd. A ještě před lety se uvažovalo o něčem podobném, protože:
"David Lorenc, ředitel úseku přímého bankovnictví České spořitelny v rozhovoru pro HN naznačuje, jakým směrem se v současnoti internetové bankovnictví - nejen v českém, ale i evropském měřítku - musí ubírat. Nové typy útoků vyžadují nové metody zabezpečení."
(https://byznys.ihned.cz/c1-51966110-utoky-se-meni-ceska-sporitelna-prechazi-na-internetbanking-bez-sms)
To byl rok 2011.

A rok 2018... Patrně "Nové typy útoků vyžadují nové metody zabezpečení." A proto bude nejvyšší zabezpečení na odsouhlasení přihlášení a příkazů mobilní aplikace...

"Certifikát na tokenu je z hlediska autorizace transakce celkem k ničemu."
- Tak to "k ničemu" rozveď, abych pochopila, co se tim snažíš říct...

Jistě, že oproti SMS je to pokrok. Ale jako aplikace na mobilu je to pokrok velmi bídnýho ražení, rozhodně pro tenhle rok...
Ale samozřejmě, pokud to někomu připadá jako ultra bezpečná varianta, klidně ať si to používá, každýmu, co jeho jest.

"Prý to moc lidí nepoužívalo"
- Ano, taky jsem slyšela tuhle stupidní větu. Přitom ta kalkulačka i řešení v sw už existovaly. Zaříznout to tedy byla jenom čistá arogance nějakýho manyžera.

Nemyslím si, že by ověření přes George klíč bylo bezpečnější, než použití autorizační SMS.
Defakto teď se dá do bankovnictví přihlásit přes svůj počítač a nechat si zaslat autorizační SMS na telefon, který bude odpojen od internetu, aby nedošlo k okopírování autorizační SMS přes nějakou podvodnou aplikaci.. Kdežto u George klíče to funguje tak, že aplikace, tudíž i telefon musí být připojen k internetu a může lehce dojít k odposlechu této komunikace podvodnou aplikací o které majitel zařízení nemá potuchy. Pak je druhá možnost, jak využít George klíč offline a to tím způsobem, že se zadá šestimístný pin pro přístup do aplikace a ta vygeneruje náhodný přístupový kód. Takže defakto ten, kdo by uhodl tento pin má neomezený přístup do internetového bankovnictví..

AirBank zasilani kodu mailem zrusila v kvetnu.

...to bych skoro řekla, že se rozumí samo sebou. Navíc to heslo k soukromýmu klíči se zadává do neprůhledný aplikace přímo na zařízení, což je právě ten jeden z důležitých rozdílů od certifikátu na tokenu s klávesnicovou čtečkou mimo zařízení.

Vynikajici Servis24? Nekde se Vam ztratily uvozovky :) To byla strasna vec. Zazil jsem a nebylo moc horsich veci. George hodnotit nemohu, ale jelikoz jsem u ruznych bank zazil uz nejmene 3 velke "big bang" (Uni, CSOB, Fio), tak muzu rict, ze frustrace z velke nahle zmeny je uplne bezna. Lidi to nemaji radi a jsou nestastni, protoze zvyk je zelezna kosile. I kdyby to nove proste bylo ultimatne lepsi, tak budou nadavat, protoze to co hledaji neni tam, kde byli roky zvykli. Chce to cas a hodnotit teprve az se clovek trosku rozkouka.

Trochu více to rozvedu:

1. výhody aplikace (ČSOB se kterou mám zkušenost) vs. SMS
- přímá komunikace s bankou, čímž obejdu operátora ať již z důvodu bezpečnosti či spolehlivosti doručení
- komunikace s bankou šifrována
- uživatelsky přívětivější jak v online módu (vidím informace o platbě a pouze potvrdím), tak i v offline módu (naskenuji QR kód a opíši autorizační kód)

- bezpečnější než SMS na telefonu: izolace aplikací mezi sebou, data jiné aplikace nelze běžně číst. Jakákoliv aplikace s právy číst SMS, přečte i autorizační SMS (třeba nějaká super hra)

Osobně mám telefon s aktualizacemi a instaluji jen co potřebuji a dávám si pozor na práva. Takže jako 2FA s tím nemám problém

2. Certifikát a autorizace
Problémem tady myslím to, že nevidíte co podepisujete. Ano, máte čtečku s klávesnicí na PIN, ale nevíte co počítač skutečně poslal k podepsání. Ale pro přihlášení je to samozřejmě v pohodě.
Jistá varianta by třeba mohla být podepsat přes certifikát a následně např. přes mobilní bankovnictví v pasivní režimu ověřit parametry platby.

Ono existují i čtečky karet s displejem, který zobrazí informace o platbě, ale toto musí být bankou na-implementováno a nevím o žádné, která by to dělala.

Nejlepší pro mne by byla HW kalkulačka, která je úplně offline, kde zadám parametry platby a podepíši kódem. Ale existují i QR kalkulačky bez nutnosti přepisování, čí bluetooth pro spojení s telefonem a podepsaní platby v mobilním bankovnictví. Ale nic takového asi u nás neuvidíme.

Ale to v bodě 1. je ideální stav. Jestli tímhle cílí na běžný uživatele, jako třeba právě s Georgem evidentně, tak tam to má mnoho úskalí, jak ostatně zmiňuješ závěrečnou větou v tom bodu:

Mnoho Androidů není, a nikdy nebude aktualizováno. Počet zařízení, který mají tzv. "čistý" Android je minimum, dokonce někteří výrobci o aktualizacích i lžou, aby byl plebs zticha:
https://www.svetandroida.cz/bezpecnostni-aktualizace-androidu-lez-vyrobci/

Mnoho malware si tak může zajistit roota, čímž může překrýt jakoukoliv obrazovku (v podrobnostmi transakce) čímkoliv bude chtít, aniž by to poznal OS nebo uživatel, a žádný oprávnění na to nepotřebujou...

Atd.

Jistě, ten problém s certifikáty tu je, bohužel. Ale je to zase problém jenom bank, nikoliv systému jako takovýho (tedy, že by to nešlo).

Ano to je ideální stav, který je většinou nenaplněn (i když se snažím co nejvíc ty problémy eliminovat).
Ale tak si myslím, že i pro běžného uživatele je to pokrok oproti SMS. Už vlastní cesta je bezpečnější a ovlivnit vlastní aplikaci bude težší než generické SMS zprávy.
Ale ideální to není, uznávám.

Dříve jsem měl u spořky kalkulačku než ji zrušili. Prý to moc lidí nepoužívalo a prej SMSky jsou stejně bezpečný.

Ano, řešení existují, ale banky na ně .....

To že banky vůbec umožňují používat něco tak příšerného jako Android je důkazem naprosté rezignace na jakoukoli skutečnou bezpečnost https://www.cvedetails.com/top-50-products.php?year=2017

Pokud vam chodi platby z vice zdroju, tak to problem je. Vsechny musite informovat o zmene uctu.

Pokud tohle je pro Vás problém, tak jste šťastný člověk. Já si pod pojmem problém představuji něco mnohem horšího.
Informovat ty, kdo mi zasílají peníze o změně účtu je jen jednorázová akce, která je vyřízená celkem rychle (jen např. nezapomenout, když má číslo účtu např. dodavatel plynu, který 1x za rok pošle přeplatek).

Jednorázové informování pár organizací, že mám jiné číslo účtu, je lepší, než se otravovat designérským výstřelkem, jehož vznik iniciovalo marketingové oddělení, aby se něco dělo - který je zároveň nedomyšlený a oproti předchozí verzi s ořezanou funkčností. Tohle je bohužel až příliš častý model "změn aby byly změny", které je v oblasti SW a na webu vidět...

Aha, takže další "zlepšení".

Jenže u FIO je podpisová aplikace v Javě a klíč na disku jako soubor, i když šifrovaně. Určitě má svoje využití, třeba pro firmy, ale normálně pokud ji nemáte na druhém bezpečném počítači, tak to ztrácí význam.

Neztrácí, všechny počítače mám bezpečné, protože mi to operační systém umožňuje.

Ale to je ted jenom skoro rok trvajici masirka (ano, reklamy pro plebs az ted), ale zatim porad slibujou, ze ty moznosti zabezpeceni zustanou prinejmensim, tak jak jsou. Takze zadna hromadna emigrace kvuli prechodu na pouze-mobilni appku snad nehrozi. Ale taky zatim jen doufam a cekam... A to nynejsi UX (d*bilni zm*dsp*akofskej termin pro interface) je fakt super.

Ale maj porad par dni na to aby George (btw. bankerky to vyslovujou Dzordzyyyy) to tak nejak neposrali, no...

... mobilní aplikace v Androidu s předinstalovaným malware již z výroby :-)))

Ano, většina uživatelů používá nejjednodušší metody. Ono totiž většinou není nic dalšího k použití.
Mě nepřijde, že by banky vydělávaly málo, kor velká trojka. A kde jinde chtít bezpečnost než u financí?

Vždy budou lidé kterým to je jedno, ale i uživatelé kteří chtějí bezpečnou variantu. A navíc v situaci dnes, kdy se o únicích dat a útocích mluví častěji než dřív.

Tak třeba ČSOB má svůj Smart klíč, což je vlastně taková online/offline (čte QR kódy) kalkulačka v mobilu? A proč k tomu neumožnili i HW kalkulačku, která umí QR kódy číst? Ano, stálo by to o něco víc za začlenění dalšího modulu. Ale zbytek stejně dělali. U ČS to asi bude podobně.

Je to fakt jen o penezich - Hw kalkulacku musis koupit v tisicovych mnozstvich (kazda pobocka jich musi mit X) a pohybujes se v cenach stovek za kus.
Tohle se nevyplati, zvlaste kdyz elektronicky kanal v principu na sebe nevydela. Banka vydelava ve sluzbach nabizenych navic, nad ramec bezneho platebniho styku.

Ano, vše stojí peníze. Ale, že se nezaplatí HW kalkulačky, tak s tím nesouhlasím. Odvádět miliardy ven (velká trojka) a říct, že nemají na kalkulačky je blbost. Navíc když sesterská banka v zahraničí to třeba nabízí. Např. Irská KBC HW kalkulačku nabízí. A dle ceníku snad i zdarma, platí se asi jen za výměnu.

Navíc se většinou za kalkulačku platí. U ČS mě tenkrát stála 900, co vím tak UCB ji má/měla za 500Kč. V případě poplatku za kalkulačku, tak jediné co banku stojí je organizace distribuce a provoz systému. A ten systém pravděpodobně udělali kvůli mobilní aplikaci, která poskytuje fakticky stejnou funkčnost jako HW kalkulačka.

A že elektronický kanál nevydělává. Pokud sem si všiml, tak se banky snaží poplatkovou politikou klienty motivovat k používání elektronického kanálu oproti fyzické návštěvě pobočky. Každá operace vyřízená elektronicky znamená menší náklady na pobočkách atd.

Jestli podle počtu nahlášených chyb hodnotíte kvalitu sw...no tak to potěš. Chovávat za to své osobní anitpatie je poněkud dětinské.

Ale určitě souhlasím v bodě, že android od nemála výrobců je buď od výroby šmé či na něj prakticky neexsitují pravidelné aktualizace.
Bohužel se nedivím, že jdou tyto různé produkty od pochybných výrobců tak prudce na odbyt když převládá názor "telefon za 4000 Kč z ebaye mi udělá stejnou službu jako značkový za 10000 Kč".
Pokud člověk bere tento aspekt v potaz, může skutečně používat Android s podobným klidem, jako os od největší konkurence - a narozdíl od ní, mám možnost kupříkladu využívat bezkontaktní platby GooglePay a nečekat až se někdo v ústředí rozhodne, že je naše země odemknutí této funkce "hodna".

Hm, očividně nevíte o čem mluvíte ...

Červnová aktualizace se například instalovala někdy v tomto týdnu. A to není vyjímka.

Přiznám se že aktualizaci jednou za měsíc až dva psychicky zvládám ( aktuálně "Android security patch" s datem 5.května )

Jen to chce vybrat si výrobce, který na to zvysoka nekašle, no.

Zatim jsem si nevsim, ze by chteli u CS dvoufaktor, ba dokonce PIN pri nakupech do 500. Vam se to stalo? Mozna neco blbe chapu...

Btw. "protěžování" neni ceske slovo. Vlastne to neni slovo vubec.

Při jakékoli internetové platbě kartou (s vyjímkou těch, kde ukládáte číslo karty jako PayPal a podobně) vyžaduje ČS potvrzení zbytečnou SMS. Fio až od částky 500 Kč nebo mimo EU.

Dobře https://cz.jakubmarian.com/piste-protezovat-ne-protezovat-vetsinou/ pro vás tedy: nutící zákazníky záměrně využívat zbytečné zastaralé služby mobilních operátorů, aniž by to mělo nějaké technické opodstatnění.

Nevím, jak přesně funguje George klíč, ale pokud to je variace na autentizační aplikaci jako má ČSOB, tak potom to je pokrok.
Oproti SMSkám je to neskutečný pokrok a hlavně mnohem bezpečnější varianta.

Nejlepší by byla určitá varianta kalkulačky pro přihlášení/au­torizaci plateb, ale to banky jaksi nenabízejí.

Certifikát na tokenu je z hlediska autorizace transakce celkem k ničemu.

Nemůže, žádný výrobce s Androidem není schopen dodat skutečně aktuální aktualizace jako je to běžné u Windows 10 Mobile nebo iOS https://twitter.com/SecX13/status/968225118517452800

No, představte si, že Nokia to zatím dodržuje. Mám Nokii 5 od září a zatím každý měsíc update + upgrade na 8.0 a 8.1. Navíc má dostat P verzi. A to je tefeon za ~5k. Právě kvůli příslubu aktualizací jsem ji koupil a zatím palec nahoru.

Jenže ty aktualizace co dostáváte jsou o několik měsíců opožděné, takže neplní zcela základní funkci a to včasné opravy bezpečnostních chyb (kterých je ten Android šmejd plný, viz statistiky).

To není všechno, například lze nastavit nevyžadování autorizace převodu mezi více vlastními účty a hlavně při platbách kartou do 500 Kč. To byla poslední kapka u ČS, když stále otravovali s potvrzovací SMS i při malých nákupech.

Air Bank zase jako jediná zcela splňuje doporučení MasterCard, že potvrzovací kód zasílá volitelně i emailem (nevím zda s digitálním podpisem, to by pak bylo 1000x bezpečnější než nesmyslné SMS, ale zase bez protěžování zbytečných mobilních operátorů a jejich služeb z výprodeje).

SMS nemají žádné zabezpečení, nelze ověřit kdo je skutečně poslal a zda nebyl obsah pozměněn. Narozdíl od digitálně podepsaného emailu.

Je to o kompromisu mezi bezpecnosti a naklady. Udrzovat a vyvijet nove metody zabezpeceni je nakladna vec, ktera se pohybuje v desitkach milionu. Vetsina uzivatelu skutecne pouziva nejjednodussi metody a proto se vsechny udrzovat nevyplati.
Pokud naklady na pripadne odskodneni a opeavy jsou nizsi nez udrzovat pro par lidi kalkulacku, lak je to logicky krok. Nechovali byste se jinak. ;-)

Zkuste pochopit psaný text na tom odkazu výše.

Tak pokud předpokládáte, že máte plnou kontrolu nad prvním faktorem a heslo vám nikdy neunikne, tak druhý faktor skutečně nepotřebujete. Je ale pak otázka, proč byste ho měl chtít.

IMHO je sadizmus používat bezpečnostní technologie, které otravují uživatele a zároveň jsou slabé. Když už musí uživatel hledat telefon a kód, proč to skoro k ničemu není, když si ten kód může poučený útočník přečíst taky? Security theatre. Pokud druhý faktor, tak bezpečný.