Vlákno názorů k článku Banky si hrají na homeopaty, bezpečnost přehazují na uživatele od Martin Šoch - Po přečtení článku zůstávám zírat s otevřenou pusou....

Po přečtení článku zůstávám zírat s otevřenou pusou. Tenhle člověk dělal soudního znalce?!

Nabídnutý způsob řešení problémů snad není ani k smíchu. Účet bez internetového bankovnictví, používaný pouze prostřednictvím osobních návštěv?

A jak si asi autor myslí, že je ověřována věrohodnost příkazu k převodu mezi účty, podaného osobně v bance?

Trapnou kontrolou podpisu, který provede laik (nikoliv grafolog)!

To už je tedy bezpečnější například internetové bankovnictví s ověřením transakcí hardwarovou "kalkulačkou" která vygeneruje jednorázové heslo. To je celkem neprůstřelné řešení a u nás ho kdysi nabízela eBanka nebo Česká spořitelna. Pak to zrušili, lidi to nechtěli používat :)

Kalkulačky a generátory kódů (tokeny co používá sberbank) mi nepřijdou tak bezpečné jako ověřovací sms, ve které je napsané kolik a kam posílám (jen se nesmí přijímat pomocí chytrého telefonu, ten může být taky napaden). To že mi kalkulačka vygeneruje číslo, které zadám do prohlížeče je sice pěkné, ale nemůžu si být jistý co tím podepisuji, protože stránka může podvržená. Můžou vám i podvrhnout prohlížeč, takže to bude vypadat, že certifikáty sedí.

Nevím co dnes sberbank, ale eBanka i ČS generovala kód na základě zadání několika údajů.

Jak si vpomínám, zcela určitě se zadávala částka i číslo cílového účtu.

To dá rozum, že pouhé vygenerování nějakého čísla kalkulačkou je nesmysl. To jde použít jen pro bezpečnější přihlašování.

Je pravda, že čistě tokeny nejsou odolné proti určitým scénářům. Na druhou stranu SMS taky nejsou tak samospásné, jak lidé občas tvrdí.

Jednak je možné napadnout telefon, jak píšete a mít extra telefon jen na potvrzování není úplně pohodlné. Také je potřeba vzít v úvahu fakt, že obyčejné SMS nejsou nijak šifrované, takže mohou klidně utéct někde u odesilatele SMS nebo operátora. A GSM šifra je taky dost slabá, takže by se mohly dát odposlechnout i "ze vzduchu".

Autorizační sms jsou hodně bezpečné z důvodu poslání údajů dvěma nezávislými cestami. Jedna cesta je přes poskytovatele připojení k internetu, druhá přes mobilního operátora. Útočník by musel napadnout obě cesty současně.
Tady je opět nejslabší článek uživatel. Pokud odešle svoje přihlašovací údaje kamsi do cloudu a do stejného místa odesílá i všechny příchozí sms tak útočníkovi stačí napadnout pouze tento jeden účet.
Tohle je smutná realita. Tímto způsobem přišel o peníze bývalý kolega, který vše odesílal na Google účet. Pak vlastní blbostí to heslo prozradil a bylo vymalováno.