Asszem blog

Erste Netbank: túlzásba vitt biztonság
2009. december 02. írta: Asszem

Erste Netbank: túlzásba vitt biztonság

Kénytelen voltam bankot váltani. Az Erstéhez kerültem, oda kellett vinni a fizut. Már úgyis untam a CIB-et és a nehézkes netbankos felületet, gondolom ennél csak jobb lehet.

Tévedtem. Roppant idegesítő, hogy a biztonság jegyében 127 lépésben tudok csak bejutni a számlámhoz. Legalább lenne opcionális, hogy akarok-e idegesítő sms-t kapni a három elemből álló (azonosító, felhasználónév, jelszó) beléptetés után, hogy még egyszer meggyőződjenek róla, valóban én vagyok-e. Ezentúl tehát mindig feltöltött, kezem ügyében levő mobillal fogok csak tudni belépni.

Mivel a netbankos jelszavakat nem szeretem a véletlenre bízni, elég hosszú kombinációt használok. Persze az első belépés utáni jelszómódosításkor oda van írva, hogy 6-12 karakter hosszú legyen a jelszó, amiből a 12 karakterlimit nekem big wtf, de ennél már csak az bénább, hogy ennek ellenére simán elfogadja a rendszer a hosszabb jelszót is. Ezért történhetett meg az, hogy 3x egymás után kitiltott, pedig mindig jól csináltam. Már a végén én is kezdtem gyanús lenni magamnak, és véletlenül vettem észre, hogy hoppá, az én jelszavam bőven túl volt 12 karakternél, csak nem vettem észre a halvány figyelmeztetést, a módosításkor pedig nem dobott hibaüzenetet. Pákker.

Aztán ha már bejutottam, nem sokkal jobb a helyzet. Vajon mit akar látni az ember kapásból és elsőre, ha belép a számlájához? Szerintem az egyenlegét. De nem, itt is minimum 3-at kell klikkelni, mire ide eljutok. Még egy vacak böngészőben is be lehet állítani, mi legyen a kezdőlap, egy bankos felületen miért nem lehet megoldani, hogy tényleg a releváns infókat lássam?

És persze minden fontos tranzakciónál megint megy a butulás az ellenőrző sms-ekkel. Oké, aki paranoid, annak ez jó, de legalább lenne opcionális...

Na mindegy, ez van, ezt kell szeretni. Egyszer talán majd találok egy olyan bankot, amelyiknek a netes felülete nemcsak áttekinthető, praktikus, átgondolt, szép és használható lesz, hanem még testreszabható is.

bank erste

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

xerxesz 2009.12.03. 08:11:34

Én is pont ezt a kettőt használom. Mondjuk nekem a CIB-bel nem sok bajom van, csak a Java felület idegesít kicsit, meg pár apróság, de miután belefutottam az ERSTE Netbankba, egyből rájöttem, mennyire csodálatos a CIB-es :o)))
Válasz erre 

sylverdevil · http://sylverdevil.hdweb.info 2009.12.09. 18:54:48

én a k&h netbankjával maximálisan meg vagyok elégedve, bár máshoz nem is volt szerencsém
Válasz erre 

|Z| 2009.12.17. 10:04:03

Az "idegesítő SMS" vs "hosszú jelszót használok és ezért biztonságban vagyok" témához szólnék hozzá. Bár nem írtad, feltételezem Windows-t használsz. "Bizonyára" frissíted az antivírus szoftveredet, meg a tűzfalad, meg nem töltesz le warez cuccokat, meg frissíted a windowst/quicktime-ot/winzip-et/adobe readert/flashplayert, illetve ha épp nincs frissítés csak sérülékenység a szoftverben, akkor letörlöd? Stb stb stb. Szerinted így kizárt dolog, hogy egy jelszólopó kód települjön a gépedre? Ha ezt hiszed, naív vagy. Ha azt hiszed, a 128 karakteres jelszó megvéd a jelszólopó kódtól, naív vagy.

Persze lehet idegesítő az sms, de ha opcióként kezeled az átutalásoknál, utána meg lenyúlják a bankszámládat, akkor meg sírhatsz az ügyintézőnek, hogy "nem védett meg a bank".
Válasz erre 

Asszem 2009.12.17. 10:19:30

@|Z|: Igen, Windowst használok, kb. tíz éve. Jelenleg Nod32-es vírusírtó van fent, és a Spybot S&D. Eddig még soha nem fordult elő, hogy "jelszólopó kód" kerüljön a gépemre. Egyszer volt szerencsém egy coolwebsearch-hoz, reinstall lett a vége.

Kb. öt éve netbankolok napi rendszerességgel. Eddig soha nem volt problémám azzal, hogy illetéktelenek fértek volna hozzá az accountomhoz, és eddig sosem volt szükségem SMS kódra.

Esetleg nevezz néven pár konkrét ilyen programot, hogy mitől is féljek? Illetve mutass már valami statisztikát, hogy Magyarországon évente hány user válik a "jelszólopó kód" áldozatává?

Nem azt kétlem, hogy keyloggerek léteznének, hanem azt, hogy ez reális veszély lenne.

Én az eddigi tapasztalataim alapján úgy gondolom, hogy ennek a kockázatát vállalnám, ha a bank lehetőséget adna rá, mint ahogyan lehetőséget ad rá a CIB és az AXA, amiket még ismerek.
Válasz erre 

Asszem 2009.12.17. 10:44:27

@|Z|: sejtettem, hogy ezt fogod mondani, de ezzel nem győztél meg arról, miért lenne a kockázat olyan magas szintű, hogy indokolná az állandó sms-ezést?

Most az ersténél egy bankolás 3-4 sms-ből áll, baromi idegesítő.

A mellékelt linkekről: ezek most mit bizonyítanak? Hogy vannak fertőzött fájlok?

Előfordulási gyakoriságokat mondj, amelyekben ki tudod mutatni, hogy azok a userek, akik nem használnak sms-értesítős bankolást hány százalékkal nagyobb kockázatnak vannak kitéve és Magyarországon hány ilyen eset történik évente...

amíg ez nincs, addig az egyetlen forrás a saját tapasztalatom és mivel ez az egyetlen releváns információ ezért nem hibás döntés ez alapján megbecsülni a kockázatot, ami pedig a tapasztalat alapján azt mutatja, hogy nem szükséges az sms védelem.

kíváncsi vagyok, hogy Magyarországon évente hány embernek nyúlnak hozzá illetéktelenek a bankszámlájukhoz?

Mondok egy másik példát. Axánál egyetlen nagyobb összegem volt és páromnak elmondtam a netbankos kódjaimat, hogy utalja át axán belül a másik számlánkra. Átutalta, majd az utalás után fél órával visszavonták az utalást és zárolták a számlámat, majd felhívtak többször is, hogy látták, hogy az én nevemben és kódjaimmal illetéktelen utalt pénzt, és személyesen be is kellett mennem feloldani a zárolást, mindezt a nagyobb összeg miatt...

szóval így is meg lehet oldani a védelmet.
Válasz erre 

|Z| 2009.12.17. 11:12:55

@Asszem: A mellékelt linkek azt mutatják, hogy a fertőzött file-okat nem veszi észre a vírusírtók döntő(!) többsége. A 2. például egy olyan sérülékenységet használ ki, ami ott van minden felhasználónál, akinek legfrissebb Adobe Reader-e van, és nincs tiltva javascript Adobe-ben.

Amit kérsz statisztikát, egyenlőre nem létezik, vagy csak nem tudok róla, de szükség lenne rá. Szakértőket tudok idézni, akik ezt az SMS-t javasolják (vagy más hasonlót), de gondolom ez neked nem elég.

A történeted az Axánál meg olyan dolog, hogy szerintem nagyobb macera, mint az SMS. Számoljunk SMS-el reálisan. Tegyük fel nagyon nagyon aktívan netbankolsz, 1 hónapban 10* belépsz és összesen intézel 20 átutalást. Ez havonta 30 SMS. Egy SMS belépés maximum 30 másodperccel hosszabbítja meg belépést (erős felső becslés), az havonta 900 másodperc vagyis 15 perc. Tegyük fel átlagosan 1 havi fizetésed tartod a számlán (erős alsó becslés), amit le tudnak nyúlni. Tegyük fel átlagosan 9600 percet dolgozol 1 hónapban.

Ez azt jelenti, hogy ha 53 éven keresztül netbankolsz (olyan aktívan és olyan lassan, ahogy írtam), akkor fogsz összesítetten 1 hónapot dolgozni SMS gépeléssel azért, hogy ne nyúlják le 1 havi fizetésed. Ha ez nem éri meg neked, akkor az a te döntésed. Ha átlag netbank usert (havi 2 belépés 2 átutalás) számolunk, akkor ez a szám felugrik 400 évre ...
Válasz erre 

Asszem 2009.12.17. 12:49:16

@|Z|: bár nem értek egyet veled, de értékelem ezt a fajta érvelést :D

Eddigi bankolási szokásaim: napi 1-5 belépés, viszont tranzaktálni kevesebbet szoktam, így más arányokkal bár, de a havi 30 sms kb. elfogadható. Majd nézni fogom, egy pár hónapos periódus után átlagban havi hány SMS-t kaptam erstétől.

Ráadásul vegyük hozzá (bár most magam ellen beszélek), hogy nem csak munkaidőben, hanem hétvégén is megnézem a bankszámlám, úgyhogy számoljunk inkább havi 10 perccel, így máris 90 évet kell dolgoznom, hogy összesítetten egy hónapot dolgozzak. Sőt, legyünk nagyvonalúak, tároljak két-három havi fizut a számlán...

Csakhogy ez az egész bájos érvelés ott bukik meg, hogy nem számol annak a valószínűségével, hogy tényleg le fogják-e nyúlni a pénzem.

Ugyanis a te logikád akkor is igaz marad, ha az SMS megerősítést mondjuk rituális bankőrző esőtáncra cseréljük, ami időben ugyanannyi, és amíg nincs adatunk az sms hatékonyságára, addig én nem követek el hibát ha egyenlőnek észlelem mindkét módszer biztonságfokozó hatását és úgy gondolom, inkább lemondanék az sms/esőtáncról, mert egy olyan elméletileg és gyakorlatilag is létező (nem létező) veszélyforrást küszöböl csupán ki, aminek a bekövetkezési valószínűsége alacsony.

És persze ott van még a szubjektív faktor, amivel nem számoltál, hogy minden belépéskor ideges leszek, emiatt néha elütöm a kódot, lemerül a telefonom, vagy rossz tranzakciót bonyolítok le, amit meg kell ismételni, újabb kódkérés, vagy eleve be sem lépek, mert tudom, hogy idegesíteni fog a kód, de emiatt nem megy el olyan utalás, aminek kellett volna és ennek utána kell járni, stb. stb, szóval azért itt a lehetőségek tárháza kimeríthetetlen...

Na, és persze az az idő, amit ennek a posztnak az írásával töltöttem ebédelés helyett, szintén az ERSTE rovására írható :D
Válasz erre 

mlacko 2009.12.20. 21:35:04

Mi volt a baj az AXA-val?
Válasz erre 

Asszem 2009.12.20. 22:31:36

@mlacko: semmi, sőt, valószínűleg oda fogok menni én is. Páromnak van Axánál folyószámlája és nagyon elégedett vele, mondjuk nekem az ibanq annyira nem tetszett, mert ott is bonyi a belépés, de legalább nincs sms-ezés.

Amikor még volt a magas kamatos VIP számla, akkor én is nyitottam egyet, azt viszont csak telebankonk keresztül lehetett elérni, aminél nagyobb szopatást én el sem tudnék képzelni.
Válasz erre 

mlacko 2009.12.21. 11:09:21

@Asszem: én telefonon nyomom. Van kinyomtatott "menüfa" (nem tudom minek nevezzem), soha nem várom meg hogy végigmondja a mondandóját. Én is utáltam az elején viszont most már gyorsabban használom mint az OTP-s netes cuccát, aminél bár egy utalásnál csak egy sms van de engem még az is idegesített, bár kétségtelenül biztonságos.
Válasz erre 

panny44444 2009.12.21. 23:04:59

Szóval, csak azt szerettem volna mondani, hogy a múltkor bunkó voltam, amit nagyon sajnálok.

Na, mindegy...

Nem akartalak megbántani, de tényleg,

Pláne, hogy most jön a Karácsony, nahát

Bocsánatot kérek!

ha ez számít valamit...
Válasz erre 
süti beállítások módosítása