Vlákno názorů k článku Dvě banky končí s SMS, klienti musí přejít na autorizační aplikace. Ale přesto budou výjimky od VlK - Mám chytrý telefon i "hloupý" telefon. Je hezké...
-
Mám chytrý telefon i "hloupý" telefon. Je hezké platit pomocí QR kodu, ale to je tak všechno, kde vidím přínos chytrého mobilu v bankovnictví.
Jsem ITák, ale ne bezpečák, takže s rezervou. Nicméně považuji za bezpečnější SMSky mít na hloupém mobilu (nebo ještě lépe nechat si SMS poslat na pevnou, kde dojde ve formě faxu - Odorik.cz), než nějaké aplikace na plnohodnotném chytrém mobilu, což je víceméně mobilní počítač, kde každou chvíli se něco aktualizuje, instaluje. Je rozměrnější, takže ho člověk nemá u sebe tak často jako hloupý malý mobil.
Zatím je můj přístup ten, že banka, která ohlásí zpoplatnění nebo ukončení SMSek, prostě záhy dostane reakci ve formě žádosti mobility z jiné banky. Dostala to tak RB (a ta už nedávno ten poplatek za SMS zrušila), tak Moneta.
A když už nebude vyhnutí, prostě existuje možnost simulovat chytrý telefon na PC: https://www.root.cz/clanky/potrebuji-chytry-telefon-ale-nechci-ho-poustim-mobilni-aplikace-v-linuxu/A čím víc tlačí, tím větší mám odpor, mimojiné z toho důvodu, že mobilní aplikace je čím dál víc reklamní portál bez možnosti vypnout reklamy, nabídky.
-
> Jsem ITák, ale ne bezpečák, takže s rezervou. Nicméně považuji za bezpečnější SMSky...
Tak to považujete špatně. SMS jsou dost nebezpečné, mimo jiné proto, že se dají v nezabezpečené (a nezabezpečitelné) mobilní síti přesměrovat jinam. A můžete klidně mít ten nejhloupější telefon na světě.
> ... na plnohodnotném chytrém mobilu, což je víceméně mobilní počítač
Další typický omyl BFU. Mobilní OS (na rozdíl od běžných OS) mají systém práv a sandboxingu aplikací.
> ... prostě existuje možnost simulovat chytrý telefon na PC
Což je bezpečnostní hloupost srovnatelná s tím, že si necháte na ten počítač ty SMS přeposílat (někdo si tak liboval, jak je to pohodlné, že je nemusí opisovat).
-
>> ... prostě existuje možnost simulovat chytrý telefon na PC
> Což je bezpečnostní hloupost srovnatelná s tím, že si necháte na ten počítač ty >SMS přeposílat (někdo si tak liboval, jak je to pohodlné, že je nemusí opisovat).
no, tak se podívejme na návod, který vyšel před pár dny na sesterském webu root.cz, kde se přesně ta blbost řeší. Chápu emulaci Androidu pro testovací účely a vývoj, popřípadě pro nějaké hokusy pokusy ale ne proto abych na něj instaloval Google klíč, KB klíč. Divím se, že je to schopný někdo střízlivý navrhnout.
https://www.root.cz/clanky/potrebuji-chytry-telefon-ale-nechci-ho-poustim-mobilni-aplikace-v-linuxu/
-
Budu rád za odkaz či vysvětlení, co přesně myslíte tím "přesměrovat jinam".
To, že SMS nejsou bezpečné vím. Nicméně bezpečnost není jen technická, ale i uživatelská. Pokud banka či bezpečák není BFU schopen vysvětlit, proč zavádí další/vyšší bezpečnost, je celá vyšší technická bezpečnost často vynulována uživatelem. A banka to nebyla schopna vysvětlit ani mně - jen obecná prohlášení.Když se zavedly SMS k heslu, bylo to kvůli vyšší bezpečnosti, nicméně o to víc lidé si ty hesla ukládají, takže výsledná bezpečnost je možná horší než bez SMS ("pomohlo" to lidem, co měli heslo "heslo").
Já neříkám, že je to chytrá věc - já jen říkám, kam mě asi donutí banky zajít, když mě budou vnucovat mobilní bankovnictví současným stylem. Jsem si právě vědom toho, že pak celá ta vyšší bezpečnost bude pryč. Nemíním na mobilu vyťukávat cokoliv obsáhlejšího včetně příkazu k úhradě, hesla. A otisk prstu je z mého pohledu nebezpečný, mimojiné proto, že fyzickým násilím je ukradnutelný.
I kdyby mobilní telefon měl lepší OS (v což doufám a není mezi námi o tom sporu), stejně je to prostě víceuživatelské zařízení, ke kterému se tak mnoho lidí chová. A lepší OS lze obejít, rootováním, neoficiálními instalatory (protože krom bezpečnosti bohužel tyhle systémy už chtějí mluvit i do mnoha jiných věcích), takže nevěřím, jsem skeptický, že lepšímu OS mohu jakkoliv na takové úrovni důvěřovat. -
Přesměrování: Jednoduše - mobilnímu operátorovi přijde zpráva od jiného operátora "tvůj mobil se zaroamoval ke mě, posílej mi jeho zprávy a hovory". Autentičnost takového požadavku přitom nejde jednoduše ověřit (by design). Nějaké základy např.: https://www.techtarget.com/whatis/definition/SS7-attack
> Pokud banka či bezpečák není BFU schopen vysvětlit...
Počítačová bezpečnost je velmi komplexní obor a už vůbec nelze do detailu rozumět všemu, co používáte. Úplně stačí, pokud tomu bude rozumět z uživatelského hlediska - co dělat a co nedělat.
> Když se zavedly SMS k heslu, bylo to kvůli vyšší bezpečnosti, nicméně o to víc lidé si ty hesla ukládají
Zdroj tvrzení, že tohle spolu souvisí?
> Jsem si právě vědom toho, že pak celá ta vyšší bezpečnost bude pryč.
Proč?
> Nemíním na mobilu vyťukávat cokoliv obsáhlejšího...
Však to právě nemusíte. Mobilní klíč je mnohem pohodlnější, než opisování kódu ze SMS.
> A otisk prstu je z mého pohledu nebezpečný, mimojiné proto, že fyzickým násilím je ukradnutelný.
Fyzickým násilím vás donutím k tomu, abyste mi ty peníze poslal přímo, proč bych se zdržoval s nějakým otiskem? A samotný otisk je k ničemu - je to jen "vstupenka" k podpisu spárovaným privátním klíčem. Potřebujete k tomu ještě ten mobil. Samozřejmě se teoreticky dá nějak "nepozorovaně" získat otisk, vyrobit falešný prst, ukrást mobil, ... ale to je dost nepraktický způsob útoku.
> A lepší OS lze obejít, rootováním...
Proto právě na rootnutých mobilech mobilní bankovnictví odmítá fungovat. A je to něco, co děláte vy jako majitel telefonu, takže to máte pod kontrolou.
-
Ad přesměrování SMS - problém operátorů a jejich odpovědnosti za škody.
ad souvislost - příčinná souvislost se špatně dokazuje, takže i kdybych dohledal výzkum, bude napadnutelný. Nicméně odpovídá to obecně chování lidí, přílišná složitost, zvláště ta nevysvětlená, vyvolává reakci ve zjednodušování. Čím delší jsou podmínky, tím méně je klienti čtou. Čím větší složitost, tím jasně klesá stupeň obezřetnosti na jeden krok, člověk má omezené množství pozornosti, které musí věnovat mnoha věcem (a osobně si myslím i absolutně, v součtu).
ad mobilní klíč je pohodlnější, pokud akceptujete další věci jako otisk prstů apod.
ad fyzické násilí, rychleji mi seberete otisk prstů než donutíte něco vykonat, říct. Ať už více lidmi mě zalehnete a násilím přiložíte prst nebo prostým useknutím prstu (málokteré běžné používané čidlo má detekci pulsu a i ty se dají obejít).
-
> Čím větší složitost, tím jasně klesá stupeň obezřetnosti na jeden krok, člověk má omezené množství pozornosti, které musí věnovat mnoha věcem
No právě. U opisování kódu ze SMS se člověk soustředí hlavně na to opsání kódu a méně se věnuje kontrole, že platební údaje v SMS odpovídají tomu, co zadal.
Zatímco přiložit prst vyžaduje méně pozornosti a tedy jí více zbude na kontrolu platebních údajů.
Takže vidíte, že i vy sám jste nakonec došel k tomu, že mobilní klíč je bezpečnější, než SMS.
-
Už perlíte argumentační faul...
Takže ne.
SMS kod se dá zkopírovat při propojení s PC.
Ne jednoduchost na úkor bezpečnosti tím, že budu používat otisk prstu. (A měl jsem přehled před 10 lety na trhu řešení pro banky, pokrok asi bude, ale pochybuji v chytrých mobilech za pár stovek)A to už vůbec nemluvím o tom, že každý má potřebu něco kontrolovat někde jinde. Někdo chce co nejjednodušší zaplacení a je případně ochoten i riskovat ztrátu pár tisíc. Jiný má potřebu kontrolovat každou korunu.
hezký den
-
> SMS kod se dá zkopírovat při propojení s PC.
Aha, SMS chodí přímo do do PC, čímž jste druhý faktor efektivně vyřadil a útočníkovi tak stačí napadnout to vaše PC. A ještě si dovolíte plácat něco o bezpečnosti...
Hezky ukazujete, proč banky říkají "tohle je nejbezpečnější" a příliš nevysvětlují. Kdo chce používat bankovnictví bezpečně, tomu to stačí. Pokud někdo tvrdí, že to "potřebuje podrobně vysvětlit", tak je to většinou proto, že má svůj názor vytvořený a jakékoli argumenty které mu neodpovídají bude stejně ignorovat, jako vy v této diskusi. Takže by to byla zbytečná práce.
-
Souhlasil bych, pokud mají možnost nechat to na odbornících, ale když "odborníci" nechají toto rozhodnutí sami na sobě bez ohledu na dotyčné, je to právě ten postoj: "My jsem tady odborníci, takže to bude, jak řekneme. Názor sprostého lidu nikoho z nás nezajímá."
Pokud jde o "my" - všichni občas udělají chybu, ale útok na pravopis asi nebude v tomto případě vhodný argument. Myslím, že každý pochopil smysl sdělení a snad nikdo to nečetl jako "Jen mně víme, co je pro vás dobré."
-
Názor lidí banky pochopitelně zajímá. Názor na to, jak se jim používá která metoda. Kdyby ne, tak vám dají offline kalkulátor (jako měla e-Banka). Bude to super bezpečné, akorát "poněkud" nepohodlné. Ve skutečnosti se banky snaží skloubit tento názor s bezpečností dané metody. A bezpečnost není otázka názoru, nýbrž faktů.
Maximálně můžete namítat, že banky nerespektují (úplně) názor lidí na to, kde je optimum mezi jednoduchostí a bezpečností metody. Jenže tady můžeme namítnout hned dvě věci:
- Lidé mají (vesměs) naprosto zcestné představy o bezpečnosti jednotlivých metod (viz i tahle diskuse), takže jejich názor není relevantní.
- Lidé vyjadřují nějaký názor než se něco stane (chtějí to co nejpohodlnější), ale když jim peníze zmizí, tak 99% z nich obviní banku, že jejich peníze neochránila. Tedy vlastně lze říci, že banky _respektují_ názor lidí, ale berou to včetně toho jaký budou mít (by měli), až jim ty peníze zmizí.
(A další věc je nějaká právní zodpovědnost banky za bezpečnost klientských peněz, ale to je zas další téma.)
No, už ranní chvilku filosofie radši skončím, snad jsem to moc nezamotal a je to pochopitelné :-)
-
Offline kalkulátor jsem nikdy neměl, takže to neznám, ale v čem se liší od dalšího mobilu? V obou případech je to zařízení navíc, které slouží pro přihlášení do banky. Nevím jak moc nepohodlné to je, ale aplikace do mobilu mi přijde docela dost nepohodlná. Tedy pro přihlášení to ještě jde, ale pro "práci" s účtem je to strašně neefektivní a pomalé.
Lidé (uživatelé) mívají scestné představy o bezpečnosti. Ale ti, kteří vymýšlejí bezpečnostní pravidla, mají velice často scestné představy o uvažování a chování uživatelů. Není neobvyklé, že vymyslí něco, co teoreticky zvyšuje bezpečnost, ale pro uživatele je to komplikované nebo nepohodlné, tak si to ulehčí nebo zjednoduší tak, že to bezpečnost sníží. Např. správce počítačové sítě pro zvýšení bezpečnosti nastaví, že přihlašovací heslo musí mít 15 znaků, velká a malá písmena, čísla a musí se každý měsíc měnit. Výsledek? Uživatelé si taková hesla nezapamatují, takže si je budou psát do kalendáře, na lístečky nalepené na monitoru, atd.
-
Offline kalkulátor fungoval tak, že to bylo zcela extra oddělené zařízení, do kterého jste (duplicitně) zadal příkaz a on vyplivnul potvrzovací kód, který jste zadal do formuláře IB. Tím bylo ověřeno, že ten kalkulátor máte u sebe. Ovšem datlit každý příkaz dvakrát je dost nepohodlné a proto se to ve větším měřítku neujalo. Což bourá vaše teorie, že banku nezajímá pohodlí uživatelů. Zajímá, ale je potřeba řešit i bezpečnost, tedy to, že banku zajímá pohodlí uživatelů neznamená, že vyberou tu nejpohodlnější metodu.
No právě. Když uživatele štve opisování SMS, tak si je nechají přeposílat do PC a sbohem druhý faktore... Potvrzení mobilní aplikací si do PC nepřepošlou. Maximálně ho mohou zkusit emulovat, ale to je dost komplikované a aplikace to má šanci zkusit detekovat.
Jinak banka řeší bezpečnost nejen teoreticky, ale také prakticky - sleduje bezpečnostní incidenty - takže pokud by uživatelé zabezpečení obcházeli, tak se jí to projeví.
-
Ak si myslis ze to v bankach navrhuju odbornici. odporucam sa v nejakej zamestnat v IT oblasti.
Funguje to takto:
1.) Vyvojari dostanu "napad" pripadne to niekde vydeli.
2.) Naockuju niekoho velmi vysoko. Ktory zaveli ze takto to bude a nijak inak.
3a.) nastupy "problemova" Security. Ta ten bozsky napad torpeduje takymi blbostami ako bezpecnost, nutnost splnit legislativne poziadavky ....
3b.) Ten vysoko zatlaci na Security a ta ustupi. Na najblizsom audite si to Security zlizne ako nekompetentna od auditorov aj od "vrchnosti".
4a.) Kedze IT su nenazranci ktory nic neprodukuju, tak sa to musi spravit na starom HW
4b.) Kedze optimalizacia je, pre vacsinu vyvojarov, cudzie slovo na vela pismen HW nebude stihat. IT oddelenie sa zbuzeruje a nakupi sa hw, do stavu kedy to ako tak dokazu chalani udrzat pri zivote.
5.) Aplikacia sa z velkou pompou uvedie a najblizsi rok dva sa klienti stavaju beta testermi ktory za to este platia. -
Takže když chcete poslat příkaz, musíte:
- Propojit mobil s PC
- Počkat několik desítek sekund na SMS (často jsem čekal i minutu)
- Pak zkopírovat kód ze SMS do pole
- Po konci nezapomenout propojení zase zrušitA stále tvrdíte, že je to pohodlnější, než ťuknout na notifikaci a přiložit prst.
Pak mi nezbývá než vám popřát, ať je vaše cela měkce polstrována.
-
Tady opět asi půjde o různé představy pod určitým pojmem.
Např. pro mne (i když to moc nepoužívám) znamená propojení telefonu s PC připojení kabelu. "Zrušení" spojení zase odpojení. Oboje je záležitost jednotek sekund. Někdo si asi bude představovat bezdrátové připojení přes bluetooth, WiFi nebo možná něco jiného.Pokud jde o SMS, ty většinou chodí do několika sekund, maximálně desítek sekund. Ideální je to u bank, které mají přihlašování od internetového bankovnictví tak, že zadám jméno a odešlu formulář. Objeví se nový, kde zadávám heslo a kód z SMS. Začnu tedy psát heslo a než ho dopíšu, dorazí SMS. Ohledně ťukání na notifikaci mám (tuším že u Monety) nehezkou zkušenost, že když neprovedu vše v daném pořadí (zapnout telefon, spustit aplikaci, chvilku ji nechat běžet, pak se začít přihlašovat do IB), tak notifikace nedorazí a musím se přihlásit znovu, tentokrát "správným" postupem. Jinak prst bych mohl přikládat nebo strkat kam bych chtěl, ale do bankovnictví by mne to určitě nepřihlásilo. :-)
-
Bance je prd do toho, jestli a proč používám rootnutý telefon nebo ne.
Ale mě není jedno, když mi aplikace SmartBanka po aktualizaci drze oznámí, že nově bude s pomocí software třetí strany sbírat a uchovávat data o provozu zařízení, všech nainstalovaných aplikacích, včetně použité IP adresy a to i v případě, kdy bankovní aplikace není spuštěná.
Nikde není zmíněno jaký software třetí strany Vám do telefonu instaluje, proč ty data chce sbírat, ani jak dloho je bude uchovávat. A bez uděleni oprávnění se odmítne spustit - tak taková aplikace nemá v mém telefonu co dělat. -
A už jste to odklonění SMS viděl jinde než na hackerské konferenci? Zase zůstaňme nohama na zemi.
25 let ty SMSky stačily a dnes jsou nebezpečné.
Ten chytrý mobil je mnohem nebezpečnější, protože si do něj půlka uživatelů stahuje co je napadne bez rozmyslu, kliká na všechno co jim vyskočí apod.
Banky to tlačí pouze a jen kvůli získávání informací o Vás jako uživateli s cílem tlačit cílenou reklamu. Mají miliardové zisky a pořád je jim to málo -
Další typický omyl BFU. Mobilní OS (na rozdíl od běžných OS) mají systém práv a sandboxingu aplikací.
To mají i některé běžné OS. Sorry, ale prakticky plnohodnotný počítač to prostě je. Zvlášť, pokud ho máte odemknutý. Čili to není nepoužitelný bazmek.
> ... prostě existuje možnost simulovat chytrý telefon na PC
Což je bezpečnostní hloupost srovnatelná s tím, že si necháte na ten počítač ty SMS přeposílat (někdo si tak liboval, jak je to pohodlné, že je nemusí opisovat).Jakože si má žena coby uživatelka tlačítkového telefonu kvůli něčí obsesi kupovat desetrkát komplikovanější smartphone, o který navíc naprosto nestojí? Tak jo, opravdu prozákaznická banka.
-
Také jsem se částečně živil jako ITík a pokud mi někdo tvrdí, že chytrý telefon s aplikací je bezpečnější, než "hloupý" tlačítkový telefon a SMSky, tak mi nezbývá, než se shovívavě pousmát. Pro uživatele chytrých telefonů je samozřejmě aplikace bezpečnější než SMSky, o tom žádná. Ale proč nutí i ty, co o to nestojí, mít chytrý telefon a být neustále online? Od jedné banky, už jsem z tohoto důvodu odešel. Problém ale bude v tom, že ti "chytráci" jsou nejspíš domluvení a co nevidět nebude kam přejít :-(.
-
Já provozuju některé bankovní aplikace v Memu - https://www.memuplay.com/
a docela to jde, jen některé obzvláště "bezpečné" aplikace v to nejedou. Např. RB, Equa, Moneta, asi mBank a ČSOB nedávno poslala výhružnou SMS, že od 17.10. mi přestane fungovat.
ČLÁNKY DO MAILU