Názory k článku Bezpečnější platební karty a internet. Přehledně, co a proč se mění

Měl bych několik poznámek:
- Přihlašování v Equa Bank za použití SMS jako novinka je zmiňováno v mnoha článcích na různých místech, ale po mě jej Equa vyžaduje už někdy od března tohoto roku. Takže nevím nic o tom, že by bylo zaváděno nově k 14.9.
- S tím upozorněním na nefunkční platby za jízdenky v MHD se ČNB opravdu vyznamenala. Ihned jsem vznesl dotaz na DPO, jak to budou řešit v Ostravě (vzhledem k pozdějšímu zaúčtovávání plateb na kartě) a odpověď byla následující: "za Dopravní podnik Ostrava bychom Vás rádi uklidnili, že tato opatření nebudou mít na platbu jízdného ve vozidle DPO žádný vliv. Celé nařízení je k dispozici na stránkách ČNB ... a zde se výslovně píše v článku 12, že poskytovatelům platebních služeb je umožněno, aby neuplatňovali silné ověření klienta, pokud plátce iniciuje elektronickou platební transakci u terminálu bez obsluhy za účelem uhrazení jízdného nebo poplatku za parkování." Potvrzuje to to, co píšete v článku.
- Jak to dopadne s čínskými tržišti a jejich odloženými platbami při přetížení systému je také otázkou, uvidíme.
- Opravdu jsem zvědavý, jak to bude do budoucna s autorizačními SMS. Zatím používám na jejich příjem hloupý telefon a jsem si vědom potenciálního rizika útočníka odposlouchávajícího na stejné BTS, ale to už by musel být cílený útok.
- Root telefonu bankovní aplikace odhalují a blokují své použití. Ale horší je, že za zneužití už nikdy neopravených zranitelností v OS Android jej skrytě udělá nějaká aplikace útočníka bez možnosti detekce a uživatel se o tom nedozví a před bankovní aplikací to může být maskováno. Dokud se nezlepší přístup výrobců MT k bezpečnosti, odmítám bankovní aplikace na mobilu pro ovládání účtu používat (což mi dost sváže ruce pokud se banky rozhodnou, že autentizace mobilem je jediná cesta)

! minus !

Co ti brání, ty chytráku, obíhat všechny obchodníky v okolí aby ti nezdražovali pivo a utopence ? Pak přesvědč pracující v okolí ať nechtěji vyšší platy a budeš mít po inflaci.

A v Severní Korei navíc nemají ani daně. Takže pro ty, co nemají rádi inflaci, daně a EET je to úplný ráj!

Sobotou 14. září mi přestala ve smartphonu fungovat aplikace Equa bankovnictví pro nahlížení na účet, když nejsou schopný po transakci poslat e-mail, kolik zbývá na účtu Kč? Mobil má android 4.0.4 a nemám v něm sim kartu, bez které aplikace také fungovala. Takže mě kvůli pohodlnosti a nezdlouhavatosti přihlašování do aplikace zřejmě čeká nákup zase nového chytrého telefonu nebo to také prý funguje v tabletu? Abych pro každé přihlášení na účet opisoval ještě cifry z smsky, tak to je pěkná otrava. Mnohdy by zneužití účtu nebylo ani trestným činem, když tam nemám ani Masaryka!

Je velmi dobře, že se problematika PSD2 popularizuje a že klienti bank pochopí, proč je banky "otravují" s vyšším zabezpečením :).
Ke článku bych nicméně rád přidal pár drobných komentářů:
- vývojáři jsou několikrát jmenováni jako ti, kteří určují pravidla hry (např. složitost hesel) – není to tak, pracují podle zadání, které dostanou ;)
- 2FA – v kontextu bankovních služeb je přesnější mluvit o SCA (Strong Customer Authentication – v české legislativě překládáno jako „silné ověření klienta“). Proti 2FA má SCA legislativně přesnější (přísnější) pravidla – viz i odkaz na prováděcí nařízení, který je v textu uveden
- Potvrzování ve dvou krocích je pro mě osobně jedna z kontroverzí – podle mě není tento výklad přesný – pokud dělám SCA, tak bych měl použít 2 nebo 3 prvky různých kategorií najednou a ne po sobě
- Prvek „Někde jsem“ - příslušná legislativa jej nedefinuje jako bezpečnostní prvek – toto prosím raději z článku odstraňte
- Důvěryhodné zařízení pomocí uložení cookie se mi nezdá bezpečné
- Odkud prosím plyne výklad, který říká, že platbu na internetu není potřeba po jednom silném ověření klienta 5x silně ověřovat?

Ještě jednou moc díky za článek k této problematice :)!

V tabulce máte chybku u bezkontaktních plateb. Ten limit 30 eur a v součtu 100 eur platí pro online platby. Pro bezkontaktní platby v obchodě platí limit 50 eur a v součtu 150 eur, tuzemské banky se ale rozhodly zůstat u limitu 20 eur. Viz třeba přehled na Peníze.cz.