Novi varnostni mehanizmi slovenskih bank

Kot ste verjetno opazili, so nekatere slovenske banke v zadnjem času storitvi elektronskega bančništva dodale nov varnostnih element -- varnostno geslo. Glavna ideja tovrstne zaščite je, da geslo naključno poklikate na zaslonu in zato običajni keyloggerji ne morejo ugotoviti, kaj točno ste storili.

Odlična poteza -- leta 2005.

Konec leta 2008 pa na trgu obstajajo namenski trojanski konji, katerih glavni namen je kraja denarja. Tako na primer NetHell, Limbo, Zeus, WSNPoem ter zBot poleg prestrezanja relevantnih podatkov v HTTP(s) zahtevkih (GET/POST) -- gesla, kraje elektronskih ključev (bančni certifikat iz varne shrambe) omogočajo tudi shranjevanje uporabnikovih klikov po bančnih straneh skupaj z zaslonskimi slikami objektov, ki jih je uporabnik dejansko kliknil.

Na ta način v Sloveniji ponovno uvajamo dodatni varnostni mehanizem, ki pomaga samo ljudem, ki ga ne potrebujejo. Če imate popoln nadzor nad vašim računalnikom, potem certifikat in geslo popolnoma zadoščata. Če nadzora nad tem, kaj teče na vašem računalniku, nimate, potem vam ne pomaga niti varnostno geslo.

Ena izmed možnih rešitev je uvedba out-of-band verifikacije po nemškem zgledu (mTAN), kjer vam banka po vnosu zahtevka za prenos, na mobilni telefon sporoči podatke o transakciji: znesek, račun na katerega nakazujete ter avtorizacijsko številko, ki jo morate vpisati v sistem, da transakcijo dokončate.

Seveda pa to stane...