Pozor museum: Toto je archivní verze blogu. Pro vkládání komentářů přejděte na tento článek v nové verzi blogu.

mBank

Pamatujete jejich původní stránky? Působily dost amatérsky, ba co víc byly vyloženě hnusné. Dnešní web vypadá o poznání lépe, dokonce by se dalo říct, že vkusně.

mBank je nadějná malá internetová banka s polskými kořeny. Banka nabízí běžný účet, spořící účet a hypotéku. K dnešnímu dni má v ČR jedinou pobočku a šest dalších připravuje.

Zaujal mě moderní přístup ke komunikaci s klienty: mBanka není nějaká zatuchlá rakouská kampelička a na svých oficiálních stránkách má blogdiskusní fórum. Tento styl samozřejmě nevyhovuje všem typům klientů, ale já oceňuji, že oficiální představitelé mBanky se toho vůbec nebojí a jsou ochotní se zapojit do svatých válek o informační bezpečnosti svého ústavu.

Bezpečnost

Na diskusním fóru banky se strhla diskuse na téma bezpečnost. (to jsme opravdu nečekali). Většina lidí si asi řekne, to by člověk blil a nic číst nebude, já jsem si ale příspěvky prošel a dovolil bych si malé shrnutí:

Jádro diskuse, tkví ve sporu, jestli jsou nešifrované SMSky dostatečným zabezpečením internetového bankovnictví. Jejich problémy jsou dva:

  • lze je odposlechnout cestou - na straně operátora nebo ve vzduchu
  • kdokoli se zmocní našeho telefonu má kontrolu nadnaším účtem

Protiargumentace je velice chabá - spočívá v tom, že zloděj přece nezná naše klientské číslo (a taky heslo na web). To je prachsprostá security through obscurity praktika, na kterou bychom se neměli nikdy spoléhat. Odporuje myšlenkám Kerckhoffova principu (...Spolehlivost šifrovacího systému nesmí záviset na utajení algoritmu. Spolehlivost je založena pouze na utajení klíče...). Nikdy se nesmíme spoléhat na to, že osoba, která drží náš mobil, nezná další údaje o nás.

Zbývá pak už jen ochrana jménem a heslem, což je ale zabezpečení na úrovni freemailu. Softwarové nebo hardwarové odchytávače kláves, předpokládám, znáte. A HTTPS (SSL/TLS) rovněž není protokol, na který bychom se mohli plně spolehnout.

Možným řešením může být to, že si vyhradíme jeden zvláštní mobil a budeme ho zapínat jen v případě potřeby - jsme pak chráněni standardním PINem SIM karty. Také můžeme telefon zamykat kódem telefonu (ne každý to umí). Toto řešení je bohužel nepohodlné a také řeší pouze polovinu problému - možnost odposlechu po cestě trvá stále

Můžeme se tedy hádat v nekonečných diskusích, nebo raději počkat, až chlapci a děvčata v mBank zapracují a připraví nějakou fajn SIM Toolkitovou aplikaci, která posune bezpečnost na tak trochu serióznější úroveň. Otázkou totiž je, jestli si zatím nepřiplatit pár korun za bezpečné řešení.

Výhody a nevýhody

Kladně hodnotím:

  • Moderní přístup ke komunikaci s klienty
  • Ceník a úrokové sazby - na české poměry velmi pěkné

Zlepšit by si zasloužilo:

  • Zabezpečení - pokud tomu současnému věříte, tak můžete mít rovnou účet ve Spořce.
  • Klientský systém - zatímco veřejný web se mi líbí, klientská část systému vypadá dost zaostale: můžete to posoudit v demu na polských stránkách.
  • Důvěryhodnost: začínat je vždy těžké a důvěra přichází postupně. Serióznost se může zdát trochu v rozporu s dosavadním stylem komunikace, ale já věřím, že se podaří skloubit oboje.

Anketa

Důvěra v bezpečnostní řešení a cena, kterou jsou lidé ochotní za bezpečnost zaplatit, jsou subjektivní. Proto jsem pro vás připravil anketu na Ábíčku, kde se můžete vyjádřit, kolik peněz byste svěřili bance, která se spoléhá na nešifrované SMSky. Svoje komentáře ale směřujte raději pod tento článek - tady si je spíš přečtu.

Doporučení

Přestože jsem poukázal na více nevýhod než výhod, mBank si vaši pozornost zaslouží. Minimálně stojí za to, založit si účet, mít tam pár šupů a používat ho jako internetovou peněženku.

Nejlepší českou bankou je zatím pořád eBanka, ale mBank je zajímavá budoucí konkurence a je to výzva.

Časem budeme vědět víc...

Průměr: 2.2 (6 hlasů)

Kerckhoffův princip

Není mi jasná vaše zmínka o Kerckhoffově principu -- neznalost loginu a hesla přece není pouhá neznalost algoritmu. Kerckhoffův princip tedy porušen není.

Koroner

Odporuje myšlenkám Kerckhoffova principu

IMHO odporuje jeho myšlenkám: v případě šifrování je jediným údajem, který musíme chránit klíč. Všechno ostatní může (mělo by) být veřejné (algoritmus, protokol...). V případě přihlašování do banky bude klíčem heslo* Zatímco klientské číslo nebo číslo účtu jsou z principu veřejné údaje. Číslo účtu můžu dát kde komu, aby mi posílal peníze. Proto se taky tyhle údaje při zadávání neschovávají za hvězdičky jako je tomu u hesla.

*) případně bankovní PIN, pokud banka není zaostalá a SMSky jsou jím chráněny.

Nevite co je paysec?nabizi

Nevite co je paysec?nabizi to napr. hellomobile.

PaySec

PaySec [pejsek] je „elektronická peněženka“ – není to bankovní účet, ale platební systém jako např. PayPal nebo PayPay. PaySec je český a provozovaný ČSOB.