Bezpečnost šablon pro platbu


Úroveň
Odznak
  • Průzkumník
  • 54 odpovědí
Tak jsem si teď dělal v IB novou šablonu pro platbu a napadla mne taková věc... Platby se ověřují kvůli vyšší bezpečnosti přes SMS. Zadání nové nebo změna šablony ovšem ne. Takže se tu nabízí docela "dobrý" trik, jak odčerpat peníze z účtu, když se někdo dokáže nabourat do IB (heslo), ale nemá přístup k mobilu (SMS). Změní čísla účtu v šablonách a jednoduše si počká, až majitel účtu nějakou šablonu použije.
...ano, má to svá ALE (moc si asi nevydělá, je to na náhodě kolik majitel účtu pošle a jak rychle na celou záležitost přijde...) nicméně šablony tam jsou od toho, že si někdo do IB chce uložit číslo účtu na který posílá častěji peníze a třeba si to číslo ani nepamatuje. Nepředpokládá se asi proto, že by si pak při každé platbě měl uživatel číslo účtu kontrolovat (to by nemusel vytvářet šablonu).
Nejsem paranoik, takže šablony normálně používám i v HB, ale přece jen mi přijde logičtější řešení, které má třeba mBank - změnu či zadání nové šablony ověřit přes SMS - plus oni tam mají navíc v šabloně volbu, zda pak ověřovat přes SMS i jednotlivé platby pomocí šablony nebo ne.
Takový námět k zamyšlení... (vím, že to v bankách funguje jak s ověřováním tak bez ověřování šablon přes SMS)

Odpovědi: 17

Úroveň
Odznak
Zajímavá myšlenka, která mě úplně nikdy nenapadla vzhledem k tomu zneužití. Spíš jsem si vždy říkal,proč to jedna z mojich bank má a druhá ne. Každá oprava či změna šablony vynutí autorizaci,mě osobně spíš otravuje, po čím o se naloguji do svého IB. Ale zneužít se dá cokoliv, to je pravda. Vždy jde o vybalancována mezi otravujicim a bezpečným počínáním.
Úroveň
Odznak +1
Šablonám, které jdou vytvořit a editovat bez potvrzení SMS nevěřím a pokud to banka umožňuje, zopakuji již jednou provedenou platbu. V nejhorším případě při zaslání větších částek údaje z nepotvrzované šablony zkontroluji, což mě otravuje daleko více než potvrzení nové šablony či editace existující SMS.
Jako řadový uživatel bank nevytvářím nebo needituji šablony denně, tedy mě potvrzovací SMS naprosto neobtěžují a jsou v mém případě z důvodu bezpečnosti vítány.
Balancujte si mezi otravováním a bezpečností jak chcete sami, ale až vám někdo nepotvrzovanou šablonu změní a větší částka vám odejde do "černé díry", stěžujte si pak na lampárně a ne na fórech!
Úroveň
Odznak +2
Také bych viděl jako uživatelsky přívětivější (a snad i bezpečnější) řešení, kdy se pomocí SMS potvrzuje zřízení nebo úprava šablony, ale naopak je umožněno zadat příjemce platby potvrzenou šablonou jako důvěryhodného, takže platba už nemusí být znovu potvrzována.
Rovněž by se dalo zrušit potvrzování přesunů mezi vlastními účty v bance.
Úroveň
Odznak +2
jisy napsal/-a:

Také bych viděl jako uživatelsky přívětivější (a snad i bezpečnější) řešení, kdy se pomocí SMS potvrzuje zřízení nebo úprava šablony, ale naopak je umožněno zadat příjemce platby potvrzenou šablonou jako důvěryhodného, takže platba už nemusí být znovu potvrzována.
Rovněž by se dalo zrušit potvrzování přesunů mezi vlastními účty v bance.


Přesně takhle to dělá (pokud si dobře pamatuju) AirBank. Líbí se mi u nich přesuny peněz mezi vlastními účty na dotykových displejích a v mobilní aplikaci tak, že částku na jednom účtu "chytím" prstem a přetažením ji přesunu na ten druhý.
Úroveň
Odznak +2
Nechtěl jsem tu dělat reklamu konkurenci, ale je to tak :) . A převody mezi vlastními účty bez potvrzování umí řada dalších bank, co znám - Fio, Moneta ...
Úroveň
Odznak
Ano, potvrzování převodu mezi vlastními účty mi taky přijde zbytečné (minimálně mezi účty se stejnou měnou).
Co se týká šablon, tam bych určitě dal na výběr tj. možnost zadat si v každé šabloně individuálně, zda si uživatel přeje potvrzovat jednotlivé platby nebo ne. Třeba v té mBank si já dávám do šablon, že platby nechci potvrzovat v případě, že jde o mé účty byť v jiné bance, o mou kreditku atd... Pokud je to ale cizí účet - třeba kam platím energie apod. tak já si zásadně volím, že chci potvrzovat i jednotlivé platby.
Úroveň
Odznak +4
Hello! Marku, děkujeme Vám za zajímavou myšlenku.
Jakoukoli platbu musí uživatel autorizovat a předtím než ji autorizuje si projde shrnutí platby a její detaily. Při podepisování platebního příkazu si zkontrolujete svou platební šablonu (obrázek) a pokud by Vám ji někdo „hacknul“ při kontrole / před autorizací na chybu přijdete.

Odznak +1
Marek napsal/-a:

nicméně šablony tam jsou od toho, že si někdo do IB chce uložit číslo účtu na který posílá častěji peníze a třeba si to číslo ani nepamatuje. Nepředpokládá se asi proto, že by si pak při každé platbě měl uživatel číslo účtu kontrolovat (to by nemusel vytvářet šablonu).
Nejsem paranoik, takže šablony normálně používám i v HB, ale přece jen mi přijde logičtější řešení, které má třeba mBank - změnu či zadání nové šablony ověřit přes SMS

Terka.HB napsal/-a:

Jakoukoli platbu musí uživatel autorizovat a předtím než ji autorizuje si projde shrnutí platby a její detaily. Při podepisování platebního příkazu si zkontrolujete svou platební šablonu (obrázek) a pokud by Vám ji někdo „hacknul“ při kontrole / před autorizací na chybu přijdete.

Přiznám se, že od zaměstnance banky bych čekal trochu jinou odpověď. Šablony v IB si lidi vytvářejí většinou proto aby pravidelné nebo častější platby na stejný účet nemuseli celé zadávat a že si možná ani nepamatují číslo účtu a případně i jiné platební údaje na které peníze zasílají. Ano při odesílání platby prostřednictvím šablony je dobré si před autorizaci kódem z SMS všechny údaje pečlivě překontrolovat. Je ale otázkou kolik klientů banky to tak skutečně dělá. Předpokládám, že mnozí předpokládají, že šablona je v pořádku a nemusí ji proto důkladně před odesláním peněz kontrolovat. „Hacknutí“ něčího IB a případná změna šablony je sice málo pravděpodobné, ale jednoznačně se to vyloučit nedá. Právě proto si myslím, že autorizace každé změny šablony by mohla být mnohem užitečnější než rada aby si lidí před autorizaci šablonu kontrolovali. Pokud jde o bezpečnost peněz tak si myslím, že banka by to neměla jen tak přehlížet a spoléhat na to, že klienti si všechno budou důkladně kontrolovat a o bezpečnost svých peněz starat sami.
Úroveň
Odznak
REAKCE na Terku:

Trochu mi došla řeč... Psal jsem něco jiného?
Marek napsal/-a:



Platby se ověřují kvůli vyšší bezpečnosti přes SMS.
...
nicméně šablony tam jsou od toho, že si někdo do IB chce uložit číslo účtu na který posílá častěji peníze a třeba si to číslo ani nepamatuje. Nepředpokládá se asi proto, že by si pak při každé platbě měl uživatel číslo účtu kontrolovat (to by nemusel vytvářet šablonu).
...



Nevím jestli mě jen berete za slovo, když jsem uvedl: "Nepředpokládá se asi proto, že by si pak při každé platbě měl uživatel číslo účtu kontrolovat (to by nemusel vytvářet šablonu)..", nebo jsem to napsal opravdu tak nepochopitelně, že Vám unikl pravý smysl mého sdělení a uvedené věty, pro jejíž význam je podstatná i ta část v závorkách a sdělení před ní.

Celá podstata je v tom, že pokud se musí kontrolovat i číslo účtu, který podstrčí šablona, tak je ta šablona naprosto k ničemu.

A co bychom si tu měli namlouvat... klient si šablonu vytváří proto, aby si do ní uložil číslo účtu a nemusel si ho pamatovat, hledat ho někde po papírech a vyťukávat při každé platbě. Proto si troufnu s naprostou jistotou tvrdit, že většina klientů rozhodně spoléhá na to, že šablona je v pořádku a číslo už pak při platbě nekontroluje... (Výjimky jako MirekM jistě jsou, to ale na věci nic nemění a i on sám uvedl, že proto ani nemá smysl šablony používat). Banka tohle moc dobře musí sama vědět. Takže nemůže předpokládat (to byl smysl té mé věty), že by to klienti kontrolovali, a jestli to opravdu navenek předpokládá, tak je to jen "alibismus".

Že se všechny platby přes šablonu musí u HB ověřit ještě přes SMS a klient by tam tedy měl (teoreticky) kontrolovat i čísla účtů samozřejmě vím. Jenže pokud banka zavedla šablony bez ověřovacích SMS, tak jsou jen dvě možnosti:

1) Buď považuje zabezpečení heslem za dostatečné a ke zneužití nedochází tj. je to podle banky bezpečné. V pořádku, může být... Jen by pak ale neměla odpovědnost přenášet na klienta a říkat, že si měl číslo účtu zkontotrolovat, kdyby náhodou v ojedinělých případech ke zneužití došlo...

2) Nebo zabezpečení šablon samotným heslem banka nepovažuje za dostatečné a možnost "hacknutí" považuje za reálnou.
V tomto případě by měla šablony buď lépe zabezpečit, nebo je úplně zrušit.
Většinu laických klientů a uživatelů IB ani nenapadne, že by mohlo ke změně čísla v šabloně nějakým "hacknutím" dojít a číslo účtu uložené v šabloně v naprosté většině případů při platbách nekontrolují. Toho si musí být banka určitě sama vědoma. Takže tvrdit, že to klient musí kontrolovat vždy, je přinejmenším dost nekorektní a není to nic než přenášení rizika na neznalého klienta. Jasně, nárok na to banka má (dala pravidlo kontrolovat jednotlivé platby a potvrzovat přes SMS), ale implementací nezabezpečených šablon klienty sama přivádí k takovému "rizikovému" chování...
Úroveň
Odznak
Můj prvotní příspěvek měl být námět k zamyšlení nad bezpečností šablon. Jestli a jak moc to rizikové je nebo to rizikové není a zda to případně neudělat lépe. Strohá reakce, že si klient musí kontrolovat každou platbu, je proto docela zarážející… Buď je to bance jedno, hlavně že ona je krytá (odkazem na povinnost kontroly každé platby klientem), nebo se nechápeme...
Ať tak nebo tak, buď platí 1. nebo 2. případ, co jsem uvedl...
Úroveň
Odznak +1
Pojďme k jádru věci. Každá autorizační SMS při vytváření nebo editaci šablony zaslaná klientovi zdarma zvyšuje náklady bance ... :)
Úroveň
Odznak +2
Jasně, ale kdyby autorizovaná šablona nevyžadovala SMS při zadání platby (viz Airbank - platba na známý účet, nebo mBank), tak by celkový počet takových SMS klesl...
Úroveň
Odznak +2
Předpokládám, že banka asi neplatí telefonnímu operátorovi za SMS poplatek od kusu, ale nějaký paušál. Takže neplatí přímá úměra - čím víc SMS, tím vyšší náklady pro banku.
Úroveň
Odznak +2
Výhoda je, že aspoň při převodech mezi vlastními účty u HB si nemusíme vytvářet a používat šablony, ale je tam tlačítko "Moje účty", kde to předvyplní číslo zvoleného našeho dalšího účtu u HB - tady snad HB opravdu garantuje, že je číslo správně.....doufám :8.
Úroveň
Odznak +1
Mám i jednu bezpečnostní vyjímku, na kterou jsem zapomněl. Pokud je IB chráněné i pomocí SMS, je pak ochrana šablon pomocí SMS zbytečná.
Úroveň
Odznak
To ano, ale pro mne je rozhodně lepší zabezpečit šablony, přihlašování do IB přes SMS opravdu rád nemám. Je to otravné zadávat SMS při každém přihlášení. To radši "žiji" s tím, že se tam teoreticky někdo může dostat... Když jen uvidí, co tam mám a nic není schopen převést, je to pro mne akceptovatelné riziko. Nechci pokaždé zadávat SMS. Banky, které toto vyžadují, přestávám používat (např. Gratis konto od Monety...) Dokáži žít s ověřováním přes "klíč" např. George klíč apodobné apky. To je v pohodě - jen se přes otisk přihlásím a potvrdím (navíc je to bezpečnější než SMS, ta se dá jednodušeji "odposlechnout"). Přepisování sms při každém přihlášení ale za mne ne..

...navíc, pokud se tu diskutovalo o počtu posílaných SMS, tak toto by rozhodně počet zvýšilo a to velmi hodně... U zabezpečení šablon by mohlo dojít ve výsledku i ke snížení počtu celkově posílaných SMS
Odznak +1
Marek napsal/-a:

přihlašování do IB přes SMS opravdu rád nemám. Je to otravné zadávat SMS při každém přihlášení.

Je to asi věc názorů a jak je kdo na co zvyknutý. Mne také lépe vyhovuje přihlašování do IB bez zadávání kódu z SMS. Pokud bych ale měl ten kód z SMS zadávat tak by mi to vůbec nevadilo a nebyl by to pro mne žáden nepřekonatelný problém.
Marek napsal/-a:

Banky, které toto vyžadují, přestávám používat (např. Gratis konto od Monety...)

U Monety se v IB v nastavení dá jednoduše to přihlašování s SMS kódem zrušit a ponechat pouze ID a heslo.

Jsou situace kde si myslím, že ověření SMS kódem by mělo být samozřejmosti bez ohledu na to jestli se to někomu líbí nebo ne, že musí opisovat kód z SMS a to je např. mj. i při každé změně šablony v IB.

Odpovědět

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)