Reklama
 
Blog | Ondřej Bouda

Air Bank a bezpečnost

Air Bance se moc nedaří proplouvat mezi Skyllou bezpečnosti a Charybdou použitelnosti.

Šablony pro platby

Začalo to tím, že jsem si v prosinci (hned po startu Air Banky) založil účet. Už při průzkumu, jak se ovládá jejich internetové bankovnictví, jsem si všiml, že nepožaduje SMS potvrzení pro změnu šablony příkazu. To mi stačilo k rozhodnutí, že tuto banku nebudu používat do doby, než to napraví.

V čem je problém? Internetové bankovnictví by jen na základě přihlášení (znalosti jména/hesla) nemělo dovolit žádnou manipulaci s penězi. Znalost hesla je totiž velmi slabým bezpečnostním prvkem – případný zloděj má mnoho možností, jak se k heslu dostat (phishing, trojské koně, slovníkové útoky, MITM atd). Abych nevyvolával paniku: pravděpodobnost, že se útočník dostane zrovna k vašemu heslu, je téměř nulová. Na druhou stranu: pravděpodobnost, že se dostane alespoň k nějakým heslům, už je docela slušná (záleží na jeho šikovnosti). Banka by proto s takovou situací měla počítat – některým z jejích klientů se to nejspíš stane.

Vraťme se teď k šablonám příkazů: v čem jsou nebezpečné? Pokud se někomu podaří zjistit moje heslo, stačí to k tomu, aby změnil cílová čísla účtů u mých šablon – a pak už si jen počká, až šablony použiju a jemu přijdou moje peníze. Šance, že bych si změny včas všiml, je dost malá.

Reklama

U Air Banky je tohle riziko ještě znásobené tím, že banka nikde neupozorňuje ani na úspěšné, ani na neúspěšné pokusy o přihlášení. Pro srovnání: např. mBanka po každém přihlášení posílá na kontaktní email informaci, že se někdo k IB přihlásil. Pokud mi takový email přijde a vím, že jsem se nepřihlašoval, jdu si okamžitě změnit heslo… u Air Banky nemám šanci se to dozvědět.

Banku jsem tehdy na problém hned upozornil  a přišla mi tato odpověď:
„Dobrý den, pane Boudo, děkujeme za Váš podnět. Můžete si být jist, že všechny reakce na naše služby bereme velmi vážně. A to nejen ty kladné, ale i záporné. Právě díky nim víme, co všechno můžeme ještě zlepšovat.
Pokud byste v budoucnu cokoliv dalšího potřeboval, můžete nám samozřejmě zavolat na 840 30 30 30 denně od 7:00 do 22:00 hodin nebo nám napište na info@Air Bank.cz. Rádi Vám pomůžeme a poradíme.
Přejeme Vám pěkný den.“

A šablony plateb jde i dnes, po čtyřech měsících, měnit stejně snadno…

Omezení částky transakce

Včera jsem pročítal online rozhovor s p. Čomorem, ředitelem Air Banky, a zaujala mě druhá perlička. Air Banka má přednastavený limit 100.000 Kč pro částku bankovního převodu, prý z bezpečnostních důvodů. Problém je, že banka o tom nikde neinformuje – klient se o existenci limitu dozví až ve chvíli, kdy se pokusí nadlimitní částku poslat a systém to odmítne.

To, že klienti o omezení nevědí, snad banka (chlubící se extra vstřícným vztahem ke klientům) brzy napraví. Větší problém proto vidím v samotné existenci limitu:

  • Ze zákona jsou zakázány platby v hotovosti nad 350.000 Kč. Jakoukoli transakci nad tuto částku tedy musím zasílat bankovním převodem – a Air Banka to svým limitem zbytečně komplikuje.
  • Transakce s částkou převyšující limit budou mít lidé jen občas. Proto se dá čekat, že na limit stihnou znovu zapomenout a proto je zaskočí ne jednou, ale několikrát za sebou. 
  • Limit je možné změnit buď na pobočce, nebo na klientské lince (která nemá nonstop provoz) – může se tedy stát, že klient nebude moct limit zvýšit tak rychle, jak potřebuje. V takovém případě lze limit obejít tím, že se platba odešle po částech – kromě toho, že je to nepohodlné, tak jedna odeslaná platba stojí  5 Kč (banka ale slibuje vrátit poplatky, se kterými klient nesouhlasí – jste-li ochotni se na to spolehnout, násobná platba vám vadit nemusí).
  • Smyslem limitu má prý být ochrana klienta v případě, že by zloděj získal jeho heslo současně s telefonem (tj. měl by přístup k potvrzujícím SMS). Zloděje to ale stejně nejspíš moc nezdrží***: vytvoří si šablonu a pak už si bude peníze posílat jak na běžícím pásu…

Shrnuto: Máte stejně jako já pocit, že několikaminutové zdržení potenciálního zloděje za ten opruz s limitem transakcí nestojí?

Jestli ano, tak je to pro bezpečností experty Air Banky velmi špatná vizitka… Proč? Každý, kdo se bezpečností zabývá, musí vědět, že je to dvojsečná zbraň. Není problém zvyšovat bezpečnost do aleluja – ale každé zvýšení bezpečnosti znamená snížení pohodlí pro uživatele. Maximální bezpečnost jde proto ruku v ruce s praktickou nepoužitelností.

Každý profesionál by proto měl být zvyklý poměřovat přínosy bezpečnostního opatření s jeho náklady, včetně „zvýšení opruzu“.  A já nedokážu pochopit, jak mohla Air Banka v tomto ohledu tak ukázkově selhat. Banka by přece na bezpečnost měla mít ty nejlepší lidi z oboru – jak přes ně, proboha, mohl tenhle nesmysl projít?

Může si banka takové prohřešky dovolit?

Na jednu stranu je nutno přiznat, že jde o drobnosti – nic zásadního. Na druhou stranu: banka by v otázkách bezpečnosti měla mít dobře promyšlené i drobnosti.

A tak když se takové drobnosti sejdou dvě, je to na zamyšlení. Může to být jenom vedlejší efekt toho, že banka při startu zaměřila úsilí především na ty velké problémy – a na to, aby se pořádně dotáhly drobnosti, prostě nezbyl čas. Ale může to taky být špička ledovce, indikující systémové selhávání banky v oblasti bezpečnosti – a to by pro klienty Air Banky byla velmi špatná zpráva…

 

*** Dodatečná oprava/upřesnění:

Limit platby zloděje přeci jen zdrží – jde o denní limit, nikoliv o limit na jednu platbu (jak jsem chybně pochopil z formulace otázky/odpovědi v online rozhovoru). Nicméně limit není možné zrušit – max. částka je 1 milion. Budu-li např. kupovat nemovitost, znamená to, že musím buďto platbu posílat po částech, nebo jít platbu poslat na pobočku. A ještě to upřesním: nejde o limit na uskutečněné transakce, ale na zadané příkazy. Takže např. nemohu při jednom přihlášení zadat jednu platbu na dnes a druhou na zítra – musím se skutečně každý den přihlásit a zadat další část platby.

Případného zloděje to tedy skutečně omezí (více plateb nestihne, protože majitel účtu si nejspíš všimne ztráty telefonu).

Otázka je, zda takové omezení stojí za zvýšení nepohodlí, které to s sebou nese: drtivá většina nadlimitních transakcí nejspíš bude oprávněná…

Vyhledávání

Tip: Vyhledávejte dle autora pomocí autor: autor:”Erik Tabery” další tip

Výsledky vyhledávání

Hledám o sto šest
Vyskytla se chyba, zkuste to znovu.
Reklama