Vlákno názorů k článku Silné a jedinečné heslo je vaším klíčem, dvoufaktorová autorizace je jako štít od Roundup - Co si myslíte o tom, jak banky ruší...

  • Článek je starý, nové názory již nelze přidávat.
  • 7. 11. 2023 17:12

    Roundup

    Co si myslíte o tom, jak banky ruší dvoufaktor ověření, aby ušetřily náklady za SMS?

    Zdražují SMS, které opravdu fungují jako druhý nezávislý kanál a směřují své uživatele do mobilního bankovnictví, kde už ovšem druhý faktor není - klíč i bankovnictví jede v jediném zařízení - útočníkovi tedy stačí nakazit/napadnout pouze telefon a má komplet přístup.
    Když člověk použije PC internetbanking + kódy přes SMS, to podle mě opravdu je dvoufaktor, protože napadení vyžaduje ovládnutí dvou různých zařízení a dvou způsobů komunikace - TCP/IP, potažmo OS v PC a zároveň ještě GSM v telefonu.

    Jak je to ale s bezpečností, když všechno obstará appka v telefonu a druhý nezávislý faktor v jiném zařízení už není?

    Ano, banky ušetří za SMS, to je pravda, ale bezpečnost bankovnictví jde do kytek. A vydávají to za vylepšení (:-(

  • 8. 11. 2023 9:07

    karl59

    máte pravdu , jen chci říci že je to již jejich problém . Uvidíme po serii žalob na „vybrakovaný" účet . Mám antivir , SMS, a silné heslo , bankovnictví zásadně jen přes PC tak jsem zvědav v případě ataku co s tím naše justice (zvědav samozřejmě nejsem)

  • 8. 11. 2023 10:55

    bman

    To co píšete je zavádějící a není pravda.

    Banky (aspoň) zatím obecně dvou faktor neruší. I když některé z nich mají preferenci na mobilní bankovnitví (MB).

    Jde právě o to nahradit SMS pro dvoufaktorové ověření bankovní aplikací. Tzn. pro IB pro ověření použijete aplikaci a ne SMS. A z technického hlediska je aplikace bezpečnější než SMS.

    Pro MB se žádné SMS neposílají, teda aspoň u bank co jsem viděl. Máte prostě aplikaci kde obsluhujete svůj účet a přes ni platbu zadáváte. Platba u MB se případně ověřuje biometrií či PINem.

    Mě spíše vadí věci níže:
    1. kombinace ověřovací aplikace a MB do jednoho, tj, že nemůžete mít aplikaci jen pro ověření (Spořitelna s Georgem, Moneta)
    2. srůstání IB a MB. Tím myslím, že banka stírá separaci aplikací a aplikace provazuje. Např. ČSOB, kdy máte IB, MB a zvlášť aplikaci na ověření. Ale zavedli systém, kdy na IB naskenujete jen QR kód a jste přes mobil přihlášeni.

    Např. FIO to má řešeno odlišně od jiných bank. Máte super IB a potvrzovat můžete přes MB aplikaci, přes SMS. či oboje. Dříve nešlo třeba SMS vypnout, takže to degradovalo bezpečnost když se ověřuje přes aplikaci. Dnes to jde.

    Tu aplikaci pro MB můžete nastavit do 4 módů. Jedním z nich je jen ověřování pro IB.
    Celkově mi přijde, že FIO má největší variabilitu a každý klient si může vybrat jaké nastavení mu vyhovuje. Banka netlačí jediný spravný názor a to he dobře.

  • 8. 11. 2023 11:38

    Petr Krčmář

    Důvodem není to, aby se ušetřily náklady za SMS. Banky k tomu nutí směrnice PSD2, která označuje SMS za velmi slabý druhý faktor. Obyčejné textovky mají spoustu problémů: není možné garantovat uzamčení zařízení, SIM karta není svázaná se zařízením, SIM kartu je možné duplikovat, potvrzování je závislé na službě třetí strany (operátor), informace ze zprávy se dají opsat do cizí stránky, informace ze zprávy se dají přeposlat útočníkovi a mnoho dalších.

    Tohle je hlavní důvod, proč se od SMS obecně upouští, není to bezpečné. Tenhle způsob ověřování už deset let nedoporučuje NIST a další velké organizace. Banky jen sledují tenhle trend a přizpůsobují se novým pravidlům. Jen to má kvůli koncovým uživatelům velkou setrvačnost.

    S chybějícím druhým faktorem nemáte tak úplně pravdu. Rozlišujeme tři hlavní faktory: něco znám (heslo), něco mám (aplikace), něco jsem (otisk prstu/obličej). To poslední jste vynechal, což je chyba. Aplikace má tu výhodu, že v sobě drží unikátní tajemství pro komunikaci s bankou a navíc může zajistit ověření konkrétního uživatele, což třeba při čtení obyčejné SMS vůbec není možné.

    Díky za inspiraci, napíšu o tomhle tématu další podrobný článek na Měšec.

  • 8. 11. 2023 11:57

    bman

    V základu máte pravdu. Ale jsou uživatelé, kteří nechtějí mít vše na jednom zařízení. Dáte ruku do ohně, že MB nelze obejít a zneužít? Já ne.

    Byly tu i rozhovory (Lupa, Měšec) se zástupci bank. Jejich tvrzení, že je chyba vždy u uživatele, že dá přihlašovací údaje útočním, aka phising. Měto přišlo jako alibismus trochu, ale neviděl jsem, že by se někdo zeptal proč zavedou podporu pro FIDO2 tokeny, které toto řeší?

    Např. přihlášení jméno+heslo + FIDO2 token eliminuje phising. Pak by teoreticky nemusely ani vadit SMSky. Minimálně by to elimininovalo některé problémy a uživatel by mohli dál používat SMSky, ať k tomu maji jakýkoliv důvod.

  • 8. 11. 2023 12:45

    Petr Krčmář

    Tokeny a čtečky karet do USB už tu byly a tohle naráží na uživatelskou nepřívětivost. Já třeba FIDO2 používám, ale většina uživatelů by s tím měla velký problém, stejně jako se pořád řešily třeba bankovní certifikáty v prohlížečích. Tady narazíte na to, že uživatel není schopen dělat cokoliv složitějšího a klidně od banky uteče, pokud ho do něčeho takového bude nutit.

    Čili je potřeba najít něco jednoduchého a dostatečně bezpečného, o což se banky snaží přes dvě desítky let. Nic není dokonale bezpečného, ale vypadá to, že mobilní aplikace jsou pod dostatečnou kontrolou bank a dokáží zajistit natolik vysoké zabezpečení, že dává smysl je používat. Navíc téměř všichni uživatelé je využít dokáží a je to pro ně velmi pohodlné.

    Souhlasím s tím, že je výhoda mít oddělené autentizační zařízení. Třeba Česká spořitelna to elegantně řešila George klíčem, který sloužil jen pro potvrzování. Teď ho ruší a vše sjednocuje do jedné aplikace, jak to mají i ostatní banky. Řekl bych, že to opět narazilo na uživatele, kteří jsou schopni kvůli tomu udělat dost velký humbuk.

    Některé banky stále nabízejí úplně oddělené ověřování, mám známého, který stále používá čtečku s vloženou kartou. Musí ovšem řešit spoustu věcí jako ovladače, software, je třeba mít čtečku u sebe a zapojit ji do počítače a podobně. Pro většinu uživatelů je to nepoužitelně složité peklo, ale ta možnost u některých bank stále je. Musíte se ale smířit s tím, že většina uživatelů tohle používat nechce.

  • 9. 11. 2023 20:27

    jv

    Jenže když chce člověk rozdělit riziko a nemít všechny peníze u jedné banky, stejně se mu sejdou aplikace v jednom mobilu, a nebo se musí starat o druhý mobil.
    Kdysi to bylo skvělé se Sberbankou. Měli RSA token, ten mohl zůstat doma v trezoru.

    Jinak souhlasím s předřečníkem, nejlepší banka z té bídy je dneska FIO. Nic člověku přímo nenutí a jejich bankovnictví a aplikace se dají velice slušně přizpůsobit.

  • 12. 11. 2023 22:11

    L.

    RSA token je dobrý pro přihlašování, pro potvrzování operací je ale nevhodný, protože nevidíte, co vlastně potvrzujete. Stačí aby vám malware přepsal v odeslaném příkazu částku a cílový účet a klidně potvrdíte poslání celého zůstatku účtu do pryč.

  • 11. 11. 2023 18:24

    bman

    Petře, pokud používáte FIDO2 tokeny, tak to nemůžete srovnávat s certifikátáma, čtečkama a podobně. Ty problémy tu byly.

    Vždyť přece FIDO2 token stačí vložit do USB a potvrdit dotykem. Chrome to umí sám od sebe. Tj. umí z inicializovat token i s PINem a podporuje prací s tím.
    Takže aktivace a použití není nic složitého.

    Stačí mít srozumitelného průvodce pro aktivaci a vysvětlení.
    Ten kdo toto nezvládne, tak už mu není pomoci bohužel.

    A od bank je to alibismus to házet jen na užovatele. Pokud tvrdí, že je to převážně chyba uživatelů a že si nekontrolují URL, ale je tady technologie co tomu brání, tak je to dle mne jen pokrytectví.

    Ano, třeba by to nepoužíval každý, ale tu volbu by uživatelé měli.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).