Je smartbanking bezpečný?

V nedávném příspěvku jsme srovnávali smartbanking a internetbanking, ve kterém z pohledu bezpečnosti vyšel lépe smartbanking.

Hlavní důvod byl ten, že malware stažený při surfování zcela ovládne prohlížeč internetu, zatímco na smartphonu si malware musí uživatel sám nainstalovat, nejčastěji jako trojského koně spolu s nějakou aplikací, ovšem ten nemůže ovládnout jinou aplikaci, neboť běží v sandboxu.

Jak přihlášení do smartbankingu probíhá?

Klient banky se do smartbankingu obvykle hlásí pomocí uživatelského jména a hesla. V případě některých bank si aplikace uživatelské jméno pomatuje a po klientovi je vyžadováno jen heslo.

Neměla by zde být použita dvoufaktorová autentizace?

Však ona víceméně použita je, kromě hesla je ještě kontrolováno samotné zařízení, ze kterého se uživatel přihlašuje. Aplikace při registraci daného zařízení vytvoří jakýsi otisk a ten je odeslán bance, a tak je tomu při každém pokusu o přihlášení. Kromě toho bývá v aplikaci zpravidla uložen i privátní klíč, kterým se každý požadavek odeslaný do banky podepisuje.

Dobře, ale když klient smartphone nebo tablet ztratí…

Ano, to se může stát. Útočník se pak může pokusit heslo uhádnout, ovšem vzhledem k tomu, že je počet pokusů o přihlášení omezen, není moc pravděpodobné, že by se mu to povedlo. Samozřejmě za předpokladu, že si klient ono heslo do svého smartphonu neuložil. Ale to je pak stejné, jako když si někdo napíše PIN na platební kartu a tu ztratí.

Ale útok přeci může být veden i přes internet…

Může, ale útočník by musel nejprve najít nějakou zranitelnost, která by mu umožnila uniknout ze sandboxu, ve kterém běží prohlížeč internetu, spustit svůj kód, a následně pak ještě proniknout do sandboxu, ve kterém běží smartbanking aplikace. Pokud vím, tak se nikomu nic takového ještě nepovedlo.

To, že se to zatím nikomu nepovedlo, nic neznamená…

Neznamená, ovšem banka musí při návrhu vhodného způsobu autentizace brát v úvahu jak aktuální hrozby, tak i požadavky svých klientů a těm autentizace pomocí hesla vyhovuje a nějaký bazmek pracující na principu challenge-response prostě používat nechtějí. Bance tak nezbývá, než situaci v kyberprostoru monitorovat a následně na ní reagovat.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Je smartbanking bezpečný?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: