Vlákno názorů k článku Jak bezpečně zabezpečit internetové bankovnictví od ISO certifikovaný hnidopich - V konečném důsledku jde (kromě čistě technických vulnerabilities)...

V konečném důsledku jde (kromě čistě technických vulnerabilities) o klasickou situaci social engineeringu "Jsem někdo, komu věříte, změňte si heslo na 'semtele' / spusťte tohle." S tímto typem útoků se v globálu nedá nic dělat - osvěta pomáhá v jednotlivých případech, ale BFU jsou v nadkritické většině: "ale ono to mělo jako odesílatele 'Banka xyzzy', tak to přece muselo přijít z banky!" Myslet bolí, proč by se tím někdo zatěžoval?

Jasně, že myšlení bolí. Jenže ona jedna věc je pohodlnost toho kdo se ani nenamáhá myslet a druhá věc je nezkušenost a neznalost.
Podle mého názoru a zkušeností patří dnes naprostá většina uživatelů Internetu do skupiny nezkušených. Bohužel mnoho informatiků žije s pocitem "Když to umím já, měl by to umět či poznat i běžný uživatel."

Přesně. Uživatelé jsou hloupí/nezkušení a odborníky překvapují tím, jak moc.

Nicméně banka nemá být právně zodpovědná za to, že se někdo korektně prokáže jako klient, a ... není to klient. Banka se může nanejvýš třeba stydět, že klientovi nedala osvětový léták. Nemůže zodpovídat za to, co se dějě v počítači klienta. Klient tam má spousty divných programů, neobvyklý operační systém a navíc třeba používá (nebo technicky může používat) administrátorský učet (počítače, ne účtu). Aby banka mohla zodpovídat i za podvody pocházející z počítače klienta, musela by na něm mít rootkit nebo digital rights/restrictions management.

Uživatel může litovat svou hloupost, nebo žádat dodavatele operačního systému, prohlížeče, šifrovacího nástroje, atd aby program upravil tak, aby budoucí verze programu vedly/napovídaly uživateli lépe.

(Uživatel je téměř nesvéprávný, přitom by programy mohly bezpečné akce provádět samy. Například nevím, proč se prohlížeče ptají na to, zda mají zobrazit "zabezpečenou" stránku; díky tomu můj táta teď na každý dotaz prohlížeče kliká "Ano". Mailový klient by mohl podepisovat každý email (a poznačit, že jeho podpis je taknějak slabší, než obvyklý - interaktivní). A každý program by měl odmítnout veřejný klíč, pokud byl v donedávna jiný (můj ssh klient to tak dělá).)