Měl bych několik poznámek:
- Přihlašování v Equa Bank za použití SMS jako novinka je zmiňováno v mnoha článcích na různých místech, ale po mě jej Equa vyžaduje už někdy od března tohoto roku. Takže nevím nic o tom, že by bylo zaváděno nově k 14.9.
- S tím upozorněním na nefunkční platby za jízdenky v MHD se ČNB opravdu vyznamenala. Ihned jsem vznesl dotaz na DPO, jak to budou řešit v Ostravě (vzhledem k pozdějšímu zaúčtovávání plateb na kartě) a odpověď byla následující: "za Dopravní podnik Ostrava bychom Vás rádi uklidnili, že tato opatření nebudou mít na platbu jízdného ve vozidle DPO žádný vliv. Celé nařízení je k dispozici na stránkách ČNB ... a zde se výslovně píše v článku 12, že poskytovatelům platebních služeb je umožněno, aby neuplatňovali silné ověření klienta, pokud plátce iniciuje elektronickou platební transakci u terminálu bez obsluhy za účelem uhrazení jízdného nebo poplatku za parkování." Potvrzuje to to, co píšete v článku.
- Jak to dopadne s čínskými tržišti a jejich odloženými platbami při přetížení systému je také otázkou, uvidíme.
- Opravdu jsem zvědavý, jak to bude do budoucna s autorizačními SMS. Zatím používám na jejich příjem hloupý telefon a jsem si vědom potenciálního rizika útočníka odposlouchávajícího na stejné BTS, ale to už by musel být cílený útok.
- Root telefonu bankovní aplikace odhalují a blokují své použití. Ale horší je, že za zneužití už nikdy neopravených zranitelností v OS Android jej skrytě udělá nějaká aplikace útočníka bez možnosti detekce a uživatel se o tom nedozví a před bankovní aplikací to může být maskováno. Dokud se nezlepší přístup výrobců MT k bezpečnosti, odmítám bankovní aplikace na mobilu pro ovládání účtu používat (což mi dost sváže ruce pokud se banky rozhodnou, že autentizace mobilem je jediná cesta)
Sobotou 14. září mi přestala ve smartphonu fungovat aplikace Equa bankovnictví pro nahlížení na účet, když nejsou schopný po transakci poslat e-mail, kolik zbývá na účtu Kč? Mobil má android 4.0.4 a nemám v něm sim kartu, bez které aplikace také fungovala. Takže mě kvůli pohodlnosti a nezdlouhavatosti přihlašování do aplikace zřejmě čeká nákup zase nového chytrého telefonu nebo to také prý funguje v tabletu? Abych pro každé přihlášení na účet opisoval ještě cifry z smsky, tak to je pěkná otrava. Mnohdy by zneužití účtu nebylo ani trestným činem, když tam nemám ani Masaryka!
Je velmi dobře, že se problematika PSD2 popularizuje a že klienti bank pochopí, proč je banky "otravují" s vyšším zabezpečením :).
Ke článku bych nicméně rád přidal pár drobných komentářů:
- vývojáři jsou několikrát jmenováni jako ti, kteří určují pravidla hry (např. složitost hesel) – není to tak, pracují podle zadání, které dostanou ;)
- 2FA – v kontextu bankovních služeb je přesnější mluvit o SCA (Strong Customer Authentication – v české legislativě překládáno jako „silné ověření klienta“). Proti 2FA má SCA legislativně přesnější (přísnější) pravidla – viz i odkaz na prováděcí nařízení, který je v textu uveden
- Potvrzování ve dvou krocích je pro mě osobně jedna z kontroverzí – podle mě není tento výklad přesný – pokud dělám SCA, tak bych měl použít 2 nebo 3 prvky různých kategorií najednou a ne po sobě
- Prvek „Někde jsem“ - příslušná legislativa jej nedefinuje jako bezpečnostní prvek – toto prosím raději z článku odstraňte
- Důvěryhodné zařízení pomocí uložení cookie se mi nezdá bezpečné
- Odkud prosím plyne výklad, který říká, že platbu na internetu není potřeba po jednom silném ověření klienta 5x silně ověřovat?
Ještě jednou moc díky za článek k této problematice :)!