Vlákno názorů k článku Nula bez podmínek. Česká spořitelna má nový účet bez poplatků od anonym - Z diskuse pomalý vyplývá, že ČS je nějakou...
-
Každému vyhovuje něco jiného. Mně právě ta konzervativnost FIO vyhovuje. Internetové bankovnictví je rychlé a přehledné (osobně ho považuji za nejlepší IB u nás) a funguje na jakkoliv obskurdní mašině a prohlížeči. A hlavně je odladěné, což se o Georgi, kde řada věcí ze Servis24 stále ještě nefunguje, říct nedá. FIO zkrátka není inovátor, trvá, než přijde s jakýmkoliv produktem, ale když už ho vypustí, je odladěný co do funkce i ceny (ne jako většina bank, že přijde s něčím, pak celý první rok ladí podmínky a další rok cenu, aby ho třetí rok zrušila a přišla s jiným).
Jsem u FIO od roku 2006 a to už aplikaci mělo. Ano, není to aplikace mobilní, ale pro PC, i když mám pocit, že je napsaná v Javě, takže by to možná šlo rozběhnout na mobilním telefonu? U častých plateb lze nastavit "ověřené účty" a není tak nutné tyto platby dále potvrzovat.
Osobně jsem proti potvrzování transakcí na stejném zařízení, na kterém je zadávám, de iure je sice naplněna podmínka 2 faktorů, de facto ale, dle mého názoru, ne (stačí kompromitace jednoho zařízení). Proto třeba já to řeším tak, že kromě chytrého mám ještě hloupý telefon a na ten si nechávám posílat potvrzovací SMSky ze všech bank. Naopak mi vadí, že čím dál vice bank tlačí klienty na potvrzování transakcí prostřednictvím aplikace, např. tak, že SMS zpoplatní - aktuálně např. Raifka, případně Unicredit (ale zde se zpoplatnění lze vyhnout přechodem na vyšší typ účtu nebo návázáním SMS na spořící účet).
-
Dle info, co píší lidé v diskusním fóru se jedná zejména o chybné zobrazování (případně vůbec nezobrazování) "externích produktů" (penzijko, investice,...). Já tyto další produkty nemám, tak nemůžu posoudit.
Každopádně je George neskutečně pomalý, splátka kreditky se projeví až za několik minut, stejně tak zadaná platba.
Další věc, kterou považuji za velkou vadu, je, že se nedostanu neomezeně do historie, nejdále "vidím" do 1.1.2017. Bohužel to je problém většiny velkých bank. Přitom promlčecí doba závazků je v některých případech 10 let.
-
qwertz345 (neregistrovaný)
Nebudu kvůli vám hledat telefonní seznam chyb/připomínek, které jsem za několik měsíců používání George nahlásil, než jsem to vzdal a odešel jinam, kde je ještě IB normální. Takže jen namátkou:
1) Nelze parametricky vyhledávat:
Například hledání: číslo účtu + VS + částka + datum od + datum do + poznámka (a podobné kombinace) George neumí. Má totiž pouze pole Full Text a rozsah datumu. kde několik logických podmínek spojených "AND" prostě nenarvete. Přitom to vždycky každé IB standardně umělo.2) Povinný adresář s automatickým přidáváním kontaktů:
Pokud máte více účtů, případně ještě znáte někoho se stejným jménem, George je schopen vám automaticky vytvořit nekonečný zástup kontaktů (předdefinované číslo příjemce) se stejným identifikátorem např. "Petr Novák". Ve výsledku vám nedává jistotu ani proaktivní přejmenování těch nechtěných, protože nikdy nemáte jistotu, že vám od minulé návštěvy nepřibyli další příjemci, takže na jméno příjemce kašlete a kontrolujete už jenom číslo účtu (čímž název příjemce postrádá smysl). V mém okolí je pár bývalých klientů, které mimo jiné přestalo bavit posílat peníze na jiné účty než zamýšleli.3) Nemožnost kontakt trvale odstranit
4) absence kontroly čísla účtů (zkuste si založit třeba kontakt s č. účtu A/0800)
5) aktivace mobilního George probíhá zadáním přihlašovacích údajů do IB!
6) Nefunkční export s intervalem delším než 24 měsíců do XLS a CSV
atd...
Dělat testera zdarma mě fakt nebavilo zvlášť, když mají v bance jinou představu o tom, co je to funkční IB. Něco možná po mnoha měsících opravili (export?), faktem je, že spuštění toho nedodělku byl naprostý fail, a koncepce tohoto IB vyhovuje spíše uživatelům s nízkými nároky na funkcionalitu s malým množstvím transakcí.
29. 7. 2020, 21:16 editováno autorem komentáře
-
Konzervativnost nemusí znamenat zaostalost.
S těmi "odladěnými" produkty to je vtip, že? Koncem loňského roku Fio po dlouhých letech slibů vypustilo novou mobilní aplikaci. Čekal jsem přirozeně, že přes ni konečně bude možné potvrzovat platby z IB, protože to je nejpoužívanější funkcionalita takové aplikace, alespoň u mne. No a ono ne. V první chvíli jsem si myslel, že je to nějaký blbý vtip. Ale oni zcela vážně uvedli aplikaci bez takové základní věci :-O Tomu fakt neříkám "odladěnost". Od té doby stále slibují, že to potvrzování bude už "brzy", ale stále nic.
Tu PC aplikaci jsem také měl. Bylo to šíleně nešikovné a nepohodlné. To i ty pitomé SMS jsou lepší a utekl jsem k nim hned jak to šlo.
Ty "ověřené účty" trochu pomáhají, ale Fio to svojí pitomou implementací dost zabíjí. Nejsou to totiž ověřené účty, ale podepsané šablony. Takže je člověk musí vytvářet extra dopředu. Třeba AirBank, to má udělané tak, že při platbě můžu zaškrtnout "přidat účet mezi ověřené" a po potvrzení platby na něj už nemusím další platby potvrzovat.
U Fia to dopadá tak, že zadám příkaz k úhradě, odkliknu, chce to SMS a teď se dozvím "Aha, já tenhle účet nemám mezi ověřenými". No a teď můžu buď transakci zrušit, vytvořit potvrzenou šablonu a zadat transakci znova (což se mi logicky nechce), nebo tedy přepsat SMS, pak vytvořit tu šablonu a podepsat ji další SMS (což se mi taky nechce, pokud nevím, že budu v blízké budoucnosti na ten účet zase platit, což většinou nevím). Plus se mi ty šablony jen pro ověření účtů pletou mezi "opravdovými" šablonami. Prostě UX katastrofa. Takže opět: Fio a odladěné služby? Ani smykem.
Mluvím samozřejmě o zadání přes počítač a potvrzení v mobilu, tedy jsou to dvě zařízení. A že banka zpoplatní SMS je snad logické, když s nimi má náklady a poskytuje lepší alternativy.
-
Každému vyhovuje něco jiného, já se aplikacím snažím vyhýbat, bankovním zvláště, aktuálně mám v mobilu jen tři, z toho dvě k zahraničním produktům, které "velké" IB ani nemají, tu třetí mám mBank kvůli unikátní možnosti blokovat DCC a poplatky zahraničních bankomatů (už jsem nedávno zkoušel, opravdu to funguje).
S těmi odladěnými produkty jsem měl na mysli ty bankovní. Nemusí šíbovat s ceníkem sem a tam, nemění každý rok ceny a podmínky pro výběr z bankomatů, atd.
Každopádně v tom našem českém rybníčku je bank dost, takže si každý může vybrat, jen těch "bezplatných" autor článku napočítal deset. Já využívám všechny kromě Raifky, která mi odmítla zřídit účet a Expobank, která mi účet vypověděla, když jsem jako pravděpodobně jediný člověk dokázal vytáhnout letenky z toho jejich bonusového systému, který nepočítal s tím, že někdo jeho "nástrahami" projde, dokonce ani neměli část pro vyzvednutí letenek naprogramovanou! Po nějaké době byl ten bonusový systém zrušen :D
Já považuji potvrzování kódem z aplikace z mobilu, na kterém zadávám platbu za extrémně rizikové. Naštěstí všechny banky, které využívám, mají možnost mít ty SMS zdarma (jedinou výjimkou je Raifka, která je zpoplatní všem; Unicredit je má zdarma alespoň u "vyššího účtu" nebo "oklikou" přes spořící účet)
-
Ani ty bankovních produkty moc odladěné nejsou. Třeba bankomaty si doteď neumí nechat zadat, jaké bankovky chci vydat a nejmenší mají pětistovku.
Ale s těmi bankomaty to ještě jde, tam jednoduše používám Air Bank, která tohle zvládnuté má. A, mimochodem, za posledních X let se u Air Bank nepamatuji na změnu podmínek, která by mne nějak citelně ovlivnila. Snad jen úročení se mění, ale tam bych Fio pozici "sice stabilní, ale nula" nepovažoval za výhodu.
V ostatních službách je nahrazení horší. Předělat číslo účtu je jednorázová práce, to by se dalo, ale o těch 15 let historie plateb bych přicházel nerad. Kdyby Fio alespoň na rovinu řeklo, že to bude mít až za X let, to by člověk alespoň mohl zvážit, zda se mu přechod vyplatí. Ale oni pořád mlží nebo vyloženě lžou, že to bude "brzy", to mě na nich štve nejvíc. Tak si komunikaci důvěryhodné banky nepředstavuji.
No a teď k té bezpečnosti: To je krásný příklad Donner-Krugrova efektu, kdy se člověk přesto, že má v oblasti jen minimální znalosti, považuje za experta a vynáší kategorické soudy. Ve skutečnosti je to takhle:
- Na "chytrém" mobilu zadávám transakci a potvrzuji ji SMS přijímanou na tentýž mobil: Ano to je rizikové. Neřekl bych "extrémně", ale opravdu to není moc dobré.
- Na "chytrém" mobilu zadávám transakci a potvrzuji ji v aplikaci na témže mobilu: To je bezpečnější. Dokonce pokud potvrzuji ne PINem, ale třeba přes otisk prstu (pomocí TPM - Trusted Platform Module), tak je to slušně bezpečné. Nicméně takový scénář nemá moc smysl, protože stejně pohodlný nebo pohodlnější a přitom ještě o něco bezpečnější bude další scénář:
- Na "chytrém" mobilu zadávám transakci v aplikaci a potvrzuji ji přes TPM. To je slušně bezpečné.
- Zadávám transakci na počítači a potvrzuji na "chytrém" mobilu SMS. To není moc bezpečná záležitost. Rozhodně o dost nebezpečnější, než předchozí příklad (mobilní aplikace s TPM).
- Zadávám transakci na počítači a potvrzuji na "chytrém" telefonu v aplikaci přes TPM. Velmi bezpečné.
- Zadávám transakci na počítači a potvrzuji na "hloupém" telefonu přes SMS. Slušně bezpečné, podle mě ale stále méně bezpečné, než předchozí příklad, protože i na to už byly úspěšné útoky (přesměrování SMS na úrovni absolutně nezabezpečeného SS7 protokolu), zatímco o úspěšném real-world útoku na TPM zabezpečenou transakci nevím.
Takže tak.
-
Zrovna otisk prstu - něco, co nechávám naprosto všude (včetně toho telefonu) nepovažuji za dobré zabezpečení. Už mnohokrát se ukázalo, že lze "zfalšovat" vytvořením kopie prstu např. z želatiny.
Takže varianta - otiskem prstu, sejmutým z telefonu odemknu telefon i aplikaci, kde si vygeneruji ověřující kód není vůbec nereálná.
-
Ale pro to se potřebuješ fyzicky telefonu zmocnit a to se bavíme o úplně jiném druhu útoku. To už je pak jednodušší než se patlat s nějakými otisky dotyčnému prostě ukradnout peněženku :-) Nebo odposlechnout autorizační SMS, která se vzduchem přenáší dávno prolomeným šifrováním - to se nemusíš telefonu ani zmocňovat, stačí být ve stejné BTS.
-
qwertz345 (neregistrovaný)
Jak se podle vás měří a porovnává bezpečnost variant:
A) zadaní transakce v chytrém mobilu a potvrzení transakce v chytrém mobilu (což vy označujete za slušně bezpečné)
B) zadání transakce na PC a potvrzení transakce OTP zaslaným skrz SMS
Ve variantě A) spoléháte na 1 zařízení komunikující 1 kanálem a přesto se nám vůbec nerozpakujete tvrdit, jak skvěle bezpečné to je oproti variantě B), kde k provedení útoku musíte napadnou současně! zařízení 2 nebo kompromitovat 2 komunikační kanály. To je natolik vtipné tvrzení, že zbytek nemá smysl vůbec číst.
30. 7. 2020, 14:46 editováno autorem komentáře
-
Problém je v tom, že vy nerozlišujete různé stupně a složitosti toho "napadnout". To je jako kdybyste tvrdil, že okované dveře s odolným bezpečnostním zámkem jsou méně bezpečné, než papundeklové dveře se dvěma dozickými zámky, protože je přece jednodušší otevřít jeden zámek než dva.
V případě A musíte chytrý mobil nejen napadnout (což je realizovatelné), ale musíte podle druhu zabezpečení buď překonat oddělení aplikací v systému (což je dost tvrdý oříšek), nebo dokonce překonat zabezpečení TPM modulu, což se AFAIK nikomu reálně nepodařilo.
V případě B sice máte v cestě "dva zámky", ale dostat do počítače malware není až takový problém. A druhý faktor, SMS, je tak zoufale děravý, že si můžete vybrat, jakým způsobem jej překonáte. Pokud má oběť chytrý telefon (což jsem zde předpokládal, hloupý telefon byl pod jiným bodem), tak se tam dá nainstalovat malware přeposílající SMS. Jen je třeba v nových OS přinutit oběť, aby aplikaci potvrdila práva na čtení SMS, ale to je s trochou sociálního engineeringu zvládnutelné. To je nejčastější vektor útoku. Nebo nic hackovat nemusíte a jen přesvědčíte oběť, aby vám potvrzovací SMS přeposlala ("Omylem jsem si poslal kód na tvůj telefon, můžeš mi ho přeposlat", taky už v reálu zafungovalo). Nebo využijete totálně nezabezpečeného SS7 protokolu a přesvědčíte mobilního operátora, že se telefon zrovna přihlásil do vaší sítě a že vám má přeposílat jeho komunikaci (opět použito při reálném úspěšném útoku). Nebo odchytíte SMS při rádiovém přenosu špatně zabezpečeným GSM protokolem. Nebo (to už je hodně fancy) uděláte fake základnovou stanici, ke které se telefon oběti připojí a vy mu pak přeposíláte a filtrujete komunikaci včetně SMS.
Možností je hodně. SMS jsou všechno možné, jen ne bezpečné. Takový ekvivalent levného visacího zámku, co sice na první pohled vzbuzuje pocit jako že něco zabezpečuje, ale když na to dojde, urazíte ho prostě jedním máchnutím kladivem.
A ještě vás opravím v jedné věci ohledně B: Ta zařízení nemusíte kompromitovat současně a už vůbec ne "současně!". Můžete si zjistit heslo a mobil napadnout klidně o pár týdnů později. Pravděpodobnost, že si ho uživatel mezitím změní není vysoká. Nebo nemusíte PC napadat vůbec, pokud ho zjistíte jinak (odkoukáním, uteče z jiného webu). Plus ty malware v těch zařízení většinou vydrží delší dobu, takže mezi napadeními může utéct několik měsíců nebo dokonce i let.
Nejlepším indikátorem je praxe. Zatímco o úspěšných útocích na A jsem zatím neslyšel, úspěšné útoky na B jsou poměrně běžné (i Fio mělo takové případy - přesto je to nevyburcovalo k vylepšení zabezpečení!). Vy to sice považujete za vtipné, ale musím vás ujistit, že lidem, kterým takhle byly ukradeny peníze, moc do smíchu nebylo.
-
qwertz345 (neregistrovaný)
opět snůška silných tvrzení typu "nikomu nepodařilo", "tvrdý oříšek" tak nějak zcela odstřižených od reality. Telefonní seznam Malware pro Smartbanking je takřka nekonečný, což vzhledem k nedostatečnému přístupu obou hlavních platforem (Android, IOS) k bezpečnostním záplatám znamená, že mobilní OS jsou nejhůře zabezpečené platformy vůbec!
V případě smartbankingu můžete využívat úplně stejných metod sociálního inženýrství, jako kritizujete u Internetbankingu s tím rozdílem, že vaše zařízení se velmi rychle stane nepodporované nebo nedostatečně záplatované (Androis i ISO), s čímž vy jako uživatel neuděláte nic (1 promile uživatel instalující AOSP můžeme zanedbat). Na platformě PC máte mnohem větší možnosti udržet systém záplatovaný a bezpečný. Takže ne, nejsilnější možnou variantou je silné heslo pro IB + out-of-band doručené OTP (případně doplněné o certifikát na kartě či v souboru)
Že jste o útocích A neslyšel jen ukazuje bizernost této diskuyze.
ČLÁNKY DO MAILU