Je bezpečné přistupovat k účtu v bance ze smartphonu?
| 1.10.2012 | Miroslav Čermák | |
 Klienti bank mohli doposud
přistupovat ke svým účtům přes internet ze
svého počítače. S rozmachem mobilních
telefonů mnozí z nich začali používat GSM
banking, kde komunikace mezi klientem a bankou
probíhá prostřednictvím
textových zpráv. S nástupem smartphonů
a poklesem ceny datových tarifů začali mnozí z
nich přistupovat do internetového bankovnictví
přímo ze svého smartphonu.
Internetové
bankovnictví mnohých bank se však na
malém displeji ovládalo o
poznání hůře než na velkém monitoru, a
tak vznikly první smartphone banking aplikace. Ty mezi
klienty získávají stále
větší oblibu, neboť jim umožňují si
prakticky kdykoliv a kdekoliv velice snadno a rychle zkontrolovat
zůstatek na svém účtu, provést platbu
apod. Některé banky již nabízejí
své smartphone banking aplikace pro
nejrozšířenější platformy
jako je iPhone, Android, BlackBerry nebo Windows Phone na
svých webech a marketech.
Smartphone je třeba
chránit jako počítač
Přístup k bankovnímu účtu by měl
být z těchto aplikací navíc i
bezpečnější než z internetového
prohlížeče, kterým je každý smartphone
vybaven. Uživatelé smartphonů by si však měli
uvědomit, že jejich smartphone obsahuje plnohodnotný
operační systém a může být napaden v
podstatě stejným způsobem jako klasický
počítač, a proto by měli své
zařízení
odpovídajícím způsobem
chránit a dodržovat základní
bezpečnostní opatření.
Uživatelé smartphonů by si
měli dát pozor, odkud aplikace do svého
zařízení stahují, resp. měli by je stahovat
výhradně z důvěryhodných zdrojů. Smartphone banking
aplikace doporučujeme stahovat pouze přímo ze stránek
bank, protože v marketu může být aplikace již
modifikována a obsahovat škodlivý kód,
který často ani nemusí antimalwarový
nástroj identifikovat. Uživatelé iPhonu mohou být
relativně v klidu, neboť Apple aplikace ve svém App Storu
prověřuje. Ovšem uživatelé Androidu by si měli
dát rozhodně velký pozor, co stahují a
jaké oprávnění aplikace požaduje.
Co je to dvoufaktorová autentizace?
Pokud přistupujete ke svému bankovnímu
účtu přes internet, měli byste se dvoufaktorově
autentizovat. Bohužel ne všechny banky vědí, co
je to dvoufaktorová autentizace (Two Factor Autnetication,
zkr. 2FA) a dost často za 2FA vydávají něco, co
definici vícefaktorové autentizace vůbec
neodpovídá. Ne, jméno a heslo +
kontrolní otázka 2FA opravdu není,
neboť spadají do stejné kategorie. Stejně tak je
značně diskutabilní jméno a heslo +
samotné zařízení
vystupující v roli druhého faktoru z
kategorie „něco má“.
Některé banky
donedávna spoléhaly jako na druhý
faktor na mobilní
zařízení uživatele, na které posílaly
jednorázové heslo (One Time Password, zkr. OTP)
ve formě SMS, jednalo se tedy o out of band
řešení. Uživatel v takovém
případě zadal do aplikace své jméno a
heslo + OTP. Podmínky vícefaktorové
autentizace toto řešení splňuje, neboť uživatel
něco ví (jméno a heslo) a něco má
(smartphone). Ovšem s nástupem smartphonů se
ukázalo, že tento koncept je zranitelný, viz
nedávné útoky typu MITM. Kromě toho v
okamžiku, kdy uživatel přistupuje ke svému
bankovnímu účtu přímo ze smartphonu,
již nelze hovořit o out of band autentizaci.
Je třeba si uvědomit, že
pokud se na smartphonu uživatele nachází malware,
tak ten může provádět prakticky cokoliv. Je
evidentní, že ani 2FA založená na
zadání správného
jména a hesla z telefonu, který je
svázán s identitou uživatele, nás před
útoky tohoto typu neochrání a
řešením není ani nějaká
obskurní autentizační metoda.
Bezpečnost
kontra uživatelský komfort!
Vzhledem k tomu, že
smartphone nelze považovat za důvěryhodnou platformu, stojí
před námi otázka, jakým způsobem pak
provést autorizaci platby. Neměly by banky vybavit
své klienty autentizačními
kalkulátory, které by sloužily i pro
generování kódu, kterým by
potvrzovali platbu? Přepsalo by se do něj číslo
účtu a částka a na jeho displeji by se pak
zobrazil kód, který by se přepsal zpět do
formuláře aplikace. Jistě, z pohledu použitelnosti
strašně otravné řešení, z
pohledu nákladů hrozně drahé, ale z pohledu
bezpečnosti… Ano, opět narážíme na
známý problém
bezpečnost - náklady - použitelnost.
Zdroj: cleverandsmart.cz
Porovnejte si smartbanking českých bank zde.
všechny články | |
Dále v rubrice
všechny články v rubrice
|