Vlákno názorů k článku Měníte telefon nebo své číslo? Čí bankovní aplikaci přenesete snadno a která vám sebere čas? od Tomáš - Tyto mobilní aplikace mají svoji odvrácenou stránku. Budu...

Tyto mobilní aplikace mají svoji odvrácenou stránku. Budu posílat telefon do servisu pro výmenu baterie. Bude jim to trvat cca týden. Po dobu toho týdne se pořádně v nějakých bankách vůbec nestanu ke svým financím. Nehledě na to, že servis chce abych posílal telefon v "továrním nastavení". Takže ty aplikace budu muset přenést do nějakého jiného.... Mám doma náhradní křáp, který má prehistorickou verzi Androidu, na kterou některé aplikace bank vůbec nedostanu a například KB má platnost kódu pro výměnu zařízení pouze 3 dny. Takže mě minimálně v případě KB a KB klíče mě čeká návstěva pobočky...

Nedokážu si moc představit, že bych dal do servisu telefon se spárovanou aplikací pro mobilní bankovnictví. Ale asi jsem holt paranoidní, protože mne děsí už ten nápad Air Bank, že ke spárování aplikace by mělo stačit ověření snímkem obličeje, a to bez možnosti "opt out", protože když si tam žádný nenahraju, tak použijí fotku z občanky. Zajímavé je, že na přímý dotaz mi tvrdili, že když si tam žádný nenahraju, tak to tímhle způsobem spárovat nepůjde...

Samsung to umí, má pro to "servisní mód", ale jinak souhlas. Ale je všeobecně dneska problém být bez svého mobilu i kvůli banální opravě na delší dobu. Ono to spěje k tomu, že je lepší mobil zahodit a koupit nový...

Zlaté internetové bankovnictví a autorizace přes SMS. Ty si pro jistotu nechávám posílat na druhý "hloupý" telefon.

No, jen počkejte.... Za chvíli ty SMS zruší kompletně a všichni se budeme klouzat

Mne překvapuje, že by ještě nějaká banka nabízela autorizaci jen přes SMS. Protože SMS nejsou bezpečné už dávno a už nějakou dobu na tom i panuje shoda, že nejsou bezpečné.

Pokud z jednoho telefonu voáte a druhý máte jen na autorizace, pak by to bezpečné být mělo, ne? Mně taky chodí SMSky na "hloupý" telefon.

Ono je to obávám se ještě daleko horší: banky reagují pomalu, často mají SMS "prodrátovanou" skrz celý svůj systém.

Co je tedy horší než SMS autorizace? To že si nainstaluji mobilní klíč, ale nedojde mi, že jsem:
a) si SMS nezakázal jako alternativní metodu
b) že banka neumí SMS zakázat

Z bank které umí zlikvidovat SMS tak namátkou FIO, ČSOB, myslím i Raifka (byť tam myslím musím fyzicky na pobočku), Moneta teď od 1.dubna likviduje SMSsky natvrdo úplně - čest a sláva jak se k tomu postavili čelem (horší je že alternativní metodu třeba offline QR kódy nemají, takže abyste se dostali jakýmkoli způsobem do monety musíte mít telefon s bankovní aplikací a být striktně online - testoval jsem to. Ale snad to do budoucna změní)....

Díky autorovi za článek, super pomoc, šáhnu po něm až ztratím telefon :-)

Ahoj Patriku,
tak zrovna od Tebe bych tento názor nečekal :-).
Každá bezpečnost má svou stinno stránku, a to zpravidla v komfortu uživatelů. SMS je sice otravné opisovat, ale nejspíš se shodneme že to je minoritní diskomfort a pak převládají stálé výhody.

Bohužel SMS jsou postupně rušeny a budou brzo zrušeny úplně. SMS je ve spojení s chytrým telefonem nebezpečná "pro uživatele" a v podstatě není možné 100% zajistit, aby mi nebyla z telefonu odcizena.

Ještě proč píšu "pro uživatele": domnívám se, že vše ostatní krom SMS ukradené z mobilu jako klient ustojím - tj. různým způsobem napadený operátor, napadená aplikace banky aj.

Bohužel jedinou rozumnou volbou v této chvíli je aplikace banky ve vašem chytrém telefonu.

Podle mne je označení "chytrý telefon" velice nešťastné. Uživatelé si pak řeknou, že když je jejich telefon chytrý, že oni už být nemusí.

Zase tak zlaté to není. SMS není bezpečná a obecně se nedoporučuje používat jako druhý faktor.
Zjednodušme problém na 2 oblasti:

1. přenos SMS
Vlastní přenos není zabezpečený. SMSka se musí nějak od banky předat operátorovi. Toto předání může a nemusí být zabezpečeno. Dále se tato SMS nějak přesouvá v systémech operátora a tady to někdo může číst.
Dále existují určité slabiny v protokolech mezi operátory a SMS lze přesměrovat.
I vlastní přenos mezi BTS a mobilem za určitých okolností může být napadnutelný.

Nehledě na útoky typu nové SIMky pro útočníka s vaším číslem.

Takže pokud nemáte přímou vazbu banka <-> mobil, tak je toto vektor útoku.

Touto přímou vazbou může být mobilní aplikace banky či např. bankovní SMSky. Ty ale banky zrušily.

2. mobilní zařízení
Tady je více problematický tzv. chytrý telefon. A opět je tu více variant, např.
- napadnutí neaktualizované zařízení
- instalace pofidérních aplikací
- ignorace poskytnutých oprávnění určitým aplikacím

Obecně přečíst kód ze SMS na chytrém mobilu je snadnější než to samé udělat z mobilní aplikace.
Tady má "hloupý" telefon určitou výhodu. ale pozor. Něco co vypadá jako hloupý telefon, může dnes mít také OS a určitou možnost aplikací.

Bohužel banky ruší jiné možnosti bezpečného ověření jako kalkulačky, bankovní SMSky a jediné co se snaží tlačit jsou
jejich aplikace.

Nedávno jsem poslouchal nějaký rozhovor s člověkem z bankovní asociace a policistou, kde se bavili o dnešních útocích,
phisingu apod. Vše směřovalo k chybám uživatele a že si nekontrolují linky apod. Alibismus.
Ale, že by nějaká banka implementovala přihlašování pomocí FIDO2 tokenů, které efektivně tomuto brání jsem neviděl a neslyšel.

A toto by možná stálo za nějakou regulaci.

Chápu že aplikace jsou trend a bezpečná varianta. Ale ne každý má chytrý mobil.
Myslím, že FIDO2 token přihlášení a autorizace přes SMS by mohla být dobrá varianta k aplikacím a určitě lepší než jen čisté SMS.

Jojo, kde jsou ty časy s hardwarovým klíčem. FIDO2 je přitom elegantní cesta, dal by se pro to využít i čip v OP. I pro mne by to byla lepší cesta, než v mobilu potvrzovat transakci třeba za 250 mega (bohužel, musím, pokud nechci osobně na pobočku s příkazem k úhradě).

Jenže při potvrzování čipem v OP nemáte nikde nezávisle na PC zobrazenou informaci, jaký příkaz potvrzujete. A u FIDO2 tokenů bez displeje taky ne. Takže ten mobil je přes všechny nevýhody stále bezpečnější.

Jen doplním, že FIDO2 tokeny nejsou řešení, ale zlepšení stavu a to hlavně při použití SMS.

Čemu FIOD2 tokeny brání:
- phisingu (pokud kliknete na špatný odkaz, nebude to fungovat)
- pokud někomu dáte své přihlašovací údaje (nepřihlásí se za vás a jinde)

Ale nebrání situaci, kdy někdo napadne váš počítač a může s ním manipulovat. Např. vaše zadaná transakce je skrytě pozměněna a pak vás zachrání ověření na mobilu. A tady SMSka může selhat, viz. výše,
Ale toto je méně pravděpodobný scénář než ostatní.

I když FIDO2 neřeší vše, stále je to výrazné zlepšení hlavně pro SMS.