Vlákno názorů k článku Ověření pomocí SMS je nebezpečné, banky tlačí klienty do aplikací od Skočdopole - 100x opakovaná lež se pravdou opravdu nestane. Nebezpečnost...

100x opakovaná lež se pravdou opravdu nestane. Nebezpečnost SMS je OOO (obecně oblíbený omyl). Prosím toto tvrzení podložit koláčovým grafem s počty zneužití SMS, bankovních aplikací a dalších přihlašovacích prostředků. AHA! Nemáte. Nebo máte a neukážete.

To s nebezpečností SMS je úplně stejně do krve opakovaný nesmysl jako že heslo musí mít 48 sad různých paznaků.

Výborně, já se nechám přesvědčit. Ale musíte argumentovat. Já jsem důvody zákonodárců a bankovního sektoru shrnul v článku. Nabídněte konkrétní protiargumenty, na kterých demonstrujete, že SMS na tlačítkovém telefonu je stejně bezpečná jako plnotučná aplikace používající identifikaci konkrétního uživatele pomocí biometrických údajů a zajišťující podepisování transakcí elektronickým podpisem. Směle do toho.

Já vám k tomu jeden argument řeknu. Je to jen moje zkušenost. Třeba mám nějaký divný ruce nebo v nadměrné míře přijímám erupce ze Slunce, ale mně vždycky po nějaké době FingerPrint jak na laptopu, tak na mobilu, přestal fungovat. Mohla jsem palcem jezdit po tlačítku shora dolů a zase nahoru, prostě tu pazouru neviděl, pak se seknul a další pokus jsem mohla udělat po minutě. Když se pak opakovaně přihlašujete 10 minut, tak byste vzteky rozmlátil nejen přístroj, ale i židli pod sebou. Jo, naše firma si taky myslela, že budeme přihlašování do aplikací na vzdáleném serveru potvrzovat přes mobily a součástí ověření bude FingerPrint, ale asi jsem nebyla sama a přihlašujeme se pomocí PIN. Je to sice otravné, ale co už, aspoň se v rozumné době přihlásím, na rozdíl od FingerPrintu. . Já bych osobně do mobilního bankovnictví na jednom zařízení nešla. Pravděpodobnost, že mi někdo odcizí obě zařízení je menší, než pravděpodobnost ztráty pouze mobilu. A že by někdo prolomil hesla na dvou zařízeních je už vůbec malá. Jediný problém může nastat v prostoru mezi židlí a klávesnicí.

To je nepříjemné, znám taky několik lidí, kteří mají obecně problém s dotykovými obrazovkami a čtečkami otisků prstů. Proto ty aplikace umožňují potvrzení transakce pomocí pinu, kdy jen vyměníte faktor „něco jsem“ za faktor „něco znám“. Faktor „něco mám“ v podobě aplikace zůstává.

Všechny Vaše úvahy o bezpečnosti bankovního spojení jsou špatně. Protože se nespojuje mobil/telefon s bankou, ale člověk s bankou. Čili jakékoliv argumenty o bezpečnosti techniky jsou mimo. To, co je třeba řešit, je omezení chyb člověka. Dát mu prostředí, ve kterém se vyzná - neměnit stále dokola způsoby přihlášení, protože ZMĚNA člověka ohrožuje. Ze známého prostředí musí přejít na neznámé - a to je zdroj potenciální chyby. SMS do telefonu a potvrzení v počítači dramaticky zvyšuje bezpečnost - nejde "blbým kliknutím" spustit věci omylem - v 1 zařízení. A hraje tu roli i faktor času - SMS musíte naťukat .... a za ty vteřiny Vám mohou dojít rizika aktivity. A co třeba velikost písmen/čísel? Víte Vy vůbec, kolik lidí blbě vidí a jen odhaduje, co je tak asi v těch telefonních minipísmenech napsané? Ale normální je kliknout, že?

Dokonale napsáno , smekám

No, kdyby lidstvo uvažovalo jako uvažujete vy, tak bychom ještě lezli po stromech, protože přeci to bylo "prostředí, ve kterém se vyznal"... Jinak máte pravdu v tom, že za čísílka v SMS jsou tak maličká, takže může lehce dojít k špatnému přepsání a jede se pak nanovo :)

Vy jste typický příklad sobeckého demagoga. Lidstvo vždycky posouvali mladí - kteří mají dost energie a dost nadšení, aby zkoušeli i nové věci ... a zároveň dost tolerance, aby nechali starší žít jejich zvyky. A také lidstvo posouvají lidé, kteří umí zkombinovat inteligenci, znalosti a štěstí (tím myslím třeba vynález penicilínu). Lidé, jako Vy, jsou prostě jen překážka - kterých je v životě vždycky dost. No, když se Vám líbí v davu těch, co jen překáží ....

Zkuste si jen namočit ruce nebo namazat krémem na ruce a pak nám povykládejte, jak dokonale funguje potvrzení otiskem prstu.

To jsou zase "argumenty". Když tím krémem zamažete displej telefonu, tak nepotvrdíte transakci SMS, protože na tu transakci neuvidíte! :-D

Hmm... A to vás ještě nenapadlo si před tím, než jdete provádět nějakou transakci v mobilním bankovnictví, nemazat ruce krémem na ruce, eventuálně to nedělat s mokrýma rukama? :)

Otisk prstu to jsem pouzil naposled nekdy pred mnoha lety, uz davno se staci na mobil jen podivat :D

K argumentování nejsem povolán, jen nesměle namítám, nikoliv za účelem přesvědčování. Máte na mysli zcela jinou bezpečnost, než má na mysli předřečník. Vy to berete z hlediska prolomitelnos­ti/získání SMS vs appka v matlafonu.
Mimochodem netřeba amatérsky hackovat, ale k ovládnutí mobilu oběti, lze koupit falešnou BTS, která si provoz na dotyčném mobilu stáhne na sebe.
Je naprosto jedno, jestli má útočník na sebe staženu SMS s ověřovacím kódem. Aby ji mohl použít, musí zároveň v tom okamžiku, mít přístup k počítači oběti, která se zrovna přihlašuje. Tedy musí znát její přihlašovací údaje k internetovému bankovnictví.
Není jednoduché, na krátký čas, mít zároveň mít přístup k počítači a mít potřebnou SMS, že?
Samozřejmě, útočník může mít již dopředu zjištěné přihlašovací údaje k internetovému bankovnictví, třeba z prohlížeče, počkat až oběti přijde SMS a zkusit se přihlásit ze svého počítače do internetového bankovnictví oběti.
Nemusím Vám vykládat, jako šéfredaktorovi linuxího root. cz, co si banka postahuje z/přes prohlížeč a vede to jako obvyklý přihlašovací počítač zákazníka/oběti. Pokud je něco jinak, tak třeba moje banka chce další a další údaje k ověření jestli já su já.
Navíc při opisování SMS do počítače robot sleduje, systém jak postupujete při zadávání údajů, pořadí na co klikáte, jak rychle to opisujete, jak taháte myší a ledacos dalšího, co má charakter biometrického ověřování osoby.
To sem si ověřil osobně a vyneslo mi to zablokování účtu tak rychle, že jsem ani nezívl. A měl jsem bezpečákovi co vysvětlovat, aby mi odblokoval účet a nemusel jsem jít osobně do banky.
Z tohoto hlediska, při opisování SMS, i když ji útočník zná, je bezpečnost přihlašování dostatečně vysoká.
Navíc útočník musí mít splněny i výše uvedené podmínky, což z hlediska pracnosti a nákladů není rentabilní.
No a ty appky...pokud je matlafon zamčený otiskem prstu, bankovní appka také na otisk prstu... jeden drží oběť, druhý matlafon přikládá k prstu oběti.
Navíc se mi v appce stalo, že jsem si to rozmyslel a platit nebudu. No a netrefil jsem Odmítnout a hned vedle jsem trefil Potvrdit a bylo vymalovaný.
Navíc z appky jsem byl mockrát svědkem, že dotyčný ani si nečetl, co potvrzuje a zaplatil. A pak mi tu brečí, co má dělat. No...nic, je zaplacené v pracovní dny.
Dále to vůbec nestojí na tom, se tady handrkovat o tom, jak moc je bezpečné opisovat prolomenou SMS nebo používat bankovní appku. Bezpečnost stojí a padá s tím, jak je moc velký problém mezi židlí a klávesnicí.
Může se namítnout, že se dá podvrhnout web banky při přihlašování. Dá a snadno, i pro znalého k nepoznání. To nevyvrátím argumentačně. Ale také se nedá argumentačně vyvrátit bezpečnost appky, pokud se po ní matle bez čtení čehokoliv, co píše. Což je velmi zhusta.
Tady bych to viděl, že za těchto okolností s tou bezpečností, resp. jejím výsledkem při potvrzování, je to šul nul.
Banka platí peníze za přednostní odeslání SMS, možná docela dost a je zvykem, náklady přenášet na zákazníka. Tak i tento argument předchozího pisatele, má váhu. Navíc přes appku tlačí nabídku kde čeho, co vůbec nepotřebujete.
Ve svém dalším příspěvku, zmiňujete, že na konci světa nebyl mobilní signál, ale jen wifi. Tudíž by ani SMS nedošla. Záleží na otrlosti. Já bych se osobně přes cizí wifi do banky nepřihlašoval (jdou po mě). Tudíž ani SMS by nebyla potřeba. Pokud bych něco přehlédl a fakt se to muselo zaplatit, tak tady nechávám finanční rezervu, pošlu sem elektronicky podepsaný a zašifrovaný email, komu, co a kolik se má zaplatit.
Pro všechny případy, přece jen je to elektronická komunikace, tak pro větší bezpečnost tam přidám něco nevinného, na čem jsme se domluvili ještě tady. Pro ověření, že to píšu opravdu já, nehackli mi elektronický podpis, nemám pistoli u hlavy. To není paranoia. Jen opatrnost po 42 letech v IT, protože je nevývratné, že jdou po nás a chcou nás dostat.
Pak je tu ještě jeden nepominutelný praktický důvod pro SMS. Pokud se mobilu něco stane, tak se přehodí SIM do jiného a jede se dále. Jenže appka s mobilem je registrovaná. Pak nastává problém, třeba při rozbitém displeji nebo závadě na desce, že mobil nelze uvést do továrního nastavení a komplet všechno jde do servisu. Kdo má doma další matlafon, který má zaregistrovaný v bance s appkou? Aby se mohl přihlásit do bankovnictví a aspoň ten matlafon odregistrovat jako oveřený? Nebo do banky zavolat, ať to nastaví oni. Případně ať to změní na přihlašování SMS. Za předpokladu, že toto vůbec dá dohromady, co dělat.
No a tady sleduji průběžně, které banky nechaly SMS a za jakých podmínek. I když banky by rády ušetřily na SMS a byly tak nebezpečné jak se tvrdí, tak by je zrušily na sílu.
Já používám appky i SMS dle situace. Běžný účet appka, ostatní SMS. Nehodlám u sebe nosit všechny peníze po kapsách, byť by byl matlafon a appka zabezpečená nevím jak. Také nejsem přívrženec mít narvané všechno v mobilu. Nutně potřebuji mít zadní vrátka pro neočekávané události, na které jsem nepomyslel a tudíž s předstihem je nemám vyřešené, až to nastane.
Spíš bych si rád přečetl článek od Michala Špačka, na téma, jak moc nemá SMS nárok na život z hlediska bezpečnosti při samotném potvrzování transakce vs bankovní appka a co by na ni mohl vytáhnout z hlediska jejího napadení v matlafonu.

"Kdo má doma další matlafon, který má zaregistrovaný v bance s appkou?"

Tak třeba já :-). Ale to není podstatné.

U mých bank - aktuálně HB (která už je tedy po smrti), Moneta, ČSOB se při ztrátě appky dokážete jednorázově autentikovat a zřídit si tak novou appku bez návštěvy pobočky.
Dále mám ještě FIO ale tam bohužel - v současné chvíli je třeba při ztrátě appky na pobočku.

No, zaujala mě vaše úvaha o "zaregistrovaném mobilu" u banky. Nejsem odborník, ale když jsem si naposledy pořídil nový mobil, tak jsem pouze přednal do nového SIM, tedy vlastně tel. číslo, postahoval bankovní apky, popřihlašoval se a jel jsem dál. Takže, o jaké jiné registraci mobilu píšete? :(

Tak zase tomuto postupu se já divím aji ušima. Tohle mé banky takto nemají.
Nekladu si přesnost popisu registrace mobilu u mých bank, protože mobil nestřídám každý rok.
Musím vlézt do internetového bankovnictví, novým mobilem načíst QR kód, který mi zobrazí kód k opsání do internetového bankovnictví. Myslím, že mi ještě dojde email, že se někdo pokusil zaregistrovat appku do mobilu a jestli o tom vím, tak kliknout na odkaz, že to chci, v opačném případě volat na přiložené číslo.
Pak se v bankovnictví zobrazí mobil, formou názvu výrobce, modelu, čísla, nastavím jestli chci jen v appce kontrolovat účet nebo i potvrzovat a platit.
Pak teprve se můžu přihlásit do appky. Možná tento postup jde udělat i z appky v zaregistrovaných mobilech.
Takto banka jakž takž má ověřené, že já su já a zaregistrovaný mobil je můj a pomocí něho přistupuji k účtu.
Ale ne že nainstalím, appku, přihlásím se a jedu dál. To by bylo z hlediska bezpečnosti proti zdravému rozumu, aby si banka nějak neověřila, že přes appku chce přistupovat majitel účtu.
Zkusil jsem v zaregistrovaném mobilu smazat appku a znova ji nainstalit. Ani toto neprošlo a musel jsem proces registrace mobilu u banky podstoupit celý znovu.

Samozřejmě, že potvrzování pomocí aplikace je v některém směru bezpečnější než SMS, kterou lze přeposlat, podvrhnout atd. jak bylo popsáno v článku. No ale stačí se podívat, jak problém uchopila Česká spořitelna. Měla samostatnou aplikaci pro bankovnictví (George) a pro autorizaci druhou aplikaci Klíč, která na nic jiného nesloužila. Přihlašoval jsem se do internetového bankovnictví, na PC vyplnil ID, datum narození a autorizoval přístup místo zadání kódu z SMS přes aplikaci Klíč. To samé při platbě kartou v mobilu atp.. Super, tak by to mělo vypadat.
No a co se nestalo - některá chytrá hlava vymyslela, že aplikaci klíč zruší a její funkci převezme "plnotučná" aplikace mobilního bankovnictví George, kterou mi tak "násilím" vnutí do mobilu. Výsledkem je nejen to, že potvrzení trvá podstatně déle (asi to komunikuje s jinými servery), ale hlavně nyní mám v jednom zařízení (mobilu) přístup ke všem svým účtům a s penězi mohu volně nakládat, zatímco dříve jsem používal bankovnictví v PC a aplikace Klíč v mobilu jen autorizovala přístup, tj. jsou to dvě fyzicky oddělená zařízení,.
Identifikace je založena na otisku prstu. Takže pokud usnu na veřejném místě a někdo mi vezme telefon a přiloží prst, dostane se nyní do bankovnictví a může si dělat co chce. Dříve by mu to bylo k ničemu. Kdyby alespoň šlo nastavit, že aplikace George v mobilu sloužit výhradně k autorizaci přístupu a tak byla na úrovni původního Klíče, bylo by to OK. Toto ze záhadného důvodu Česká spořitelna neumožňuje.. Za mě jednoznačně krok zpět v bezpečnosti i proti té "hloupé" SMS..

Hmm... Jaká je pravděpodobnost, že usnete někde na veřejnosti, někdo vám vytáhne odněkud z kapsy váš mobil a pak bude zkoumat, jak máte nastavený přístup do mobilu včetně toho, že bude zkoušet otisk kterého prstu máte k autorizaci? No, nevím, ale aby třeba mě nevzbudilo už to, že na mě někdo sáhne, musel bych být ožratý né na plech, ale na šrot :)

No myslím, že je to pravdepodobnejšie, než že niekto vyrobí duplikát SIM karty alebo podvrhne falošnú BTSku. Ak sa samozrejme nejedná o človeka s tak tučnými kontami, že by to stálo za cielený útok.

A musíte usínat? Stačí když Vás po setmění nebo někde v garáži obchoďáku obestoupí 2-3 mužici a než se rozkoukáte, jste bez peněz. Vůbec nemusí znát Vaše údaje z PC ani nic z IT a hackování. A věřím, že u 50% lidí ve věku 25-50 tu mobilní apku do banky najdou. Nemám nic proti pokroku, ale mít vše v mobilu/jednom zařízení je krok zpět. Nechci žádnou apku, která mi šmíruje v telefonu, potřebuje aktivní data a neustále se aktualizuje/o­travuje.