Weby s internetovým bankovnictvím mívají zastaralé šifrování

Jen zhruba pětina finančních webů v Česku i ve světě využívá výhradně nejnovější verze TLS.

Tuzemské portály nabízející přístup k internetovému bankovnictví používají podle české IT firmy Alef v mnoha případech zastaralé šifrování, a komunikace s nimi může být napadena hackery. Obdobná situace je i v zahraničí. Vyplývá to z prosincového testování Alef na vzorku 1375 serverů na 143 doménách, z toho 32 webů bylo z ČR. Česká bankovní asociace nechtěla výsledky komentovat.

Jen zhruba pětina finančních webů v Česku i ve světě využívá výhradně nejmodernější šifrovací protokoly TLS pro přístup uživatelů do internetového bankovnictví na úrovni stávající bezpečnostní praxe, tedy ve verzích TLS 1.2 a 1.3. Některé portály naopak používají pro zabezpečení komunikace i šifry, jejichž použití je již téměř pět let v rozporu s mezinárodně uznávanými standardy, nebo kryptografické mechanismy, u nichž jsou přes 20 let známy bezpečnostní slabiny.

„Podpora slabých šifrovacích sad a protokolů neznamená, že by byly při připojení klientů k serveru tyto kryptografické mechanismy nutně použity, ale že v některých případech k jejich použití dojít může,“ podotkl Jan Kopřiva, který ve společnosti ALEF vede tým pro řešení kybernetických bezpečnostních incidentů.

V České republice jen sedm z testovaných serverů, tedy necelých 22 procent, podporovalo protokol TLS pouze v nejnovější verzi 1.2 a případně 1.3, a tedy bylo nakonfigurováno v souladu s dobrou aktuální bezpečnostní praxí. To je o více než 1,5 procenta pod globálním průměrem. Testy naopak ukázaly, že 4,3 procenta webů bylo nakonfigurovaných i pro podporu nejstarších protokolů SSLv2 a SSLv3, které jsou již mnoho let považované za slabé kvůli velkému množství zranitelností. V Česku se ale takové portály nevyskytují.

jsa mal

Exit mobile version