Adresář bank V prvním kroku si popišme několik definic, které se v souvislosti s internetovým bankovnictvím často používají: elektronický klíč – speciální zařízení (tzv. „kalkulačka“), přes kterou se provádí ověřování operací v rámci elektronického bankovnictví; .= mobilní klíč – provádění ověřování prostřednictvím softwaru nahraného do SIM karty mobilního telefonu; ověřování prostřednictvím SMS – podobné řešení jako mobilní klíč, ale bez speciálního software; elektronický podpis – použití prostřednictvím souboru či elektronického zařízení na čtení bezpečnostních karet; heslo – heslo sloužící k potvrzení uživatele; přihlašovací jméno – jméno pro stanovení uživatele, používá se ve všech případech přihlašování a někdy ověřování; Internetový prohlížeč – jakákoliv varianta dnes používaných prohlížečů: Microsoft Internet Explorer, Mozilla, Opera atd. Pojďme si nyní jednotlivé způsoby zabezpečení a komunikace popsat. Z hlediska bezpečnosti nám připadá jako nejlepší použití elektronického klíče a to z několika důvodů. Kromě samotného ověřování přes Internet nevyžaduje žádnou další závislost na komunikacích (viz dále mobilní a SMS klíč) a systému je víceméně jedno, odkud se přihlášení provádí (tuzemsko, Evropa, svět). Dále není nutné instalovat žádný dodatečný software jak do mobilního telefonu (u mobilního klíče) či do PC (většinou u elektronického podpisu). Nabourání této možnosti zabezpečení je možné pouze při fyzické krádeži tohoto klíče od jeho držitele a vyzrazení PIN kódu pro přístup do těchto elektronických kalkulaček. Použití mobilního klíče je obdobou předchozího ověřování, ale je závislé na komunikaci prostřednictvím mobilního operátora a je závislé jak na dostupnosti signálu, tak na případných problémech např. v zahraničí, kdy nemusí být komunikace 100% zajištěna. Nabourání této možnosti je opět možné fyzickým odcizením mobilního telefonu (přímo SIM karty) s nainstalovaným softwarem a vyzrazení jak PIN kódu na přístup na kartu, tak tzv. bankovní PIN pro přístup do bankovní části SIM karty. Uživatelé si občas usnadňují přístup do mobilu bez PIN kódů, což může být potenciální problém. Použití SMS zpráv je obdobou předchozího ověřování, přičemž nositelem ověření je SMS zpráva od banky; tato metoda je opět závislá na komunikaci prostřednictvím mobilního operátora (signál, zahraničí apod., jako v předchozím případě). Prolomení této metody je možné prostřednictvím jednorázového přístupu při odcizení jedné konkrétní zprávy (půjčený, zapomenutý či ukradený telefon) a prostřednictvím samotného internetového bankovnictví následná změna příslušného mobilního čísla na číslo útočníka – tím se majitel dostane zcela mimo hru. Banky v poslední době tento problém řeší nezbytnou osobní přítomností oprávněného uživatele v bance pro změnu telefonního čísla, což je poněkud nepohodlné. Použití elektronického podpisu je z hlediska bezpečnosti na obdobné úrovni jako elektronický klíč. V případě elektronického podpisu v souboru je vyžadován soubor v počítači či na přenosném zařízení (např. USB Flash apod.), bezpečnostní karta vyžaduje připojené a nainstalované elektronické zařízení na čtení těchto karet. Bezpečnostní karta není prakticky využitelná mimo jeden počítač uživatele, instalace na jiný počítač je buď přímo zakázána, nebo je velmi složitá. Samotná instalace je u některých bank velmi komplikovaná a problematická i při dodržování veškerých pokynů pro instalaci. Nabourání této možnosti je možné po fyzické krádeži karty a znalosti přístupových PINů/hesel. Elektronický podpis v souboru je na druhou stranu možné ukrást/zkopírovat z počítače uživatele bez fyzické přítomnosti útočníka např. spywarem, neautorizovaným vzdáleným přístupem apod.. Kombinace přihlašovacího jména a hesla je sice velmi rychlá, opět nezávislá na mobilních operátorech, ale prolomení je velmi jednoduché – stačí byť jen opsání dat z klávesnice ať kamerou či technicky prostřednictvím spyware v počítači a je zaděláno na průšvih. Jednotlivé banky používají jak jednotlivě tyto prvky bezpečnosti, tak i jejich vzájemné kombinace či kombinace podle požadované činnosti – přihlášení, ověření platby/trvalého příkazu/inkasa atd.. Každý má samozřejmě různé zkušenosti s jednotlivými tipy zabezpečení a každému vyhovuje něco jiného. Logicky je ideální stav, kdy lze při maximální bezpečnosti využívat internetové bankovnictví jednoduše, rychle a odkudkoliv. Nejde ale jen o zabezpečení na straně banky . Každý klient by měl dodržovat určité zásady bezpečnosti, které by neměl podceňovat i přesto, že vypadají na první pohled banálně – kvalitní softwarová ochrana PC, ochrana PC a mobilu před odcizením či okopírováním dat, používání hesel při startu nebo při přerušení práce s PC (režim spánku apod.). Při manipulaci s platební kartou už všichni vědí a téměř všichni se tím i řídí, že by PIN neměl být v blízkosti karty. S ochranou mobilu a počítače je to komplikovanější, ale v podstatě velmi podobné. [Autor: Patrik Nacher, bankovnipoplatky.com]