Pa sta se to moze lose dogoditi?
Da ti neko vidi koliko imas para na racunu!?

@bakara
Može phishing.
http://www.nlb.si/cgi-bin/nlbweb.exe?doc=5444

@Triki
Ja ne koristim, mada je zgodna stvarčica. Plaćanje računa, transfer novca, pregled transakcija, stanje, itd.

Znam, ali on rece za proveru stanja...

U ostalom svaka banka ima neke svoje nacine zastite...

Do sada se kao pouzdan pokazao token
Sifra se generise svaki put sto je dosta sigurno

Ukratko, odgovor

Biti

I ja imam token, i nikakvih problema ne moze da bude proveravajuci stanje na racunu

Ja svakodnevno koristim. Ne vidim sta lose moze da se desi. Prvo ti program trazi sifru, pa onda proverava preko koje konekcije se kacis, pa posle toga proverava karticu....ne vidim nacin da neko to zaobidje. Ali samo proveravam stanje. Za pustanje para imam knjigovodju.

osim phisinga i trojanaca.. islim da je bezbedno

ja koristim nlb klik za proveru stanja, placanje racuna, transfer medju racunima,....

Ne koristim iz razloga jer nemam neke češće potrebe za tim.

@Mulaz
Jaka stvar mi je plaćanje računa i transfer na drugi račun "iz fotelje"

Nego da ti dam br računa da mi nabaciš koju kintu

Pa sad... sta moze da se desi...

Teorija poznaje mnogo nacina da neko ugrozi bezbednost... da dam nekoliko primera:
- session highjacking (preuzimanje kontrole nad sesijom)
- man in the middle attack (covek se tebi predstavi kao banka, banci kao ti, prakticno radi kao neki proxy preko koga ide sva komunikacija, sa sve passwordima)
- dictionaire attack (lepo probas sve moguce lozinke za odredjeni account)
- upad na bancin server
- trojanac kod tebe
- upad na tvoj sistem i citanje tvog privatnog kljuca

Dobri ljudi su smislili i razne nacine odbrane ali je sve opet na korisnicima... jacina passworda (duzina, tipovi karaktera, sa cifrom ili bez, sa ili bez velikih slova, poznate reci ili ne...), frekvencija promene passworda (sto je duze u upotrebi password je ranjiviji), jacina enkripcije...

U principu, token je sigurniji od passworda ali nema apsolutne zastite. Treba obratiti punu paznju i na poruke, da ne bude ono "kompjuter me je nesto pitao i ja sam rekao OK"...

Hajde da nastavimo da teoretisemo...

@PonyExpress

- session highjacking (preuzimanje kontrole nad sesijom)
- man in the middle attack (covek se tebi predstavi kao banka, banci kao ti, prakticno radi kao neki proxy preko koga ide sva komunikacija, sa sve passwordima)
- dictionaire attack (lepo probas sve moguce lozinke za odredjeni account)
- upad na bancin server
- trojanac kod tebe
- upad na tvoj sistem i citanje tvog privatnog kljuca

Sve je ovo moguce, problem je sto ja ne znam ni jednu banku koja ce sa (samo) passwordom da ti dozvoli transakciju (tako samo mozes videti stanje), obicno ide token ili mini cd, koji tog trenutka mora biti fizicki prisutan, a i on zahteva posebnu sifru, cim se izvadi transakcija se ne moze izvrsiti!
A opet sve i da se izvrsi transakcija, na taj nacin se vec moze videti gde i kome je uplacen novac, jer problem je sto to nije kes.
Naravno neko taj novac moze podici u banci, ali banke salju sms poruke cim dodje do promene na racunu, tako da je opet mali korak do zatvora!

Jednostavno lakse bi bilo nekoga saleteti u mraku oteti mu karticu, i uzeti pare na bankomatu...al` onda nisi haker

a ne samo to... nego je provizija za placanje racuna vise puta manja od one na salteru u banci

mulaz, za ovo si u pravu. To je i meni skrenuo paznju salterski sluzbenik. Kaze pa vi to mozete i preko interneta da prebacujete pare sa racuna i da ih placate, posto je video da to cesto radim. Mada tako indirektno ukida svoje radno mesto.

U Italiji medjutim obicnim korisnicima ne nudi se token, sad sam se malo informisao o toj stvarcici. Ljudi se ohrabruju da pristupaju preko browsera.

evo sta kazu:

http://www.poste.it/online/phishing.shtml

text je na italijanskom i evo ukratko:

- Poste Italiane nikad ne traze broj racuna i pass preko maila, to je za phishing
- redovno update antivirus, antispyware i OS (ovo zadnje nije problem posto Italijani uglavnom imaju original verziju XP)
- toolbar vas obavestava o potencijalno opasnim sajtovima

naravno za ovo treba da se prijavite i dobicete kod od 10 cifara od kojih koristite samo 4.

I to je sve. Hm, ipak sam skeptik. Mozda ne za sebe licno jer sam prilicno osiguran, ali gomila ljudi ne verujem da zna sve ovo.

Moja nova banka (nije u Srbiji) je jedna od retkih koja nudi banking i brokerage bez transakcionih brojeva (koje generisu na papiru i salju u koverti), i to samo sa jednom dodatnom sifrom (Trader Password se zove) - u pocetku sam i ja isto imao malo sumnje u opstu sigurnost, ali je prevagnula prednost da ne moram stalno da vucaram doticnu kovertu gde god da idem, posto sam vec par puta gubio taj list i imao vise muke nego koristi ;)

Doduse, banci pristupam iskljucivo sa notebooka na kome nisam admin i koji je vrlo siguran - tako da nemam razloga za brigu, medjutim da pristupam sa drugih masina ne bih bas bio potpuno bezbrizan.

pp da to radis sa svog notebokka koji si sredio i propisno osigurao firewallom antivirusom, antispywareom i sve to iz XPa ?

Ja, izmedju ostalih, koristim kartice i e-banking banke Intesa i tamo postoji opcija da dobijes CD sa serifikatom (za token nisam siguran) ali ja evo vec par godina sve transakcije radim samo sa passwordom (koji btw ima 10 karaktera, mala, velika slova i brojeve) koji naravno redovno menjam.

Shvatam da smo mi sitna riba da bi nas neko snifovao ili pokusao da "orobi" preko Interneta, vise mi lici da ce da prate e-banking transakcije velikih medjunarodnih firmi kod nas. Samo kazem da je to moguce i u praksi veoma ostvarivo.

Sto se tice slanja SMSa o svakoj obavljenoj transakciji, to je vise nego korektva opcija, ali ti nece vratiti pokradena sredstva (recimo ako ti je neko ukrao PIN i karticu, jos ako ih drziz zajedno sto 90% ljudi cine... ih!). Moj prijatelj je imao to zadovoljstvo da mu oca pokradu i podignu ceo dozvoljeni minus sa racuna. Sreca te se poizanje novca sa automata snima pa su uhvatili lopova, ali novac nije vracen... Mozda je malo veca verovatnoca povracaja novca kod prebacivanja na drugi racun zato sto postoji konkretniji trag od fotografije, ne znam...

Na kraju, buduci da smo u principu sitne ribe i da manje-vise elementarna zastita racunara (AV, firewall, anti spyware i redovno pecovanje) umnogome doprinosi sigurnosti (napad treba da bude ekonomski isplativ, a ne da se potrose tri dana na probijanje sistema da bi se zaradilo par stotina evra), mene vise brine bezbednost bancinih servera i samih e-banking aplikacija. U principu sve banke koriste jednu od aplikacija Sage, Pexima i jos jedne jace firme, ali to su vec par godina stare aplikacije koje ne verujem da se cesto upgraduju.

A od pomisli na bancine IT infrastrukture mi se dize kosa na glavi... Gomila njih jos koristi Outlook Expres, nema File servera, radi se sa deljenim folderima na radnim stanicama, ljudi razmenjuju svoje passworde, nema centralizovano upravljanje svojom infrastrukturom. Jednostavno, IT je tamo trosak a ne potreba, sto se na kraju krajeva vidi i po platama. Mislim da prakticno sve banke nude CD sa licnim sertifikatima i imaju podignut svoj CA, voleo bih bar nacelno da znam kako su obezbedjeni ti serveri, da deo marketinga bude i njihova sigurnost a ne samo sta nude od svojih proizvoda.

My 2 cents...

konkretno kod nlb se dobija digitalni certifikat, koji se upotrebljava u kombinaciji sa passwordom (koji korisnik namesti po svojoj zelji).
Ne znam kako je sa mini-cd-evima i sl. stvarima, ali meni se ta ideja ne svidja, jer to u 99% primera znaci da ta stvar neradi pod svima OS-ovima (kao sto vidite upotrebljavam linux i sa certifikatom+pwd nikad nisam imao probleme)

primetio sam da ima sve vise rada sa ovim digitalnim certifikatima.. za moj faks treba digitalni certifikat da bi mogao da se prijavim na ispit (prijava na ispit je moguca samo preko interneta sa certifikatom, ili preko terminala na faksu gde certifikat ne treba)