Ako sú chránené peniaze na internete

Autentifikácia a autorizácia platieb v internetbankingu slúžia na identifikáciu klienta voči peňažnému ústavu a jeho oprávnenia disponovať s prostriedkami a službami, ktoré banka ponúka.

BRATISLAVA. Na identifikáciu sa využívajú rôzne technologické prostriedky a programové vybavenia, ktorých kvalita je jedným z pilierov dôvery klienta voči bankovej spoločnosti. Prakticky teda ide o overenie totožnosti klienta a potvrdenie jeho práv.

Kombinácia rôznych

spôsobov ochrany

Banky ponúkajú rôzne prostriedky na autentifikáciu a autorizáciu (AAP) a rôzne variácie týchto prostriedkov. V súčasnosti sa uplatňuje prevažne kombinácia rôznych AAP.

Internetbanking (IB) je možné realizovať pomocou webového prehliadača, vyspelejšie formy IB používajú natívne aplikácie (dodávané bankou, nie sú súčasťou softvéru dodávaného s operačným systémom). Tým sa docieli rôzna bezpečnosť služieb i rôzna prenosnosť.

Šifrovaná komunikácia

Vlastný prenos údajov je výhradne realizovaný protokolom https, čo znamená, že ide o šifrovanú komunikáciu medzi bankou a klientom. Väčšina existujúcich prehliadačov umožňuje detailnejší pohľad na vlastnosti zabezpečenia, ako je koreňová certifikačná autorita, ktorá overila bod pripojenia (t.j. server, ktorý prevádzkuje služby IB konkrétnej banky), typ šifry, ktorý sa pri prenose používa.

Banky v nápovedách svojich IB aplikácií tiež detailnejšie popisujú, akým spôsobom si môže klient overiť pravosť protokolu https - teda či ide o pravú šifrovanú komunikáciou s bankou.

Rovnako ako server autentifikuje klienta, je veľmi dôležité, aby aj klient autentifikoval server. Čo znamená, že aj klient si musí byť istý, že sa pripája na správne zariadenie banky, a teda že sa nepripája na zariadenie podvrhnuté podvodníkmi. V takom prípade by totiž podvodník mohol modifikovať zúčtovacie dáta a poškodiť klienta.

Najvyšší stupeň bezpečnosti

Smartkarty nie sú veľmi rozšírené medzi fyzickými osobami, uplatňujú ich skôr firmy, pričom využívajú možnosť sekvenčnej autorizácie platieb. V tomto prípade účtovné oddelenie pripraví zúčtovacie dáta, elektronicky ich podpíše a pošle na autorizáciu napríklad konateľovi spoločnosti alebo finančnému riaditeľovi, ktorý ich pridaním svojho elektronického podpisu finálne autorizuje.

Nevýhodou smartkariet a USB tokenov je fakt, že je nutné na klientskú stanicu (PC, notebook) inštalovať dodatočné programové vybavenie (ovládače, CSP) a preto dostupnosť takéhoto riešenia je nižšia oproti konkurenčným AAP.

Priame útoky na smartkarty a USB tokeny sa nerealizujú, skôr ide o podvrhnutie dát, ktoré sa neskôr digitálne podpíšu, čo je možné realizovať na staniciach klientov so škodlivým kódom. Banky preto pripravujú doplnenie tohto AAP, resp. kombináciu s už existujúcim SMS tokenom.

Digitálne podpísané zúčtovacie dáta, ktorých súčasťou je aj príslušný SMS token tak predstavujú najvyšší stupeň bezpečnosti IB.

Pýtať sa a rozumieť

Banky často tvrdia, že ich internetbanking je bezpečný. Najmenej bezpečným článkom reťazca však často zostáva človek. Bezpečnosť internetbankingu je teda daná aj počítačovou gramotnosťou jeho užívateľov.

Je preto veľmi dôležité, aby sa klienti pýtali bánk, ako zabezpečujú ich internetbanking, ale hlavne aby porozumeli konceptu bezpečnosti použitého zabezpečenia.

Autor: Maroš Rajnoch, Soitron