Je smartbanking bezpečnější než internetbanking?
4.3.2013 | Miroslav Čermák | |
Pokud hovoříme o
smartbankingu, máme na mysli přístup klienta
banky ke svému účtu prostřednictvím
nativní aplikace, kterou si nainstaloval do svého
smartphonu nebo tabletu s operačním systémem
Google Android nebo Apple iOS, které jsou
momentálně
nejrozšířenější. V
případě internetbankingu pak máme na mysli
přístup klienta k bankovnímu účtu
prostřednictvím webové aplikace v
prohlížeči internetu, jako je například Internet
Explorer nebo Google Chrome.
Bezpečnost je
závislá na prostředí, ve
kterém se aplikace spouští
Budeme předpokládat, že nativní i
webová aplikace je stejně bezpečná, tj.
neobsahuje žádné známé
zranitelnosti a komunikace s bankou probíhá přes
HTTPS. Z tohoto pohledu je pak bezpečnost závislá
především na prostředí, ve
kterém se aplikace spouští.
Dále budeme předpokládat, že klientem banky je
osoba, která je pouhým uživatelem a
která bezpečnost příliš
neřeší a nerozumí jí.
V následující tabulce je zachyceno, co
především ovlivňuje, zda se do daného
zařízení dostane malware.
Faktor |
Internetbanking |
Smartbanking |
Privilegovaný účet |
Hodně klientů je přihlášeno na
počítači pod účtem administrator. |
Root nebo jailbreak není na smartphonech až
tak častý jev. |
Výhradní
správa |
Desktop
je často sdílený s ostatními kolegy
nebo rodinnými příslušníky. |
Smartphone
má většinou každý svůj a nepůjčuje ho.
|
Aktuální verze |
Neaktuální verze
operačního systému, prohlížeče a
dalších aplikací jako je JAVA, Flash,
Acrobat zvyšují riziko nákazy. |
Neaktuální verze
operačního systému a
dalších aplikací nemají
dopad na bezpečnost samotné aplikace. |
Antivirus |
Aktuální verze antivirové ochrany je nutná, neboť
dokáže detekovat škodlivý
kód uložený na webu a
přílohách pošty. |
Antivirus
není zpravidla nutný, protože nedokáže
spolehlivě detekovat
trojské koně, přes které se malware na
této platformě šíří.
|
Na desktopu malware stažený při
surfování zcela ovládne
prohlížeč internetu. Na smartphonu si však
malware musí uživatel sám nainstalovat,
nejčastěji jako trojského koně spolu s nějakou
aplikací, ale ten nemůže ovládnout jinou
aplikaci, neboť běží v sandboxu.
Můžete namítnout, že se příliš
spoléhá na sandbox a že na daném
zařízení není proveden jailbreak nebo
root. To je sice pravda, ale vězte, že většina uživatelů
nemá na svém smartphonu proveden jailbreak nebo
root, zatímco na desktopu je většina uživatelů
přihlášena pod účtem s
administrátorskými právy.
Potvrzení
jiným kanálem, tzv. out-of-band, je
zárukou vysoké bezpečnosti
Situace však není tak dramatická,
neboť pro provedení transakce v internetovém
bankovnictví je zpravidla vyžadován mTAN (mobile
Transaction Account Number), který je
zasílán jako SMS na mobilní telefon
uživatele, tedy pokud nepoužívá čipovou kartu.
Transakce je tak potvrzena jiným kanálem
(out-of-band), což je velice bezpečný způsob, za
předpokladu, že uživatelův přístroj není
kompromitován a že si uživatel pořádně přečte, co
je v SMS uvedeno, a kód bezmyšlenkovitě
neopíše.
Koncept
potvrzování transakce
opsáním kódu z SMS je dlouhodobě
neudržitelný
V případě smartbankingu se SMS
neposílá, protože by došla
nejspíš na daný telefon a stejně jako
uživatel by ji mohl odchytit a použít malware, pokud by byl
smartphone, respektive jeho operační systém,
kompromitován, a malware by ho zcela ovládnul. Je
zřejmé, že absence out-of-band autorizace transakce je pro
mnohé klienty nepřijatelná, ovšem
koncept potvrzování transakce
opsáním kódu z SMS zprávy
je dlouhodobě neudržitelný a útoky na klienty
bank toto jen potvrzují.
Otázkou tak nadále zůstává,
jakým způsobem transakce potvrzovat a zda by to neměl
být v obou případech hardwarový token
fungující na principu challenge response. U
internetbankingu dříve a u smartbankingu později, podle toho,
jak se bude situace v kyberprostoru vyvíjet.
Samozřejmě dál platí, že kdo dodržuje
základní bezpečnostní pravidla, tak se
nemusí příliš obávat, že by
mu někdo vykradl účet. Přesto se
domníváme, že smartbanking je za jinak
stejných podmínek
bezpečnější. A co si myslíte vy?
Článek v originální verzi naleznete v
odkazu ZDE.
všechny články | |
Dále v rubrice
Přehled bezpečnostních rizik u běžných bankovních účtů
Běžné bankovní účty jsou nezbytnou součástí života většiny lidí. Přestože moderní technologie a pokroky v zabezpečení bankovních systémů výrazně zlepšily ochranu uživatelů, stále existují bezpečnostní rizika, která je třeba brát v úvahu. Odborníci ze serveru...
|
Zavede Slovensko daň z každé bankovní transakce včetně výběru z bankomatu?
Daň z mimořádných zisků v Česku platí pro energetické firmy a banky. Zatímco energetické společnosti loni odvedly na těchto odvodech do rozpočtu přes padesát miliard, banky zaplatily necelou miliardu. Banky tuto daň různými způsoby efektivně obešly a stát tak vybral méně než počítal. Vláda tak hledá dále jak banky zdanit. Na Slovensku minulý týden...
|
Jak vypadal realitní trh v první polovině roku 2024?
V první polovině roku 2024 zaznamenal český realitní trh výraznější oživení. Ceny nemovitostí se vrátily k opatrnému růstu a úrokové sazby hypotéky pozvolna klesaly. Že zájem Čechů o pořízení vlastního bydlení rozhodně neutuchal potvrzují data aktuálního průzkumu...
|
Moneta mění prémiový účet Gold. Co nového pro klienty připravila?
MONETA Money Bank mění benefity prémiového účtu Gold. Jeho majitelé nově získají například čtyři vstupy do letištních salónků po celém světě zdarma, výhodný kurz v?online směnárně nebo zvýhodněnou úrokovou sazbu na spořicím účtu...
|
všechny články v rubrice
|