Názory k článku Ověření pomocí SMS je nebezpečné, banky tlačí klienty do aplikací

100x opakovaná lež se pravdou opravdu nestane. Nebezpečnost SMS je OOO (obecně oblíbený omyl). Prosím toto tvrzení podložit koláčovým grafem s počty zneužití SMS, bankovních aplikací a dalších přihlašovacích prostředků. AHA! Nemáte. Nebo máte a neukážete.

To s nebezpečností SMS je úplně stejně do krve opakovaný nesmysl jako že heslo musí mít 48 sad různých paznaků.

Výborně, já se nechám přesvědčit. Ale musíte argumentovat. Já jsem důvody zákonodárců a bankovního sektoru shrnul v článku. Nabídněte konkrétní protiargumenty, na kterých demonstrujete, že SMS na tlačítkovém telefonu je stejně bezpečná jako plnotučná aplikace používající identifikaci konkrétního uživatele pomocí biometrických údajů a zajišťující podepisování transakcí elektronickým podpisem. Směle do toho.

Já vám k tomu jeden argument řeknu. Je to jen moje zkušenost. Třeba mám nějaký divný ruce nebo v nadměrné míře přijímám erupce ze Slunce, ale mně vždycky po nějaké době FingerPrint jak na laptopu, tak na mobilu, přestal fungovat. Mohla jsem palcem jezdit po tlačítku shora dolů a zase nahoru, prostě tu pazouru neviděl, pak se seknul a další pokus jsem mohla udělat po minutě. Když se pak opakovaně přihlašujete 10 minut, tak byste vzteky rozmlátil nejen přístroj, ale i židli pod sebou. Jo, naše firma si taky myslela, že budeme přihlašování do aplikací na vzdáleném serveru potvrzovat přes mobily a součástí ověření bude FingerPrint, ale asi jsem nebyla sama a přihlašujeme se pomocí PIN. Je to sice otravné, ale co už, aspoň se v rozumné době přihlásím, na rozdíl od FingerPrintu. . Já bych osobně do mobilního bankovnictví na jednom zařízení nešla. Pravděpodobnost, že mi někdo odcizí obě zařízení je menší, než pravděpodobnost ztráty pouze mobilu. A že by někdo prolomil hesla na dvou zařízeních je už vůbec malá. Jediný problém může nastat v prostoru mezi židlí a klávesnicí.

To je nepříjemné, znám taky několik lidí, kteří mají obecně problém s dotykovými obrazovkami a čtečkami otisků prstů. Proto ty aplikace umožňují potvrzení transakce pomocí pinu, kdy jen vyměníte faktor „něco jsem“ za faktor „něco znám“. Faktor „něco mám“ v podobě aplikace zůstává.

Všechny Vaše úvahy o bezpečnosti bankovního spojení jsou špatně. Protože se nespojuje mobil/telefon s bankou, ale člověk s bankou. Čili jakékoliv argumenty o bezpečnosti techniky jsou mimo. To, co je třeba řešit, je omezení chyb člověka. Dát mu prostředí, ve kterém se vyzná - neměnit stále dokola způsoby přihlášení, protože ZMĚNA člověka ohrožuje. Ze známého prostředí musí přejít na neznámé - a to je zdroj potenciální chyby. SMS do telefonu a potvrzení v počítači dramaticky zvyšuje bezpečnost - nejde "blbým kliknutím" spustit věci omylem - v 1 zařízení. A hraje tu roli i faktor času - SMS musíte naťukat .... a za ty vteřiny Vám mohou dojít rizika aktivity. A co třeba velikost písmen/čísel? Víte Vy vůbec, kolik lidí blbě vidí a jen odhaduje, co je tak asi v těch telefonních minipísmenech napsané? Ale normální je kliknout, že?

Dokonale napsáno , smekám

No, kdyby lidstvo uvažovalo jako uvažujete vy, tak bychom ještě lezli po stromech, protože přeci to bylo "prostředí, ve kterém se vyznal"... Jinak máte pravdu v tom, že za čísílka v SMS jsou tak maličká, takže může lehce dojít k špatnému přepsání a jede se pak nanovo :)

Vy jste typický příklad sobeckého demagoga. Lidstvo vždycky posouvali mladí - kteří mají dost energie a dost nadšení, aby zkoušeli i nové věci ... a zároveň dost tolerance, aby nechali starší žít jejich zvyky. A také lidstvo posouvají lidé, kteří umí zkombinovat inteligenci, znalosti a štěstí (tím myslím třeba vynález penicilínu). Lidé, jako Vy, jsou prostě jen překážka - kterých je v životě vždycky dost. No, když se Vám líbí v davu těch, co jen překáží ....

Zkuste si jen namočit ruce nebo namazat krémem na ruce a pak nám povykládejte, jak dokonale funguje potvrzení otiskem prstu.

To jsou zase "argumenty". Když tím krémem zamažete displej telefonu, tak nepotvrdíte transakci SMS, protože na tu transakci neuvidíte! :-D

Hmm... A to vás ještě nenapadlo si před tím, než jdete provádět nějakou transakci v mobilním bankovnictví, nemazat ruce krémem na ruce, eventuálně to nedělat s mokrýma rukama? :)

Otisk prstu to jsem pouzil naposled nekdy pred mnoha lety, uz davno se staci na mobil jen podivat :D

K argumentování nejsem povolán, jen nesměle namítám, nikoliv za účelem přesvědčování. Máte na mysli zcela jinou bezpečnost, než má na mysli předřečník. Vy to berete z hlediska prolomitelnos­ti/získání SMS vs appka v matlafonu.
Mimochodem netřeba amatérsky hackovat, ale k ovládnutí mobilu oběti, lze koupit falešnou BTS, která si provoz na dotyčném mobilu stáhne na sebe.
Je naprosto jedno, jestli má útočník na sebe staženu SMS s ověřovacím kódem. Aby ji mohl použít, musí zároveň v tom okamžiku, mít přístup k počítači oběti, která se zrovna přihlašuje. Tedy musí znát její přihlašovací údaje k internetovému bankovnictví.
Není jednoduché, na krátký čas, mít zároveň mít přístup k počítači a mít potřebnou SMS, že?
Samozřejmě, útočník může mít již dopředu zjištěné přihlašovací údaje k internetovému bankovnictví, třeba z prohlížeče, počkat až oběti přijde SMS a zkusit se přihlásit ze svého počítače do internetového bankovnictví oběti.
Nemusím Vám vykládat, jako šéfredaktorovi linuxího root. cz, co si banka postahuje z/přes prohlížeč a vede to jako obvyklý přihlašovací počítač zákazníka/oběti. Pokud je něco jinak, tak třeba moje banka chce další a další údaje k ověření jestli já su já.
Navíc při opisování SMS do počítače robot sleduje, systém jak postupujete při zadávání údajů, pořadí na co klikáte, jak rychle to opisujete, jak taháte myší a ledacos dalšího, co má charakter biometrického ověřování osoby.
To sem si ověřil osobně a vyneslo mi to zablokování účtu tak rychle, že jsem ani nezívl. A měl jsem bezpečákovi co vysvětlovat, aby mi odblokoval účet a nemusel jsem jít osobně do banky.
Z tohoto hlediska, při opisování SMS, i když ji útočník zná, je bezpečnost přihlašování dostatečně vysoká.
Navíc útočník musí mít splněny i výše uvedené podmínky, což z hlediska pracnosti a nákladů není rentabilní.
No a ty appky...pokud je matlafon zamčený otiskem prstu, bankovní appka také na otisk prstu... jeden drží oběť, druhý matlafon přikládá k prstu oběti.
Navíc se mi v appce stalo, že jsem si to rozmyslel a platit nebudu. No a netrefil jsem Odmítnout a hned vedle jsem trefil Potvrdit a bylo vymalovaný.
Navíc z appky jsem byl mockrát svědkem, že dotyčný ani si nečetl, co potvrzuje a zaplatil. A pak mi tu brečí, co má dělat. No...nic, je zaplacené v pracovní dny.
Dále to vůbec nestojí na tom, se tady handrkovat o tom, jak moc je bezpečné opisovat prolomenou SMS nebo používat bankovní appku. Bezpečnost stojí a padá s tím, jak je moc velký problém mezi židlí a klávesnicí.
Může se namítnout, že se dá podvrhnout web banky při přihlašování. Dá a snadno, i pro znalého k nepoznání. To nevyvrátím argumentačně. Ale také se nedá argumentačně vyvrátit bezpečnost appky, pokud se po ní matle bez čtení čehokoliv, co píše. Což je velmi zhusta.
Tady bych to viděl, že za těchto okolností s tou bezpečností, resp. jejím výsledkem při potvrzování, je to šul nul.
Banka platí peníze za přednostní odeslání SMS, možná docela dost a je zvykem, náklady přenášet na zákazníka. Tak i tento argument předchozího pisatele, má váhu. Navíc přes appku tlačí nabídku kde čeho, co vůbec nepotřebujete.
Ve svém dalším příspěvku, zmiňujete, že na konci světa nebyl mobilní signál, ale jen wifi. Tudíž by ani SMS nedošla. Záleží na otrlosti. Já bych se osobně přes cizí wifi do banky nepřihlašoval (jdou po mě). Tudíž ani SMS by nebyla potřeba. Pokud bych něco přehlédl a fakt se to muselo zaplatit, tak tady nechávám finanční rezervu, pošlu sem elektronicky podepsaný a zašifrovaný email, komu, co a kolik se má zaplatit.
Pro všechny případy, přece jen je to elektronická komunikace, tak pro větší bezpečnost tam přidám něco nevinného, na čem jsme se domluvili ještě tady. Pro ověření, že to píšu opravdu já, nehackli mi elektronický podpis, nemám pistoli u hlavy. To není paranoia. Jen opatrnost po 42 letech v IT, protože je nevývratné, že jdou po nás a chcou nás dostat.
Pak je tu ještě jeden nepominutelný praktický důvod pro SMS. Pokud se mobilu něco stane, tak se přehodí SIM do jiného a jede se dále. Jenže appka s mobilem je registrovaná. Pak nastává problém, třeba při rozbitém displeji nebo závadě na desce, že mobil nelze uvést do továrního nastavení a komplet všechno jde do servisu. Kdo má doma další matlafon, který má zaregistrovaný v bance s appkou? Aby se mohl přihlásit do bankovnictví a aspoň ten matlafon odregistrovat jako oveřený? Nebo do banky zavolat, ať to nastaví oni. Případně ať to změní na přihlašování SMS. Za předpokladu, že toto vůbec dá dohromady, co dělat.
No a tady sleduji průběžně, které banky nechaly SMS a za jakých podmínek. I když banky by rády ušetřily na SMS a byly tak nebezpečné jak se tvrdí, tak by je zrušily na sílu.
Já používám appky i SMS dle situace. Běžný účet appka, ostatní SMS. Nehodlám u sebe nosit všechny peníze po kapsách, byť by byl matlafon a appka zabezpečená nevím jak. Také nejsem přívrženec mít narvané všechno v mobilu. Nutně potřebuji mít zadní vrátka pro neočekávané události, na které jsem nepomyslel a tudíž s předstihem je nemám vyřešené, až to nastane.
Spíš bych si rád přečetl článek od Michala Špačka, na téma, jak moc nemá SMS nárok na život z hlediska bezpečnosti při samotném potvrzování transakce vs bankovní appka a co by na ni mohl vytáhnout z hlediska jejího napadení v matlafonu.

"Kdo má doma další matlafon, který má zaregistrovaný v bance s appkou?"

Tak třeba já :-). Ale to není podstatné.

U mých bank - aktuálně HB (která už je tedy po smrti), Moneta, ČSOB se při ztrátě appky dokážete jednorázově autentikovat a zřídit si tak novou appku bez návštěvy pobočky.
Dále mám ještě FIO ale tam bohužel - v současné chvíli je třeba při ztrátě appky na pobočku.

No, zaujala mě vaše úvaha o "zaregistrovaném mobilu" u banky. Nejsem odborník, ale když jsem si naposledy pořídil nový mobil, tak jsem pouze přednal do nového SIM, tedy vlastně tel. číslo, postahoval bankovní apky, popřihlašoval se a jel jsem dál. Takže, o jaké jiné registraci mobilu píšete? :(

Tak zase tomuto postupu se já divím aji ušima. Tohle mé banky takto nemají.
Nekladu si přesnost popisu registrace mobilu u mých bank, protože mobil nestřídám každý rok.
Musím vlézt do internetového bankovnictví, novým mobilem načíst QR kód, který mi zobrazí kód k opsání do internetového bankovnictví. Myslím, že mi ještě dojde email, že se někdo pokusil zaregistrovat appku do mobilu a jestli o tom vím, tak kliknout na odkaz, že to chci, v opačném případě volat na přiložené číslo.
Pak se v bankovnictví zobrazí mobil, formou názvu výrobce, modelu, čísla, nastavím jestli chci jen v appce kontrolovat účet nebo i potvrzovat a platit.
Pak teprve se můžu přihlásit do appky. Možná tento postup jde udělat i z appky v zaregistrovaných mobilech.
Takto banka jakž takž má ověřené, že já su já a zaregistrovaný mobil je můj a pomocí něho přistupuji k účtu.
Ale ne že nainstalím, appku, přihlásím se a jedu dál. To by bylo z hlediska bezpečnosti proti zdravému rozumu, aby si banka nějak neověřila, že přes appku chce přistupovat majitel účtu.
Zkusil jsem v zaregistrovaném mobilu smazat appku a znova ji nainstalit. Ani toto neprošlo a musel jsem proces registrace mobilu u banky podstoupit celý znovu.

Samozřejmě, že potvrzování pomocí aplikace je v některém směru bezpečnější než SMS, kterou lze přeposlat, podvrhnout atd. jak bylo popsáno v článku. No ale stačí se podívat, jak problém uchopila Česká spořitelna. Měla samostatnou aplikaci pro bankovnictví (George) a pro autorizaci druhou aplikaci Klíč, která na nic jiného nesloužila. Přihlašoval jsem se do internetového bankovnictví, na PC vyplnil ID, datum narození a autorizoval přístup místo zadání kódu z SMS přes aplikaci Klíč. To samé při platbě kartou v mobilu atp.. Super, tak by to mělo vypadat.
No a co se nestalo - některá chytrá hlava vymyslela, že aplikaci klíč zruší a její funkci převezme "plnotučná" aplikace mobilního bankovnictví George, kterou mi tak "násilím" vnutí do mobilu. Výsledkem je nejen to, že potvrzení trvá podstatně déle (asi to komunikuje s jinými servery), ale hlavně nyní mám v jednom zařízení (mobilu) přístup ke všem svým účtům a s penězi mohu volně nakládat, zatímco dříve jsem používal bankovnictví v PC a aplikace Klíč v mobilu jen autorizovala přístup, tj. jsou to dvě fyzicky oddělená zařízení,.
Identifikace je založena na otisku prstu. Takže pokud usnu na veřejném místě a někdo mi vezme telefon a přiloží prst, dostane se nyní do bankovnictví a může si dělat co chce. Dříve by mu to bylo k ničemu. Kdyby alespoň šlo nastavit, že aplikace George v mobilu sloužit výhradně k autorizaci přístupu a tak byla na úrovni původního Klíče, bylo by to OK. Toto ze záhadného důvodu Česká spořitelna neumožňuje.. Za mě jednoznačně krok zpět v bezpečnosti i proti té "hloupé" SMS..

Hmm... Jaká je pravděpodobnost, že usnete někde na veřejnosti, někdo vám vytáhne odněkud z kapsy váš mobil a pak bude zkoumat, jak máte nastavený přístup do mobilu včetně toho, že bude zkoušet otisk kterého prstu máte k autorizaci? No, nevím, ale aby třeba mě nevzbudilo už to, že na mě někdo sáhne, musel bych být ožratý né na plech, ale na šrot :)

No myslím, že je to pravdepodobnejšie, než že niekto vyrobí duplikát SIM karty alebo podvrhne falošnú BTSku. Ak sa samozrejme nejedná o človeka s tak tučnými kontami, že by to stálo za cielený útok.

A musíte usínat? Stačí když Vás po setmění nebo někde v garáži obchoďáku obestoupí 2-3 mužici a než se rozkoukáte, jste bez peněz. Vůbec nemusí znát Vaše údaje z PC ani nic z IT a hackování. A věřím, že u 50% lidí ve věku 25-50 tu mobilní apku do banky najdou. Nemám nic proti pokroku, ale mít vše v mobilu/jednom zařízení je krok zpět. Nechci žádnou apku, která mi šmíruje v telefonu, potřebuje aktivní data a neustále se aktualizuje/o­travuje.

Prosím toto tvrzení podložit koláčovým grafem s počty zneužití SMS, bankovních aplikací a dalších přihlašovacích prostředků. AHA! Nemáte. Nebo máte a neukážete.

No, zkuste si toto jít pořvávat do své banky :) Nebo do Brusele.

Lidí co přepošlou SMS z jejich banky podvodníkovi protože jim napsal, že to udělat mají je plno! Aplikace toto neudělá :D A i ty samí lidi co by poslali SMS z banky naprosto bez pozastavení, přecijen na žádost o to ať se přihlásí do své bankovní aplikace a tam potvrdí pinem transakci se přeci jen už trochu zamyslí...

Ano, můžete tyhle nesmysly propagující appky opakovat donekonečna, ale bezpečnější peníze z toho nebudou. Prostě jakýkoli dvoufaktor bude vždy bezpečnější než jednofaktor, ať už to byly OTP na papírku, nějaká "kalkulačka" nebo sms.

A bude to veselejší. Mobilní zařízení jsou plné bezpečnostních děr, většina pořád online, takže to je jen otázka šikovnosti programátora a dostatku finančních prostředků na vývoj. Typicky kliknete v telefonu na ikonu svého George, ale místo skutečného tam bude jen napodobenina, jen stejně vypadající rozhraní, takže něco naklikáte, potvrdíte otiskem, ale ve skutečnosti poběží někde na pozadí skutečný George, kde si zloděj naklikal vybílení vašeho účtu a vy jste ho právě potvrdili. Při objemu peněz, které přes tohle děravé síto procházejí, se jen divím, že jsou ty appky vůbec používané.

Jinak si stačí najít příklady, kdy si uživatel nainstaloval nějakou hru, která se při aktualizaci vlastně změnila na jinou s jinými funkcemi pro odeslání osobních dat útočníkům. Možnost zjistit, co se vám na obrazovce mobilu skutečně zobrazuje a co ta aplikace dělá, je rovná nule.

Ve Fio aplikaci občas to potvrzení přes aplikaci nefunguje, takže jsem rád, že můžu jako zálohu použít potvrzení přes SMS.

Já jsem zažil opačný problém. Jste na hotelu na konci světa, kde je sice Wi-Fi, ale už ne mobilní signál. K serverům banky se tedy sice připojíte, ale nepřihlásíte se, protože nepřijmete autentizační SMS. Každá varianta má své výhody a nevýhody.

To je teda argument , srovnejte si KOLIKRÁT za měsíc jste na konci světa v hotelu a kolikrát zadáváte příkaz z domova ?

Mně se zase stalo, že jsem byla v zahraničí. K wifi-síti jsem se připojila, ale mobil vypověděl službu. Stačilo pouze poslat mail, že se hluboce omlouvám, ale protože nedostanu autorizační SMS, provedu platbu po návratu. Což druhá strana akceptovala a platby jsem provedla po návratu.
Podobný problém jsem měla s platební kartou. Odmítla provést platbu v místní měně v hodnotě 100 fifíků, ale platbu 2x50 fifíků opět bez problému. Ale i tak je lepší mít sebou platební karty aspoň dvě, pro jistotu.

Zajímavé, mě potvrzení přes aplikaci Fio funguje vždy. Zato když jsem ještě používal SMS, tak jsem často čekal několik minut, než došla.

Mám víc bank se SMS (mBank, Air Bank, FIO, Raiffeisen) a nikdy se mi nestalo, že by SMSka nepřišla okamžitě.

To vás asi vesmír odměňuje za vaše prsty odolávající snímání otisků :-)

Mam nekolik uctu u ruznych bank, takze muzu srovnovat. Priblble aplikace kazdou chvili nefunguji, musim tam zadavat pin i nekolikrat nez se prihlasim, stejnym pinem se prihlasim i primo do bankovnictvi, takze mohu vybrat cely ucet, to vse na malickem zarizeni ktere taham vsude sebou, mohu ho kdykoliv ztratit, ukrast, v pripade poruchy ho musim donest do servisu i s bankovnimi aplikacemi apod.
Jedine komu to zjednodusuje zivot jsou banky, protoze nemusi platit za SMS.

Přesně tak, banky zavádějí aplikace jen proto, aby ušetřily peníze za SMS. Nic jiného je k tomu nenutí, protože pokud by nějaká směrnice SMS zakazovala, tak by ty SMS musely zrušit všechny banky - a to se neděje, některé u SMS v pohodě zůstávají. Čili povinné to rušení jak vidět není.

Další diskutabilní téma je bezpečnost SMS - sice se o nebezpečnosti občas mluví, ale nikde nečtete o lidech, kterým by se to stalo a někdo jim SMS odposlechl a zneužil.
Jak je to možné, že to nikdo nezneužívá, když je to tak strašně nebezpečné, jak se nám i v tomto článku snaží nabulíkovat?

Zato všude čteme jak lidi naletí podvodníkům na telefonu, to je reálně rozsířený bezpečnostní problém, nikoli SMS.
Kdyby ty SMS opravdu byly zneužívané, psalo by se o tom všude stejně jako se píše o phishingu.

Ale samozřejmě, že se to zneužívá, jinak by se banky nesnažily tu nebezpečnou metodu nahradit něčím bezpečnějším. Proč to nebudí takovou mediální pozornost je otázka, ale kdo se o tu oblast zajímá, tak o těch případech ví (což hezky ukazuje, kteří ze zdejších diskutujících o tom fakt něco ví a kdo jen plácá nějaké svoje nepodložené teorie).

Například některé případy z téhle série: https://www.ceskatelevize.cz/porady/1097429889-cerne-ovce/223452801080111/0/817221-vykradeny-ucet-v/

V prvním případě, velmi zhruba vidím, že SMS chodí na matlafon a malware to přeposlal. V druhém případě opět matlafon. Jak k tomu došlo se neví. Nicméně paní má jabka a použití Google Pay je z toho důvodu neproveditelné.
V obou případech to vypadá, na přihlášení přes falešný web banky. Ve druhém případě udělala chybu, že vyhledávala přes Seznam a nemá web banky uložený v záložkách.
Když SMS, tak jedině na starý blbý tlačítkáč. A jak správně podotkli, spořící účty nemít v mobilu. Ačkoli léta u bank protestuji, aby v appce volitelně nebyly přístupné spořící účty. Marně. Proto je potřeba mít správně spoření u jiných bank, které nepodmiňují založení spořícího účtu, zřízením běžného účtu.
Já bych viděl vznik problému úplně někde jinde, než u SMS.

Dotaz byl na případy, kdy byla prolomena SMS autentizace. Tak jsem je poskytl. Ani "blbý" tlačítkáč vám nepomůže, protože SMS může utéct kdekoli po cestě. To je důvod, proč se jich banky snaží zbavovat - nemají nad jejich bezpečností kontrolu a ani neví, jaká ta bezpečnost ve skutečnosti je.

Mimochodem, nikdo z těch, kdo se tu pohoršují nad "nebezpečnými mobilními aplikacemi" neposkytl jediný případ, kdy by byl účet vykraden prolomením aplikace s TPM autorizací.

Ještě doplním osobní zkušenost s rušením SMS ve dvou bankách - RB a Monetě.
Obě banky prohlašovaly, jak ruší SMS nebo je zpoplatňují.
Už z toho že zůstala možnost zpoplatnění je jasné, že nic opravdu neruší a účelem je pouze vytáhnout poplatky z vorlů, nikoli SMS zrušit.

Takže reálná zkušenost - stačilo přijít do banky s tím, že fajn, bez SMS zdarma teda ruším účet a jdu - okamžitě změna chování banky o 180 stupňů, nic se neruší, nic se nezpoplatňuje, všechny SMS budete mít i nadále zdarma, hlavně si účet nechte a neodcházejte...

Takže jsem si účty nechal a jedu se SMS zdarma postaru i nadále. Pokud to někdy zkusí znova, nemám problém, okamžitě jdu, mám těch účtů dost jinde, furt je kam jít.

Takže je to jen o tom nenechat si od banky nakálet na hlavičku :-)

No, nevím, ale abych chodil blbě prudit do banky kvůli SMS? Apky mi vyhovují a rozhodně bych se k SMS vracet nechtěl. Ale hotl to jsme my senioři...:)

Pro mne je hlavním nebezpečím u online přístupu do banky použití jediného elektronického zařízení. Tak že telefon s nainstalovanou bankovní aplikací pro mne představuje zvýšené riziko. Pokud se útočník zaměří na toto jedno zařízení, pak jej dříve či později ovládne. Bezpečnostní kroky a prvky vesměs odstraňují zjištěná prolomení ochran (a to může být už pozdě).
Za bezpečnější tedy považuji dvě na sobě nezávislá (nesdílená) elektronická zařízení, kdy jedno provádí přístup na účet a druhé ověřuje právo k přístupu.
Z toho pak i plyne, že zachytitelná SMS nemusí být až tak krytický problém.

Tak já se vám do té trapné argumentace ze strany bank trochu vloupám, jo?

1) zabezpečení OS telefonů je obzvlášť ze strany Google naprosto ubohé.
2) zabezpečení apklikací je tak ubohé a trapné, že se pokaždé rozpláču, když čtu, jak experti "bijí na poplach" (mimochodem v nadpisu vám "experti bijí na poplach" chybí, aby to mělo tu správnou šťávu).

Nespočetněkrát se objevila špička ledovce ve formě - Google a iOS vlastně nedokážou kontrolovat swapy oficiálních aplikací za cinknuté aplikace spywarem (čí čímkoli jiným).

Na telefonu si i jako IT znalý člověk nedokážu ohlídat téměř nic, protože 95% věcí jede v pozadí, aplikace jsou absolutní blackbox. Oproti desktopu, kde si dokážu ohlídat vše od routeru až po poslední změny v souborech prohlížeče. Vím co mi na mém desktop OS běží za služby, dokážu během chvilky zjistit takřka úplně vše.

To, že si nějaký obtloustlý bankovní ředitel usmyslel, že pro banky bude lepší dát vše místo do dvou separátních zařízení, pouze do jednoho, nad kterým nikdo nemá pořádnou kontrolu (krom tajných služeb a vlád - viz Izraelský SW, který se proslavil s tajnými službami USA) a tlačí svojí myšlenku stůj co stůj, není záruka ničeho. To, že si k sobě přibere pár zaplacených odborníků, kteří budou říkat to, co on chce, také není záruka.

"Povinnost" mít bankovní aplikaci bude velmi dobře pochvalováno všemi, kteří chtějí mít ulehčenou práci ve špiclování (to jak vlády špiclujou vlastní občany si můžete, ostatně jako vše co zde zmiňuji, dohledat třeba na wikileaks), protože budou mít vše na jednom místě s minimálním zabezpečením (telefon si nikdy nedokážu zabezpečit tak jako svůj desktop). Takže v dnešní době, kdy si lidé v mobilních telefonech uloží prakticky kompletně vše o svojí osobě, všechny kompromitující věci, fotky, videa, hesla, zprávy, hovory, bankovní karty, GPS lokátory, okamerovány jsou telefony až nesmyslně... k tomu přidáte ještě imbecilní apku vytvořenou "skupinou programátorů" z Indie, co sídlí v garáži ve slumu na předměstí Dilí. Takže jakákoli "organizace" bude mít ještě navíc, krom kompletního "obrázku" vaší osoby, prolomení bankovního tajemství na stisk jednoho tlačítka. Protože dosud jste museli být minimálně obviněni z činu jako je třeba terorismus (vražda), aby tací lidé mohli prolomit bankovní tajemství.

Je mi úplně jedno co si myslí jednodušší/nev­zdělaní lidé, že když nic neudělali, tak není přece důvod si chránit osobní soukromí. Nebo že jim je jedno, že někdo ví kam chodí nakupovat, co kdy a zakolik nakoupí. Tací jsou právě ti, co klidně nadiktují potvrzovací sms komukoli na požádání, to jsou právě ti, co je pumpují podvodnící na bazoších - bezmozci.

Bankovní apky a důvody pro to je tak tlačit jsou krásně zaobalená lež a snaha mít vše pod jednou stříškou pro kontrolu - copaže to asi děláte.

Tohle všehno ale lidem začne docházet až ve chvíli, kdy přijdou do styku s deepfake podvodama. Ale to bude už pozdě, protože všechny své osobní informace už dávno vyslepičili online všudemožně.

Máte naprostou pravdu NAŠE osobní informace UŽ DÁVNO MAJÍ ani jsme je nemuseli vyslepičit , s osobními údaji ,informacemi všeho druhu se již obchoduje vesele minimálně od 89 roku a věřte že si je nedokážete utajit i kdyby jste se na hlavu postavil

Je mi vás líto. Ten život v neustálo hrůze, že vás někdo, především tedy stát, nepřetržitě sleduje, musí být hodně stresující...:(

Tak náš děda se přihlašuje do internetbankingu pomocí smsek a pak, když zadá platbu, tak to po něm chce druhý faktor ověření, to je heslo, ale to má předuložené z minulého zadávání plateb.
Prý že nejdou poslat platby na kartu? Teď mi obchod píše, že zboží, co jsem předem zaplatil, tak nemají a pošlou mi peníze zpět na kartu, z které byla platba uhrazena!

A zase ta oblíbená falešná dichotomie. Ne, SMS a smartphone aplikace opravdu nejsou jediné dvě možnosti, jak realizovat druhý faktor. Jenže bankám ve skutečnosti vůbec nejde o bezpečnost (jinak by většina z nich netrvala na integraci potvrzovací aplikace do plně funkčního bankovnictví), jejich cílem je donutit klienty k používání jejich smartphone aplikace, ať ji chtějí používat nebo ne, ať chtějí používat smartphone nebo ne. A to je celý problém, všechno ostatní je jen propaganda.

přesně tak

Nejsou to jediné dvě možnosti, ale jsou to jediné dvě široce použitelné možnosti.

To mám používat emulátor?

Kdepak emulátor, to se bankám také nelíbí...

Jinou možnost nemám.

Tak to máte (máme) smůlu. Banky se prostě rozhodly, že každý musí mít (a používat) jejich "apku" a klienty, kteří by snad z jakéhokoli důvodu nechtěli, je potřeba k tomu donutit, po dobrém nebo po zlém. V praxi se používá kombinace těch dvou přístupů.

Přesně takový postoj čím dál silněji cítím u Air bank, ke které jsem před pár lety přešel, protože nejlépe splňovala mé představy o "internetové bance", ale od té doby se bohužel plíživě ale nezadržitelně transformuje na "smartfounovou banku", která mi čím dál víc dává najevo, že bez smartphonu jsem pro ně zpátečník, kterého je potřeba převychovat (nebo vyštvat). :-(

Já si naopak myslím, že pokud by bankám šlo o bezpečnost, budou zásadně proti spojování všeho do jednoho zařízení.
Pořád mi připadá, že je vytvořeno falešné dilema: nový způsob, který všichni používají samozřejmě správně, vs. starý způsob, který všichni samozřejmě používají špatně.
Jenže tak to zhusta není, je spousta lidí, co mají telefon prakticky s celou svou identitou chráněný banálním způsobem a v něm natahané bůhvíco, protože je jim to prostě jedno.
A pak tu máte lidi, kteří do bankovnictví vstupují výhradně z PC (a většina bank už je schopná identifikovat přihlášení z odsouhlaseného konkrétního přístroje) a třeba ani nemají chytrý telefon, ne proto, že by s ním neuměli a byli líní se učit, ale protože naprosto vědomě nechtějí a i z bezpečnostního hlediska jim dává větší smysl mít to tak, jak to mají. Navíc takoví lidé asi všeobecně přistupují k věcem na internetu s podstatně větší obezřetností než nějaká nanynka, která kliká bez rozmyslu na všechno, protože žije v iluzi falešného bezpečí, že když má tu apku, tak se jí nemůže nic stát.
Proč by se pak lidem, co mají zájem ověření přes sms udržovat, neměla tato možnost poskytnout, klidně za tu dvacku měsíčně, klidně s podepsáním "negativního reversu", že jsou si vědomi, že to není aplikace?

Ano, přesně tak to je, psal jsem to kdesi už před pár měsíci - spojování všeho do jednoho zařízení je obrovská bezpečnostní díra a ZHORŠENÍ bezpečnosti.

Původní verze - jeden kanál je PC s bankovnictvím a ověření chodí přes SMS mobilem, což je druhý naprosto nezávislý kanál = útočník musí bezpodmínečně ovládnout OBĚ zařízení, nestačí mu nakazit pouze PC nebo mobil, aby mohl škodit.

Nová verze - bankovnictví v mobilu, ověření jde do téhož mobilu = stačí ovládnout toto jediné zařízení a útočník má komplet přístup k vašim penězům.

> útočník musí bezpodmínečně ovládnout OBĚ zařízení

Nemusí. SMS může utéct i po cestě, protože se přenáší nešifrovaná.

> stačí ovládnout toto jediné zařízení

Jenže ovládnou mobil tak, abyste si mohl podepisovat přes TPM cokoli chcete je extrémně těžké, respektive nevím o žádném úspěšném reálném útoku.

Každý způsob zabezpečení je do značné míry podmíněn, jak ho uživatelé používají a to je do značné míry podmíněno, jestli si daný způsob vybrali nebo jim ho někdo vnutil.
Bezpečnost bank se zhoršuje, technologicky sice možná používají "bezpečnější" řešení, ale to vylepšení může být lehce vymazáno uživatelskou nepříjemností, která se změní na to, že technologickou vymoženost vynuluje.
Platit kartou online přes RB je porod, nepoužívám tuto kartu na platbu přes internet. Ne o moc lepší je na tom AB, zabugovaný způsob placení.
"Naštěstí" stále existují metody jak se vyhnout některým zabezpečením, Curve, PayPall.
Používám SMS a budu přecházet mezi bankami k té, co ji bude dál používat a současně se částečně vracím k hotovosti, protože začíná být opět podobně rychlé platit hotovostí než řešit nestále dotazy a problémy bezkontaktního placení.
Ale SMS mi chodí na "hloupý" telefon a IB (chápu, že posílat SMS na chytrý mobil a současně z něj platit není ideální...), mám nastavené rozumně limity, mám nastavené upozornění na transakce.
Ano, pomalu se stávám dinosaurem, nemám v plánu používat mobilní bankovnictví víc než na placení QR kódu.