Vlákno názorů k článku Bezpečnostní chyba v internetovém bankovnictví České spořitelny od Pavel Sýkora - Tak jsem to právě vyzkoušel a ta chyba...

Tak jsem to právě vyzkoušel a ta chyba je asi závažnější, než to vypadá na první pohled (o vyjádření ČS zde nehovořím - nepředpokládám, že by tomu někdo věřil). Umožňuje totiž lehce obejít kontrolu nadlimitního výběru autentizačním kalkulátorem.

Do doby opravy je prostě nutné počítat s tím, že pro libovolně vysokou transakci nemáte dvoufaktorovou autorizaci, ale jen jednofaktorovou přes jméno/heslo. Týká se to samozřejmě jen těch, kteří se nepřihlašují pomocí certifikátu na čipové kartě, ale jen jménem a heslem.

Já mám zas pocit, že nikoli. Jestliže má někdo aktivován autentikační kalkulátor, tak se s ním musí přihlašovat do aplikace. Potvrzování nadlimitních transakcí je potom až dalším využitím kalkulátoru.

To je otázka. Já se odjakživa přihlašuji jen klientským číslem a heslem a kalkulátor jsem používal jen pro ověření nadlimitiních transkací. Zdá se mi to i logické, protože pokud si limit transkací dáte na 0, tak po zadání jména a hesla máte jen přístup k pasivním operacím a na jakoukoliv aktivní si to vyžádá potvrzení kalkulátorem.

Tedy, platilo to donedávna, dokud tam nepřidělali ty autorizační SMS, které jdou přesměrovat přes to zobrazující se contract ID.

Je ale pravda, že pokud někdo používá kalkulátor nebo certifikát i na přihlášení, tak pro ty je tato chyba méně závažná. Vřele bych proto doporučil nastavit si použití kalkulátoru i pro přihlašování - minimálně do té doby, než ta chyba bude opravena. Já už jsem to tedy udělal.