Tak to je "úžasné". Netušil jsem, že používání internetového bankovnictví s autorizační SMS není dostatečně online. Pokud mi opravdu zpoplatní SMS, tak ruším účet. Kvůli tomu si (údajně) chytrý telefon kupovat nebudu. Na druhou stranu, pokud by šlo přihlašovat se do banky a provádět transakce úplně bez SMS (jen s číslem a heslem), tak nejsem proti.
Dvoufaktorovou autorizaci nařizuje bankám zákon. Nemusí to být zrovna heslo + SMS, může to být heslo + RSA token (mám u Sberbank, ale ta to teď postupně ruší), heslo + certifikát (mám u Komerční banky, taky to ruší, měla by stále nabízet FIO).
Požadavkům zákona varianta heslo + kód z aplikace vyhovuje, já to ale za bezpečný kanál nepovažuji, stačí kompromitace jednoho zařízení.
jen "jménem a heslem" bohužel nepůjde. Zjednodušeně jak to chápu já - je to zakázané nařízením EU - musíte mít tzv . dvoufaktorové ověření pro přístup k ůčtu - jméno+heslo (to si uživatel pamatuje/má u sebe a může být zcizeno) je jeden faktor a např. SMS, RB klíč či biometrický otisk je druhý faktor....
Vidím to tak, že rakouské kampeličce zase chybějí prachy, takže pro je nejlepší zdražit ausgerechnet alles. Jinak mně už stačilo, že před pár měsíci zavedli poplatek na platební nálepky, takže jen čekám, až mi doběhne předplacený rok a pak tradááá!
Jinak obecně - když mám 10 bank, střídám 2 mobily, tak bych se musel při udržování v provozu cca 15 neustále se aktualizujících aplikací brzy zbláznit (kdyby vůbec všechny mohly na těch 2 zařízeních chodit). Nehledě na bezpečnostní problém - ztrátu nezávislého kanálu pro potvrzování operací, která vás může připravit o peníze.
Já už u nich skončil třikrát, vždy stejný důvod tj. neadekvátní poplatky za základní služby a to jsem si u nich nikdy nic sám nezakládal. Jednou rodiči založené stavebko, koupená e-banka a koupená CiTibank.
Naposledy mi alespoň vyšli vstříc, že se mi s rušením účtů věnovali i po zavírací době pobočky.
u RB jsem ještě z doby eBanky. Po tom, co je koupila RB to jde od 10 k 0. Vše, co reklamují je vlastně lež, protože mají "skryté" odstavce. Platím jak vedení obou účtů, tak obou karet ikdyž bych neměl. Jen mě štve, že jsem si úvěr nepřevedl jinam při předčasném doplacení 1% z doplácené částky a ještě zvýšení sazby. Takže RB posílám do pr... Je to fakt zlodějna. A jestli je tahle banka nej, podle toho co reklamují, tak to bych nechtěl vidět tu "zlou" banku... ????
Já naopak oceňuji, že Raiffeisen pečuje o bezpečnost uživatelů a snaží se je převést ze zastaralých, nebezpečných a nespolehlivých SMS na moderní, bezpečnou a spolehlivou metodu.
Jaký je to rozdíl například oproti takové Fio bance, kde přes léta neustálého slibování stále nebyli schopni moderní a bezpečnou autorizaci přes mobilní klíč implementovat, takže klienti stále musí používat předpotopní SMS, nebo ještě předpotopnější certifkáty :-(
SMS je na rozdíl od aplikace nezávislý kanál, který při vypnutých datech nebo v hloupém telefonu nemá šanci nikdo napadnout. Aplikace v děravém telefonu (a to jsou všechny) je zato dobrou cestou, jak obohatit šikovné programátory. Ale kdo chce kam - pomozme mu tam. On si totiž nikdo nepřečetl ty podmínky aplikací, kde banka de facto na nic neručí, veškerá odpovědnost za bezpečnost je na uživateli.
Tolik nesmyslů v jednom odstavci, to se tedy hned tak nevidí:
- Aplikace v telefonu samozřejmě je nezávislý kanál. Pro potvrzování transakcí zcela určitě.
- SMS lze napadnout i když máte hloupý telefon. Evidentně jste vůbec nečetl příspěvek, na který reagujete.
- Všechny telefony děravé nejsou a navíc pro ohrožení aplikace je potřeba, aby byly děravé specifickým způsobem - opět jsem to popisoval v příspěvku, na který reagujete. Ostatně pokud je to "dobrou cestou, jak obohatit šikovné programátory", tak jistě dokážete dát příklady reálného úspěšného napadení bankovní aplikace, že? ;-)
- Banka za bezpečnost právě ručí, viz PSD2 směrnice. Samozřejmě nemůže ručit za to, co není v její moci a co máte pod kontrolou vy. Stejně jako neručí za to, když vám někdo přesměruje SMS.
V původní implementaci se autorizujete:
1) heslem na počítači (I-PIN)
2) SMS kódem doručeným na mobil (nezávislý kanál)
V nové implementaci se autorizujete:
1) číselným PIN na mobilu
Jelikož vám v RB sebrali heslo, veškerá autorizace probíhá v rámci mobilního telefonu, tj. vaše výkřiky o nezávislém kanálu nedávají žádný smysl. Zatím co v prvním případě musel potenciální útočník kompromitovat PC a mobil současně (2 nezávislé kanály) u nového způsobu potvrzování stačí kompromitovat jen ten mobil.
Přenos SMS není šifrován, proto je nahrazení chytrou aplikací s šifrovanou komunikací určitě správně. Jen by to banka nesměla doprasit zrušením hesla.
Telefony jsou děravé všechny, ani jedna z dominantních platforem v tomto nijak nevyčnívá. Prakticky neexistuje software, který by neměl velké množství chyb včetně zero-day exploitů.
https://www.nbcnews.com/storyline/hacking-in-america/new-way-you-ll-get-hacked-through-banking-app-your-n651571
https://www.bleepingcomputer.com/news/security/fbi-warns-of-increased-hacking-risk-if-using-mobile-banking-apps/
Plácáte nesmysly, protože se v problematice vůbec neorientujete:
1) První kanál je prohlížeč na PC, kterým se pokoušíte přihlásit do banky. Druhý kanál je spojení s mobilní aplikací. Autorizujete se (stále) na kanálu nezávislém na tom, po kterém se připojujete, tedy pokud máte napadený počítač, stejně útočník nepodepíše transakci (nebo se nepřihlásí).
2) Dosud jste se autorizoval pomocí dvou faktorů. Faktoru znalosti (heslo) a faktoru vlastnictví (vlastníte mobilní telefon, na který přijde SMS). Nově se také autorizujete pomocí dvou faktorů. Faktoru vlastnictví (vlastníte mobilní telefon s napárovanou aplikací) a faktoru znalosti (znáte PIN). Tedy bezpečnost je (plus minus) stejná.
3) Ty články jsou naprosto irelevantní k tomu co řešíme. První je čtyři roky starý a mluví o tom, jak mallware překrývá obrazovku bankovní aplikace. To dneska už není možné, protože to OS nedovolí. Druhý je úplně zmatený a plete páté přes deváté. Mluví tam o mobilních aplikacích, ale část zase vypadá, jako kdyby mluvili o přístupu přes web (překrývání stránky, zachycování a přeposílání údajů, a o tom, že pomáhá dvoufaktorová autentikace, což v kontextu bankovní aplikace nedává smysl).
Nehodlám naskakovat na vaše osobní invektivy. Takže stručně:
1) Doposud jste se autorizoval 2 na sobě nezávislými kanály: heslem na PC a jednorázovým kódem doručeným na mobil. Nově se autorizujete jedním kanálem: PIN kódem zadaným v mobilu. Tvrdit, že jde v tomto případě rovněž o autorizaci 2 nezávislými kanály, vyžaduje notnou dávku fantazie a neznalosti významu slova "nezávislý". Nezávislý na druhé (paralelní) autentizaci, která nově s RB klíčem neprobíhá? V podstatě je to úplně směšné.
Pro úplně natvrdlé to zopakuji - původní řešení vyžadovalo, aby útočník úspěšně prolomil PC a mobil současně. U nového řešení postačí napadení mobilu. 2>1. Na to nepotřebujete kalkulačku, abyste si to spočítal..
2) Tímto se celá vaše komická argumentace vysvětluje. Pletete si "dvoufaktorovou autentizaci" s "ověřením dvěma nezávislými kanály", což jsou dva zcela odlišné pojmy.
Ještě dodám, že nejbezpečnější, co bylo za eBanky a co dle mého dodnes aplikace nepřekonaly byl simToolkit. Takže heslo na PC + heslo na mobilu pro zobrazení SMS.
Samozřejmě k tomu ještě heslo k mobilu. Takže dřív se teoreticky dal pro eBanku použít nezabezpečený počítač v internetové kavárně a i když vám nějakým programem sledovali klávesnici a zjistili tak heslo a cestou ukradli mobil z kapsy, stejně se nedostali přes PIN do SimToolkitu.
To padlo ve chvíli kdy donutili přejít na normální SMS, resp. do nových simkaret přestali simtoolkit nahrávat. Kdo má ještě starou simkartu s touhle autorizací je podle mě na tom výrazně lépe, než věřit nějaké RB aplikaci. I pro ty ale dojde od září ke zdražení.
Banka mě tak vlastně cenou nutí přejít k horšímu zabezpečení. Ještě zvážím, jestli akceptuju 19 kč měsíčně, nebo z hlediska principu prostě zruším účet a přejdu někam, kde si mě umí jako klienta vážit a poskytovat mi zabezpečení na nejvyšší úrovni.
Bohužel k původnímu způsobu eKonta dnes nevidím moc rozumný ekvivalent, všechny zabezpečení jsou jen horší o jednu úroveň.
Všude se jen píše, že jsou SMS nebezpečné, ale proč to tak je a v čem je aplikace bezpečnější, to nikde není. To co jsem někde četl, to připomíná spíš začarovaný kruh: SMS jsou nebezpečné na "chytrých" mobilech, tak chtějí, abych přestal používat svůj mobil a pořídil si ten "chytrý" a na něm právě z důvodu bezpečnosti používal aplikaci.
Ona je to poměrně odborná záležitost týkající se zabezpečení mobilní sítě a OS telefonů. Zkusím to velmi přibližně a zjednodušeně vysvětlit:
Jednak SMS nejsou nebezpečné jen na "chytrých" mobilech. Celé SMS jsou dobastelné do GSM protokolu a chodí po mobilní síti v otevřeném tvaru. Samotný rádiový signál je sice šifrovaný, nicméně ta šifra byla už dávno prolomena. A hlavně i SS7 protokol, kterým spolu ústředny komunikují je nezabezpečený. Takže kterýkoli operátor z celého světa může říct "přihlásil se ke mně tenhle telefon, posílej mi jeho SMS" a síť to bude dělat. Operátoři se tomu sice brání nějakými heuristikami, blacklisty atp., ale jsou to jen pokusy o ucpávání sítě děravé jak cedník a úspěšné útoky na bankovní účty tímto přesměrováním už byly zaznamenány. Netřeba dodávat, že zde váš telefon vůbec nehraje roli, můžete mít sebehloupější, stejně budete zranitelný.
Pak je tu samozřejmě možnost přesměrování / přeposlání SMS při vyhackování vašeho telefonu. Ano, zde vám "hloupý" telefon pomůže, ale nic není stoprocentní a hlavně banka nemůže spoléhat na to, že máte "hloupý" telefon.
No a v neposlední řadě je tu sociální faktor, útoky typu "omylem jsem si poslal kód na tvůj telefon, můžeš mi ho, prosím, přeposlat" už tu taky byly a setkaly se s částečným úspěchem.
SMS byly fajn před patnácti lety, ale teď už jsou za zenitem a uživatelé jejich rizikovost často dost podceňují. A naopak přeceňují možnosti útoku na bankovní aplikaci v "chytrém" telefonu. Často si představují, že stačí, aby omylem spustili nějaký mallware nebo byla v OS malá chybka a už budou mít všechny peníze pryč. Ale to není pravda.
OS telefonu jednotlivé aplikace odděluje (sandboxuje) a data jdou až do aplikace šifrována silnou šifrou, tedy ani odposlouchávání síťového provozu útočníkovi nepomůže. Jediná šance je, když by se mallware dostal na telefon s tak velkou zranitelností, která by mu umožnila překonat oddělení mezi aplikacemi a navíc by mallware musel být uzpůsobený na konkrétní aplikaci. Pak by tady byla určitá šance na úspěch. Ale zatím jsem úspěšný útok tímto způsobem nezaznamenal.
A další faktor je, že u mobilní aplikace má banka kompletně pod kontrolou šifrování a také aplikace sama se může bránit (když detekuje nějakou nepravost), může odmítnout fungovat na telefonu se zastaralým / děravým systémem, atp. U SMS nemá pod kontrolou nic, ani dokonce vůbec netuší, jak je (detailně) zabezpečená mobilní síť a váš telefon.
Naprosto bezpečná aplikace na naprosto děravém telefonu? Stačí se podívat na ty seznamy kritických chyb, nehledě na to, že na naprostou většinu telefonů chodí bezpečnostní aktualizace možná pár měsíců po zakoupení, na některé ani to ne, ale používají se pak roky bez záplatování.
Ale OK, jestli tomu banka tak věří, tak ať to dá do podmínek, že nahradí veškeré škody, které vznikly případným napadením té aplikace. Co jsem se ale zatím do podmínek díval, tak vy jste povinni zajistit bezpečnost telefonu,, aktualizace, antivir a nevím co ještě a ručíte za bezpečnost svého mobilu, zatímco banka v podstatě neručí vůbec za nic. 'A o prachy tady jde.
Ne že bych si dělal iluze o bezpečnosti SMS, ale vy zase silně podceňujete otázku bezpečnosti smartphone aplikace. Zkuste si třeba odpovědět na otázku, jak vlastně banka může poznat, že aplikace, se kterou komunikuje, je opravdu ta "její" a ne nějaká mírně upravená kopie (třeba tak, že místo ověření otisku prstu prostě jen řekne, že to udělala). Když to řeknu jednoduše: ověřování biometrik "na dálku" (po síti) je už z principu nesmysl a stavět na tom bezpečnost přístupu k bankovnímu účtu je nezodpovědnost.
A samozřejmě se také zapomíná, že SMS a smartphone aplikace nejsou zdaleka jediné možnosti, jak druhý faktor implementovat. Je to trochu paradox... jak píše Patrik Chrz, banky běžně nabízely různé formy bezpečné autentizace v době, kdy to v praxi vyžadovalo zapůjčení speciálního hardware a použití jednoho konkrétního OS, jednoho konkrétního prohlížeče a jedné konkrétní verze Javy (to v lepším případě, někdy rovnou ActiveX); dnes, kdy jsou autentizační klíče relativně levné, snadno dostupné a použitelné prakticky všude, tuto možnost opouštějí i banky, které to dosud neudělaly. :-(
> Zkuste si třeba odpovědět na otázku, jak vlastně banka může poznat, že aplikace,
> se kterou komunikuje, je opravdu ta "její" a ne nějaká mírně upravená kopie (třeba
> tak, že místo ověření otisku prstu prostě jen řekne, že to udělala).
Bože, vy si asi opravdu myslíte, že vývojáři jsou tak hloupí, že je tohle nenapadlo, zatímco vy jste hned na první pohled zpozoroval problém. No, sebevědomí vám nechybí, to musím přiznat.
Používá se na to kryptografie, samozřejmě. Otisky neověřuje aplikace ale OS, který v případě úspěchu podepíše transakci (login je také transakce) dobře schovaným privátním klíčem. Prakticky jediný realizovatelný vektor útoku, který si dovedu představit, je nějak přesvědčit uživatele aby nainstaloval "novou" falešnou bankovní aplikaci a nově ji spárovat. Což vyžaduje jeho intenzivní spolupráci. Zhruba jako útok "omylem jsem si poslal SMS kód na tvůj telefon, můžeš mi ho přeposlat".
Certifikáty přes Javu / ActiveX bych radši nezmiňoval, KB si s tím užila svoje a dobře ví, proč to už nikdy nechce vidět :-D
Co se týče dalších možností, tak telegraficky:
- Tokeny generující OTP, například klasický RSA token: Zas tak levné to není. Velká nevýhoda je, že nevidíte, co podepisujete. Klidně vám může napadený prohlížeč zobrazit, že posíláte transakci Petrovi a ve skutečnosti to bude transakce Pavlovi. Plus buď omezíte možnost podepsat kódem jednu transakci, takže uživatel bude muset chvíli čekat, než může zadat další, nebo se dá udělat útok s podepsáním jiné transakce odposlechnutým kódem.
- Tokeny kde se zadávají údaje a-la starý eBank token: Hodně bezpečné, ale velmi, velmi nepohodlné. Tohle jsou schopni používat pouze skalní paranoici a těch je tak málo, že se to nikomu nevyplatí řešit.
- Tokeny se spojením do banky (WiFi / GSM), transakce se jen potvrzuje. Prakticky vlastně mobil, na kterém běží jen ta bankovní aplikace. Nevím, že by to někdo používal, je to dost drahé, a nešikovné (další zařízení), pokud by to mělo fungovat i mimo Wi-Fi, tak musí mít GSM datovou kartu...
- SMS toolkit: Bezpečnostně docela slušná možnost. Bohužel relativně nepohodlná (nutnost chodit do banky kvůli párování, přepisování kódu, než se k němu člověk vůbec prokliká...). A také dost novějších telefonů už SMS toolkit neumí, protože jeho jediné rozumné využití jsou tyhle bankovní SMS.
- Certifikáty na počítači: Pokud jsou jen na disku (není na ně specializované zařízení, které zvyšuje cenu), tak nejsou moc bezpečné. Problematicky přenosné, nutnost aktualizací atp.
Proč výše zmiňuji pohodlnost: Člověk je tvor pohodlný. Lidí, kteří jsou ochotni obětovat pohodlí za trochu bezpečnosti je minimum. Pokud banka bude nabízet nepohodlnou cestu autorizace, budou jí lidé utíkat jinam, kde to tak nepohodlné nebude. Absolutní bezpečnost neexistuje, celé je to o vyvážení rizika a nákladů / pohodlnosti, nejde říct "nejbezpečnější je nejlepší". I proto vznikla PSD2 směrnice, která stanovuje nějaký základ bezpečnosti, aby se banky moc "nepodstřelovaly" v oblasti bezpečnosti.
Bože, vy si asi opravdu myslíte, že vývojáři jsou tak hloupí, že je tohle nenapadlo, zatímco vy jste hned na první pohled zpozoroval problém. No, sebevědomí vám nechybí, to musím přiznat.
Podle přezíravého tónu a nezadržitelného proudu urážek, kterým se tu prezentujete, vašemu sebevědomí to moje nesahá ani po kotníky.
Otisky neověřuje aplikace ale OS, který v případě úspěchu podepíše transakci (login je také transakce) dobře schovaným privátním klíčem.
A v OS snad nikdy žádná bezpečnostní díra nebyla? Tak kde se pořád berou ta CVE, která v práci neustále řešíme?
Certifikáty přes Javu / ActiveX bych radši nezmiňoval, KB si s tím užila svoje a dobře ví, proč to už nikdy nechce vidět
Jenže to už právě dnes vůbec není potřeba. Proto jsem mluvil o paradoxu, že v době, kdy bylo potřeba používat takhle problematické nástroje, banky tuto možnost nabízely, zatímco dnes, kdy to jde bez nich, od toho upouštějí.
Pokud banka bude nabízet nepohodlnou cestu autorizace, budou jí lidé utíkat jinam, kde to tak nepohodlné nebude.
Když banka ke dvěma možnostem, které nabízí teď, nabídne navíc ještě třetí alternativu, začnou jí najednou hromadně utíkat klienti ke konkurenci jen proto, že tu třetí možnost nechtějí používat? To myslíte vážně?
Zajímavé je, že přestože RB zpoplatnila obyčejné autorizační SMSky, tak šifrované autorizační zprávy, zasílané přes SIM Toolkit, by měly být stále zdarma (alespoň dle dnešní informace z infolinky RB). A ani na ně není potřeba chytrý telefon, natož připojení k Internetu.
Stačí mít SIM kartu podporující SIM toolkit, což je např. u Vodafone tzv. duální SIM karta, zdarma (https://www.vodafone.cz/uzitecne-odkazy/slovnik-pojmu/dualni-sim-karta/) a v bance si jí nechat aktivovat a nenechat se odbýt "chytrými řečmi". Sám šifrované autorizační zprávy od RB používám přes 10 let s různými mobily i operátory a vždy to bylo OK, a rozhodně bezpečnější než plain text SMS. Popravdě SIM Toolkit je poslední věc, která mě u RB drží, jinak bych už pravděpodobně utekl jinam.
Je mi jasné, že se jedná o velice starou technologii, kterou pro přístup do banky používá v současné době jen minimum lidí, ale to je z pohledu bezpečnosti spíše výhoda. Jen škoda, že banky sami tuto technologii spíše pohřbývají.
Ale z pohledu "běžného" uživatele se zadává heslo navíc, musí se více klikat, což je přece "komplikovanější" a najíc se jedná o "zastaralou technologii", tak proč jí používat ... když existuje něco "moderního", jednodušího ... a určitě bezpečnějšího :-(.