Názory k článku George klíč končí, bankovnictví George Česko už v emulaci nespustíte

A jednak asi nejjednoduchsi vedeni euro uctu.

Jak "nestojí vůbec nic"? Krom udržování infrastruktury musí platit nejméne ~1 CZK za SMS. A cena je nastavená tak, aby lidi motivovala přejít na bezpečnější řešení.

A to beres kde ze se plati 1Kc za sms? I jako franta z ulice dostanu neomezeny sms za kilo (ne-li za min) mesicne. Jako firma mam takovych simek nekolik set. Neplati se za ne nic. Op chce svych XkKc mesicne a je mu uplne volny jestli tech SMS poslu mililon nebo deset.

Jen pokud tech SMS budu posilat ty mililony, tak mi reknou at to posilam pres SMS gw a ne pres simky. Mam simky ktery odesilaji 30k mesicne. Nikomu to nevadi.

Kolik milionu (v tech milionech SMS) asi tak rocne stoji script generujici rekneme 50 znaku per sms? Aha ... nic. Nula je zcela presna aproximace.

Banky naopak chteji aby jejich zakaznici pouzivali reseni ktere je bezpecnostne radove nikoli o fous, horsi.

Tak se podívej do obchodních podmínek, co to přesně znamená "neomezené".

Jestli ti operátor toleruje dlouhodobě 30k za měsíc, tak máš štěstí, ale na to banka spoléhat nemůže.

Řádově horší než SMS? To je "žádné zabezpečení", ne? :-D

Jestli ti operátor toleruje dlouhodobě 30k za měsíc, tak máš štěstí, ale na to banka spoléhat nemůže.

To sice nemůže, ale že by banku vyšla jedna SMS na korunu (nebo i jen něco, co by se jí blížilo), to si, doufám, nalhávat nebudeme.

"Tak se podívej do obchodních podmínek"

Pise osoba rozumu mdleho. Ja tech SMS muzu poslat klidne mililardu a klidne denne, a porad me to nebude stat ani jedinou korunu navic. Tys asi vzivote nevidel zadnou smlouvu ani u pidifirmy natoz u nejakyho korporatu.

Tak si to zkuste :-) U ruzovek to byl nedavno "problem" i s deseti tisicema zprav. A to neslo o zadny hromadny spam, ale zpravy posilane na par urcenych cisel v ramci firmy.

Kdyby měly banky problém s cenou SMS, tak neposílají SMS za bagatelní částky. Například mBank posílá SMS kvůli 3D secure i když si kupuju lístek na vlak za 50 Kč nebo platím pár korun převodem. Fio to má rozumně, asi do 1000 Kč od posledního ověření se neověřuje.

Mám dojem, že to mbank nějak vyladil. Už se mi několikrát stalo, že jsem platil nějakou prkotinu online a chvíli potom něco dražšího (ze stejného prohlížeče a ip) a u té druhé částky ověření nechtěl nikdo.
Když jsme u té mBanky, tak třeba v mateřském polsku je možné mít samostatnou aplikaci jako klíč, ale v Česku musí mít člověk celé bankovnictví.

ad nejméně 1CZK za SMS - [citation needed].

Představa, že banky (a další) posílají SMSky přes koupené SIMky, navíc s tarifem pro koncáky, je poněkud naivní a nesprávná.

Útočník nemusí ovládat mobil - úplně stačí, když ovládá jeho uživatele.
Je to jednodušší, levnější, a vyjde to nastejno.

Nikoli ... vicefaktor prave resi (pokud je spravne pouzivan) kompromitaci jednoho (nebo vice) jednotlivych faktoru. Proto je nesmysl pouzivat jedno zarizeni, protoze tim se vicefaktor defakto rusi (to nemusi platit vzdy, ale pro bankovni aplikace to plati bezezbytku).

Takze pokdu vezmu tu "nebezpecnou" SMS, tak dotycny potrebuje bud heslo nebo pristup k PC, ale zaroven potrebuje pristup k telefonu, coz uz neni tak uplne jednoduche zaridit zaroven.

A ve skutecnosti je mnohem jednodussi napsat "miluju te, posli mi milion".

V pripade telefonu s bankovnictvim mi staci, kdyz ten telefon, klidne i jen docasne, seberu (hospoda idealni misto, byl sem na vikendove akci, tech bezprizornich telefonu se po stolech valely desitky). Vyluxuju pripojeny ucet (otazka 10s max), a nez to dotycny zjisti ... jsou prachy v jizni americe.

Ano, kompromitaci faktorů vícefaktor řeší. Ale já jsem měl na mysli kompromitaci toho aktivního zařízení, před ním vícefaktor nechrání.

Mimochodem z tohoto hlediska není mezi aplikacemi Klíč a Česko rozdíl. Obě umožňují plnohodnotné přihlášení k účtu. Všechny faktory (otisk, PIN a tajemství v aplikaci) se totiž setkávají už v telefonu.

Nektery vicefaktor resi i kompromitaci aktivniho zarizeni. Ne kazdy.

Uz treba SMS u jedne banky ~15 let zpet byla ve forme "Prevod z uctu X na ucet Y, suma Z Kc, VS 1234, overovaci kod 9876". Jina banka ma stale SMS jako "Banka XY, kod na prevod 9876", takze se to stale nebere za samozrejmost.

V push notifikaci s potvrzenim MFA bezne vidim, o co zadam, z jake IP, hostname. Kdyz jsou tam vsechny potrebne info, tak to funguje i proti aktivni manipulaci. Utocnik treba vidi muj monitor, muze mi ho menit, ale ja mam dalsi faktor.

12. 12. 2023, 19:37 editováno autorem komentáře

důvod vzniku vícefaktoru je obrana proti dívající se třetí straně (odposlech na cestě nebo třeba pohled na displey/monitor). Tak to vzniklo a tak se to i používá.

Jak se nám to ukazuje v praxi, pokud je v domácí síti nějaké zařízení kompromitované a pod kontrolou útočníka, netrvá dlouho a je pod kontrolou celá domácí síť, v takových vícefaktor bezpečnost nezvyšuje, jen její pocit. Na účet potřebuješ přistupovat i na cestách, běžně budeš nosit obě zařízení s sebou, to proti krádeži také moc nechrání, že.

Obrana proti krádeže a zneužití zařízení je právě v biometrickém ověření osoby, zadávání pinu (s zamčením zařízení nebo přímo jeho smazáním).

> odposlech na cestě

Což v dnešní době (TLS) v podstatě vyžaduje kompromitovaný koncový bod.

> nebo třeba pohled na displey/monitor

Tam se heslo neukazuje, myslíte pohled na klávesnici, a jako jo, ale to řeší password manager nebo přihlašování certifikátem.

> důvod vzniku vícefaktoru je obrana proti dívající se třetí straně

Podle mě byl důvod vzniku vícefaktoru ochrana před zavirovanými klientskými windows. A i dneska to tak chápu - osobně kompromitaci svého počítače (příp. mobilu) považuju za největší riziko.

> Jak se nám to ukazuje v praxi, pokud je v domácí síti nějaké zařízení kompromitované a pod kontrolou útočníka, netrvá dlouho a je pod kontrolou celá domácí síť, v takových vícefaktor bezpečnost nezvyšuje, jen její pocit.

Jak tohle funguje? Co znamená „pod kontrolou celá domácí síť“ - jako že to infikuje počítače a mobily? Proč to jde z lokální sítě (=v práci, veřejné wifi…) a ne přes internet?

může jít o MitM (podvržení serveru, únos spojení), stejně tak může dojít k úniku po či před terminaci TLS spojení (na straně serveru od brány k aplikaci, na straně klienta třeba přes plugin v prohlížeči).

U dotekových obrazovek vidíš stisknuté písmeno, ale ano je to myšleno i na klávesnice.

Už je to pár desítek let, o důvodu se hádat nebudu. To co říkám, říkám ze své paměti a mohu se plést. Každopádně kompromitace Windows je pořád vlastně poslouchání na cestě.

Ano, často*, když najdeš v domácí síti (či obecně v lokální síti) jedno infikované zařízení, málokdy je tam jediné (dokud vir vyhodil velkou obrazovku a pochlubil se, že jsi hacked, šlo to detekovat snadno, dnes mohu vyvozovat pouze z vzorku od zaměstnanců, který se zkoumá a ty nikdy nedokážeš jednoznačně říct, že zařízení nemáš napadené). Dnešní záškodnický SW se rád rozšiřuje a skenuje okolí. Ve firemním prostředí se na to snáz nasazuje mitigace (FW, kontrola provozu, omezený uživatel atd.), doma naopak tahle hygiena zpravidla neexistuje, všechna zařízení jsou na všech portech přímo přístupná jako jedna velká mesh síť bez jediného prvku, který by vnitřní provoz kontroloval (vždyť i Turris, který slibuje bezpečnost jí vlastně řeší pouze na perimetru a už ne uvnitř).

*Vyvozuji to ze statistik firemních SIEM, kde se monitoruje provoz na klientských stanicích, zajímavá jsou právě data, když jsou zaměstnanci na homeoffice. Jen pro upřesnění, nemonitoruje se obsah, ale metadata.

K tomu převodu a 2FA. Lze využít nepozornost, při zadávání příkazu změníš číslo účtu, kam peníze míří, necháš VS i částku. Takovéhle útoky se objevují a jsou nulovou úspěšnost rozhodně nemají. Ukradení peněz je jedna věc, druhá je, že mají kompletní přístup k tvému účtu, z těch dat mohou sestavit cílený útok přímo na tebe, což je něco, kde očekáváme výrazný růst v následujících letech, zatím se to objevuje vyjímečně.

> Pokud je váš počítač kompromitovaný, dvoufaktor vám nepomůže, útočník si počká, až se mu přihlásíte.

Já dvoufaktor chápu tak, že na nezávislém zařízení potvrdím "převod částky 1024 Kč na účet 304452700/0300". Alespoň tak to bylo celou dobu co si pamatuju (~15 let). Většinou tato informace přišla SMS, některé banky ti daly přímo nějaký typ donglu s displejem kde se tohle ukazovalo.

> některé banky ti daly přímo nějaký typ donglu s displejem kde se tohle ukazovalo.

To by mě zajímalo, o tom jsem nikdy neslyšel. Sběrbaňk dávala RSA token, ale to byl offline OTP.

Hmm, od známých jsem slyšel že ebanka, ale nedokážu nic na internetu najít.

V Českém prostředí se tomu říkalo autorizační kalkulátor, nabízela to třeba ING, ČS, HVB, Ebanka (Rajfka už nikoliv, ta po odkoupení Ebanky zavedla svůj internetový elektronický klíč, což byl SW založený na PKI).

Primárně to bylo určeno pro firemní zákazníky, zařízení bylo vyloženě offline a bylo potřeba údaje o transakci do něho přepsat. Výhoda byla, že to nebylo vázáno na osobu, takže účetní a majitel dostali svůj kalkulátor a ty mohli potvrzovat transakce, práce s tím ale byla úmorná. Postupně banky přešli na dávkové zpracování a potvrzení transakcí přes elektronický podpis, což šlo snadněji napojit na účetní SW.

Ebanka byla v tomhle dost pokroková, implementovali jsme tam kdysi právě jako jedni z prvních i SIM Toolkit pro posílání šifrovaných potvrzovacích kódů.

Úvodní obrázek na české wiki https://cs.wikipedia.org/wiki/Internetov%C3%A9_bankovnictv%C3%AD ukazuje jak takové zařízení vypadalo.

Já bych řekl, že klíč od eBanky v podstatě zabil onen audit, který jim zakázal použít jestli si dobře pamatuju tu optickou čtečku z blikání obrazovky na přenos detailu transakce.

Přepsat autorizační /certifikační kód bylo OK, ale přepisovat čísla účtu (ve správném tvaru!) etc. opruz non plus ultra.

Zajímavé, proč jim to zakázali? Dneska se podobná věc (načtení QR kódu) používá pro bezpečné párování běžně.

párování možná, ale ověřování je problém (všimni si třeba u KB, pro přihlášení použiji svůj QR kód bez problémů, ale ověření transakce již je bez kódu a pouze přes komunikaci s je. Cokoliv je totiž zobrazeno na monitoru a zejména v obsahu internetové stránky může být jiným programem pozměněno, uživatel pak nemá jak ověřit, že se údaje přenesly shodně a úplně. Řešili se i takové věci jako použití více zařízení v jedné místnosti a vzájemné ovlivňování. Bavíme se tady o době, kdy většina měla stolní počítač bez bluetooth a wifi, usb nemělo tolik generic ovladačů v systému a prohlížeče se na usb mohli dostat pouze omezeně nebo vůbec.

Ano, neschopnost najít široce použitelný bezpečný přenos údajů do kalkulátoru ve spojení s náklady na vývoj a certifikace to celé nejspíš zabil.

> Cokoliv je totiž zobrazeno na monitoru a zejména v obsahu internetové stránky může být jiným programem pozměněno, uživatel pak nemá jak ověřit, že se údaje přenesly shodně a úplně.

Ale to je přece doslova pointa toho, proč se to řešení s kalkulátorem používá…

a když ti někdo podhodí jiný QR kód (či blikající čtvereček), abys mu podepsal jinou transakci, kterou na pozadí vytvořil? Ty na to řešení spoléháš a pokud se ti tam přenesou podvržené informace, je to velký problém.

Problém je, že ten přenos prostě není dostatečně bezpečný. Ano, sice obsah v QR kódu můžeš podepsat (checksumovat), ale problém byla distribuce klíčů do offline kalkulačky, zajistit jejich aktualizaci byl pak docela problém.

> a když ti někdo podhodí jiný QR kód (či blikající čtvereček), abys mu podepsal jinou transakci, kterou na pozadí vytvořil?

To zařízení zobrazuje informace o transakci, kterou potvrzuješ, a potvrzuješ to na tom zařízení (na té kalkulačce).

Možná našemu nedorozumění přispívá, že jsem nepochopil větu s překlepem/chybějící závorkou: "(všimni si třeba u KB, pro přihlášení použiji svůj QR kód bez problémů, ale ověření transakce již je bez kódu a pouze přes komunikaci s je"

To sice ano, ale pokud se clověk tupě přizpůsobí diktátu jiných, tak kde to skončí?

Naopak. Je potřeba ukazovat na absurditu takových věcí. Proč si musím instalovat aplikaci do telefonu, abych se mohl vymočit na veřejných záchodcích (ad absurdum)?

Digitalizace má smysl. Ano. Ale má sloužit lidem ku prospěchu. Ne, že lidé budou otroci této digitalizace. To je špatně.

V takovem Norsku jsou mista, kde potrebujete kartu s NFC (nebo ten mobil s NFC a platebni aplikaci), abyste mohl zajit na ten verejny zachodek svou potrebu vykonat. Ale ve finale to muze byt lepsi reseni, nez lovit po kapsach drobaky a pripadne resit kde rozmenit, pokud je tam automat pouze na mince... v tom Norsku dnes narazite i na podniky, kde berou uz jen karty - u nas vec naprosto nemyslitelna :-) Ja treba dodnes nemel v ruce norskou korunu - a to jsem tam byl uz 4x vzdy na nekolik tydnu. V Bavorsku na zachodcich to dnes mate podobne - je jednodussi pipnout pomoci NFC, nez lovit par mince po kapsach. A rozhodne to neni o zadnem digitalnim otroctvi - ve finale toto usnadnilo zivot obema stranam. A soukromi resi treba i diverzita, platebnich nastroju pouzitelnych z mobilu je vcelku dost. Clovek prece nemusi platit jen jednou kartou :-)

Něco reálně život usnadňuje, něco nikoliv a je to jen takové zdání. To je celé. Smysl má obecně to, co umožňuje řešit zbytečné věci obecně jednodušeji.

Když mám doma automatická vrata, je sice "jendoduché" zmáčknout nějaké tlačítko na ovladači, ale jen potud, pokud celá ta věc funguje a nemusím co dva roky řešit servis (o tom, že je to hnusné a implementačně celkem složité ani nemluvě). Obyčejná vrata postavím a za sto let řeším, že už by asi potřebovala vyměnit. To je zrovna skvělý příklad. Naopak než neustále řešit drobné, co se navíc stejně jen neustále ztrácí, je lepší použít to NFC.

Ale, proboha, snad nemyslíte vážně, že mi soukromí zajistí to, že budu platit dvěma (nebo i více) kartami na mé jméno a nikoliv jen jednou. To byste opravdu pobavil. Hotovost je v tomhle ohledu hotovost i kdyý já osobně touhle paranoiou a obsesí (zatím?) netrpím.

I klasicka vrata musite obcas natrit, obcas promazat panty. Ten servis tam proste je taky a pokud se zanedba, tak se ty vrata casem taky rozpadnou, hur se budou otevirat atd. A to same plati i u tech automatickych vrat - a ten servis neni slozity, vlastne je to take jen o promazani par mist. To ze na to lidi kaslou a pak breci, ze kazde dva roky se neco poroucha neni vada vrat... :-)

Jmeno opravdu neni parujici identifikator, lidi se shodnym jmenem i primenim beha po svete hromada, ledaze byste mel smulu na exoticke jmeno a prijmeni (neco aka pomsta od rodicu ve snaze se odlisit). Takze ve vysledku, kdyz se pokusite to pres to jmeno propojit, mate z toho bramboracku plnou false positives. Zvlast kdyz budete treba takovy Novak...

Jméno ale není jediná informace, podle které to můžou párovat. Kolik Frantů Nováků bude pravidelně nakupovat třeba v jednom konkrétním obchodě na sídlišti? I ti Novákové půjdou spárovat s přijatelnou chybovostí bez větší námahy.
Řekl bych, že pro normálního člověka co není paranoik nebo agent je reálnější prostě předpokládat, že jeho platby moc anonymní nejsou.

Skoro bych se vsadil, že ty naše vrata nikdo nemazal minimálně pár desítek let. A nátěr je na nich původní, to zase vím podle původní barevnosti interiéru z první vrstvy malby.

Mám na domě původní dřevěná vrata z roku 1908, tj. přes 100 let stará a loni jsem těch "původních nátěrů" opaloval několik vrstev. Těch vrstev tam bylo tolik, že většina původně pravoúhlých hran se stalo výrazně kulatých. Spíše než znovu natření jsem prováděl prakticky rekonstrukci do původního stavu. Pokud to není ve stínu, tak barva vydrží souvislá cca 10 let. Po cca 20 letech bude na výrazné části povrchu prýskat a nebude už plnit původní ochranou funkci. A troufám si tvrdit že 100 letech nebude po nějaké barvě ani památky.

Na našich vratech je zcela jednoznačně jen jeden. Ano, již velmi řádně oprýskaný. Ale rozhodně není náhoda, že jeho už velice vybledlá barva se zcela shoduje s barevností interiéru pod asi pěti vrstvami malby hned na omítce s výmalbou charakteristickou pro začátek dvacátého století.

Co si troufáte tvrdit netuší a čím to tehdy natřeli taky netuším, ale evidentně to tam drželo dost důkladně.

I klasicka vrata musite obcas natrit, obcas promazat panty. Ten servis tam proste je taky a pokud se zanedba, tak se ty vrata casem taky rozpadnou, hur se budou otevirat atd.

Ale to samozřejmě. Jenže u těch automatických vrat budeš řešti úplně to samé a navíc ještě desítky dalších věcí, které ve výsledku obtěžují více než to, že musím vrata ručně otevřít.

Dany, ty máš úžasnou schopnost ignorovat očividné jádro sdělení a motat se na nepodstatných detailech okolo. Můžeš s tím, prosím, přestat a více přemýšlet nad tím, co ostatní sdělují? Pomůže to pročistit a zjednodušit každou diskuzi s Tebou. Děkuji!

" navíc ještě desítky dalších věcí"

Bylo nebylo, za devaterymi vrsky a potucky ...

Si jeden pribuzny poridil automaticky otevirana vjezdova vrata. Preci nebude travit tech 30s tim, ze by 2x denne vystoupil z auta a vrata otevrel a zavrel.

I jak se investovati nemalou sumu do vymeny vrat a jejich automatizace. Prvni nemile zjisteni spocivalo ve tom, ze mechanismus je masivni a pohopitelne nalezite hnusna ocelova konstrukce, ktera bude v dane lokalite jak pest na oko. Ale nenechal se odraditi drobnym problemem.

Vybetonoval betony, nainstaloval ocelove nosniky ... rozkopal travniky kvuli dotazeni kabelazi ... a mila vrata uspesne zprovoznil. Dalsi nemile zjisteni nastalo v okamzik, kdy prestali ve dratech kolovati nabiti trpaslici, a zjistilo se, ze manualni otevreni vrat vyzaduje pohon tri statnych osetrovatelu (na uzavreni nastacili ani 4, takze se akce odlozila na navrat trpasliku)

Casem se zacaly objevovati a i dalsi (ne)duhy. Napriklad ten, ze se zdalo byti ukazati, ze ani ten 2m hluboko zabetonovany nostnik vrata ve skutecnosti neunese a casem bude ohnut nebo vyvracen nebot dynamicke razy.

Ovsem ranu do vazu vratum zasadilo jedno vadne cidlo v cene cca 10Kc, a skoda na karoserii za cca 100kKc.

At zije automatizace!

Sam takove vrata provozuji spoustu let :-) To, ze z nekterych veci milovnici veci ze stoleti pary delaji silenou kovbojku jeste neznamena, ze to je v praxi takovy problem. Zas tak obtezujici to neni - kdyz je to udelane poradne.

To, co popisuje není kovbojka ale celkem reálný příběh, řekl bych. Ostatně vaše vrata vám nikdo nebere, ale ten, kdo je zamilovaný jste tu vy, my normálně používáme jednoduchou funkční technologii, která je tu s námi stovky let, Danny ;-)

Automaticke dvere vymyslel v prvnim stoleti naseho letopoctu uz Heron Alexandrijsky, znamy tez jako Mechanikos. Takze nemate pravdu, ze by tu s nama automaticke dvere nebyly stovky let... :-) Ta technologie tady je s nami uz stovky let zrovnatak.

Ano, ale Heron mal na to personal; pochybujem, ze by dnesni clenovia verejnosti boli ochotni zivit a satit niekoho, kto by im relativne intelignentne otvaral a zatvaral dvere. Heron s tym problem nemal ;)

Ja teda nevim jak vy, ale ja tam zadne lidi nevidim :-)

To ze trpis slepotou neznamena, ze tam nekdo nemusi zapalovat a zhasinat teh ohen, a latence bude v desitkach minut.

Pikolik u dveri bude fungovat radove lip.

Jo, platit za všechno kartou je reálné. Ale jde to ruku v ruce s tím, že ta karta musí být dostupná pro kohokoliv. A tady už jsme i u regulací bank, kde zrovna u norů nepochybuju, že si to hlídají.
Možnost, že prostě zajdu do banky (a potřebuju jen občanku co stejně mám), založím si účet zadarmo (který se platí z průtoku peněz) a nafasuju k němu kartu je až směšně jednoduchá, levná a bezúdržbová v porovnání s jakýmkoliv smartphonem.

Jestli diverzita nebo víc karet řeší soukromí dostatečně je otázka. Tohle je bohužel jedna z oblastí, kde buď nevíte nebo brečíte. Digitální stopa vás může dohnat po letech, v situaci, která vás teď ani nenapadne.

98% ... korelace na zaklade "anonymizovanych" dat ziskanych od obchodniku (ti za to dostanou nizsi poplatky + info o zakaznicich, samozrejme take "anonymne"). Jinak receno, pokud platite karou, vi banka i za co skoro jiste.

A klidne vam na zaklade tech dat, treba neda nejaky uver (to vam samozrejme nereknou).

Obchodnik prozmenu na zaklade toho co kupujete vi, treba kolik vydelavate, kde bydlite, ... (samozrejme statisticky, jak jinak). Jinak receno, muze pak na ty "spravne" adresy dorucit treba letacek s nabidnou svickove, zatimco na jine nabidne pajsl.

I samotna cisla karet se v case meni. Dnes uz mate moznost mit i virtualni karty, co muzou existovat klidne jen pro jednu transakci. Cele je to vlastne jen o tom, nakolik vas to pali a kolik casu jste sam ochotny venovat do scramblingu tech dat v digitalni stope.

Zrovnatak jde v nejake forme sledovat i papirove obezivo. Samozrejme je to pracne a take tam muze vznikat nejaka chyba jako pri parovani tech Novaku, ale pokud to nekomu bude stat za to, tak si tu praci muze dat zrovnatak. Ale i tady muze pomahat technika.

Nejen v Norsku, ale i v Estonsku, znám minimálně 3 takeaway okénka kde akceptují pouze platby kartou. V centru Tallinnu v obchodních centrech je normální platit za WC kartou. Vlastně se dá platit kartou téměř všude i na trhu. Co se týče přihlašování do bankovnictví nebo vlastně kamkoliv (včetně Euronics ) muže člověk využít obcanku, případně Mobile-ID (sim toolkit) nebo Smart-ID mobilní aplikace. Bankovní identitu Estonsko asi před rokem označilo za méně důvěryhodnou, běžně byli problémy s implementaci a banky leakovali informace co neměli. Z hlediska selského rozumu by to měl být stát kdo garantuje identitu, nikoliv banka státu. Další věcí je, ze se občanka ve většině obchodů dá používat jako věrnostní karta, jen se z ní načte identifikátor v platebním terminálu. Ale chápu ze pro některé lidi je tohle neakceptovatelné.

Nepoužívám produkty od Microsoftu, ale tohle skutečně vypadá jako standardní TOTP podle RFC 6238. Existuje spousta implementací od různých tvůrců, pro Anrdoid třeba Google Authenticator, FreeOTP nebo to umí celá řada správců hesel. V Linuxu se dají jednorázová hesla generovat třeba pomocí OATH Toolkitu, který je běžně v distribucích.

Nekritizuji kvalitu webové aplikace, to od pohledu nedovedu posoudit, jen narážím na to, že webové aplikaci mají tendenci z nejrůznějších příčin z webu zmizet.

To já jsem samozřejmě pochopil. Reagoval jsem na to tím, že není potřeba používat webovou aplikaci, ale je možné použít některou z mnoha jiných implementací, protože je to standardní způsob generování jednorázových hesel.

Nezkoumal jsem RFC, ale technologicky šel účet microsoftu propojit s jiným TOTP než s tím od Microsoftu. Co se však týká MFA push notifications, tak ten je proprietární a nepřišel jsem na to jak to použít v jiné aplikaci.

Alespon Microsoft a Duo authenticator a jini maji TOTP podle RFC, ale ne jenom to.

Maji i push notifikace a nekdy tu jeste vyssi bezpecnost, co se da ze strany spravce i nejak vynutit. Potom ucet nepridate na "nebezpecny" telefon, aplikace "vola domu" a aktivne se brani prenosu na jine zarizeni deaktivovanim tokenu kdyz neco nesedi a tak dale.

Je to standardní TOTP, jeden čas jsem jejich app používal jako náhradu Google Authenticator. Teď však používám Proton Pass.

No vidíte. Za naprosto špičkový klíč zaplatíte +- tolik jako za nejlevnější podřadný smartphone. Smartphony ve třídě srovnatelné s tím klíčem jsou o řád jinde.

Na nouzovy pristup do bankovnictvi ale nepotrebujete spickovy mobil - staci libovolny, co splnuje nejake minimalni technicke pozadavky - ktere nejsou zas tak vysoke.

Poté, co mi odešel ten telefon jsem jako záložní kupoval jinej telefon a najít něco, co má rozumnou verzi Androidu, co nebude za dva roky zastaralá a každá, i ta dementní banka co jede v idiotské tezi, že si přece každej mění telefon co dva roky, ji bude akceptovat bylo dost netriviální. Pravda, nekupoval jsem nové cosi k ničemu ale starší z bazaru, co má rozumnou hodnotu a stojí přitom pár korun.

Tím jsme ovšem zase zpátky u toho ujetého vendor locku, navíc na technologii (Android), u které by bylo lepší, kdyby raději nikdy ani nevznikla.

ujetého vendor locku, navíc na technologii (Android), u které by bylo lepší, kdyby raději nikdy ani nevznikla. - A co byste místo toho radši? Ujetý vendor lock na Applu? ;-)

Klidně. Ono asi na čemkoliv, co není totální (a navíc solidně děravý) bastl, kde vám bude kdejaký ichtyl už o dvě verze později tvrdit, že už je nepodporuje a ať si pořídíte novej mobil.

Víte, někteří tady měli třeba N900.

A nekteri treba i E90. Zivotni cyklus niceho ale neni nekonecny. V nejakem bode se nevyplati jakkoliv resit okrajove platformy.

Telefon kazde dva roky neni potreba, pokud si vyberete telefon, kde vyrobce slibuje delsi podporu. Samozrejme to se promitne do ceny - ono vyrabet ty aktualizace a zajistit jejich distribuci take neni cinnost, co by byla beznakladova. On socialismus nikdy a nikde poradne nefungoval...

> Telefon kazde dva roky neni potreba...

To mluvíte o primárním mobilu, nebo o nějakém tom záložním v šuplíku? Protože pokud se plácnu přes kapsu a koupím dražší telefon s dlouhou podporou, tak ho přece neodložím do šuplíku v půlce ale až morálně zastará.

Jo, a nebo by bylo vhodnější abych takovéhle otravnosti vůbec nemusel řešit. A jsme u toho, že.

Jop, vezmete nějaký levný kousek a ten ještě necháte neaktualizovaný odležet. Jaká je šance, že někdo bude útočit na nějakou zero day zranitelnost zrovna, když ten záložní mobil vytáhnu?

Je tam trochu víc potenciálních průšvihů a neznámých, než u těch jednoduchých klíčů. Dost na to, aby ta analogie drhla.

Pravdepodobnost uspesneho zneuziti bude velmi nizka, zvlast kdyz si tam necham jen opravdu nezbytne aplikace - a vyhazu ty pleasure veci okolo, co na ten use-case potreba nejsou. A porad muzu pred prvnim uzitim te bankovni aplikace vynutit update. A treba uz pred tim zandanim do supliku muzu udelat factory-reset a tim ten telefon implicitne solidne procistit - a proste tam nainstaluju (a naparuju) ty nezbytnosti typu banka.

Pak už se ale poněkud vytrácí ta výhodnost toho smart telefonu, že? ;-)

Diskutujeme o zaloznim reseni do supliku, tam opravdu nejsou potreba vsechny vyhody smartphone. To je jak s vratama do garaze, normalne je taky pohodlne ovladate ovladacem, ale na vratech porad mate zamek umoznujici nouzove otevreni vrat s odpojenim pohonu.

Já žádný vrata do garáže žádným ovladačem fakt neovládám. Od otevírání vrat je klika. A to už mnoho a mnoho set let. A tyhle nesmysly, které někteří lidé nazývají "pohodlnými" mi prakticky kompletně všechny nesmí do domu. Výjimku má v tomhle ohledu snad jen automatická regulace kotle.

Ostatně když nám tu kolega líčil jak, chudák, musí domů protože mu přijede servis na neotevírající se automatickou bránu, vzpomněl jsem si na naše vrata, co jsem je zrovna nedávno našel na fotce domu z roku 1906 a slouží doteď a smál jsem se a smál...

"co splnuje nejake minimalni technicke pozadavky - ktere nejsou zas tak vysoke."

Jasne, treba jako ze je mladsi 3 let ze? Protoze si proste nejaky frikulin v bance usmysli, ze starsi ne ze nebudou podporovat, ale rovnou je odstreli.

Osobne cim dal casteji zvazuju, ze zrusim zakaznikum platby na ucet, a budu vybirat pekne ty papirky. I pod polstarem budou ve vetsim bezpeci nez v bance.

V okamžiku, kdy mám v ruce dvoje doklady, navíc právě ty, které má banka v evidenci, ty se shodují s mým obličejem a zároveň mám přístup ke dvěma druhům různých kontaktů, je jediná lepší možnost jak osobu ověřit fyzická návštěva pobočky. To jsou v mém případě doslova tisíce korun za ztracený čas. Kvůli účtu, na kterém je trvale dva až tři tisíce korun.

Jaký že má být důvod pro to, aby mi přístup nedala?

V okamziku, kdy mi nejaky anonymni obrazek tvrdi, ze to jsem ja, vazne nevim, kdo mi ten anonymni obrazek posila, stejne jako nevim, kdo mi ukazuje nejake karticky, u kterych ani nelze overit zadne ochrane znaky, natoz kdyz mi cte na nich napsane udaje, ktere zna kazda domovni duvernice ... .

Takze az ti priste zavolaji z banky, ze je treba abys potvrdil prevod penez, protoze to narizuje legislativa, tak pobezis a udelas to, protoze preve volaj z banky.

Myslím, že ten rozdíl velmi dobře chápete i vy. Nedělejte ze sebe hlupáka.

... ostatně právě vám podobní dělají ze života ostatním peklo. Kvůli vašim obsesivním představám a dojmu, že každý žije a funguje a potřebuje totéž, co vy.

13. 12. 2023, 09:22 editováno autorem komentáře

Tohle je docela dobrý bezpečnostní kompromis. Pravděpodobnost, že by útočník tohle zvládnul není až tak velká.

Ano. Ale jen dokud nepřevedou účet na "nové IB", nebo jak tomu říkají. Tam s čipovkou nepočítají. A do konce roku 2024 chtějí mít převedeny všechny ... jsou to asi dva týdny, co si mě pozvali osobně. Tak jsem jim vynadal.

Ta čipovka v nové IB zůstane pouze pro zaměstnance a případně velké klienty, na běžné účty se nebude už nabízet.

Pokud to bude opravdu se nebude nabízet, ale když si ji klient aktivně vyžádá, bude mu fungovat, nemám s tím problém.
Pro mne je to totiž reálně jediná fungující metoda pro přihlášení do bankovnictví.
Byť chápu, že v celém okrese jsou uživatelé osobního bankovnictví s čipovkou jen dva: já a můj syn. ;oD

Mě to bankovnice ověřovala telefonicky na centrále. Nebude fungovat. Zjevně jsme jen tři.

Bylo to vlastně vtipný ... přihlásím se čipovkou, převedu bankovnictví na nový typ - a nepřihlásím se. Nevěřil jsem vlastním uším. Nemožnost zakázat mobilní banku mně pak vytočila doběla.
A to nemluvím o tom, že prostor banky pro klienty zmenšili na třetinu a vylepšili "privátními zónami" - kontainery se stolem a židlemi. Už jen z toho mi bylo fyzicky zle.

To není potěšitelné, protože doma místo mobilního signálu jen pevnou linku, na telefonování používám Skype, na služební iPhone (který stejně funguje jen jako OTP do práce) nic nenainstaluju. ;o(
Fallback na SMS nepřipadá do úvahy (sem mi nechodí), takže budu muset každých pár let kupovat nový tablet či mobil, který bude jen na přihlašování do banky...
Tohle zachrání opravdu jen ta virtuálka - dokud bude fungovat. Jen si ji nemůžu vzít s sebou na cesty, když vyrazím na dovolenou.

Ode mne to není brojení proti moderním technologiím. Jen je alternativou koupit byt jinde nebo zaplatit dost vysokou částku za privátní BTS - a ani k jednomu nejsem ochoten.
A dovedu si představit, jak každý měsíc začnu přihlášení do banky tím, že dávám mobil/tablet na nabíječku... - to je opravdu technologický pokrok od té čipové karty!

Problém je, že tohle mají hujeři problém pochopit. A doba se nám jaksi zcvrkla jen na to, jak ovce co nejlépe monetizovat.

A to si ještě představte, že by s podporou podobných hujerů rádí rušili 2G sítě. Čímž od mobilního signálu efektivně odstřihnou tak polovinu (nejspíš nejen) třeba Vysočiny. Protože na digitální mapě nakreslí hezké barvičky s "pokrytím", ale o tom, že to "pokrytí" je možná tak na půdě, ale za těch šedesát nebo osmdesát centimetrů cihel nebo kamene se nic jiného než 2G prostě nedostane se tam člověk už pochopitelně nedočte nic. Přitom to je třeba u nás tak třetina městečka.

To bude asi taky ten pokrok.

při každé velké změně v KB bankovnictví jsem skončil přihlášený a zamknutý bez možnosti se přihlásit znovu. Mám pocit, že to mají ve feature listu.

KB je obecně dost neproklientská, ona teda kašle poměrně dost i na své zaměstnance, tu banku moc nechápu, přitom jim roka dodávám služby.

Ano, každý se vyvíjíme a naučil jsem se život brát takový jaký je. Nic pro mě není dobré nebo špatné, jen takové jaké to je, prostě další zkušenost, kterou si potřebuji prožít. Ostatně nic mi a většině lidí nechybí, mám kde bydlet, mám co žrát, s rodinou bezva fungujeme, co chtít víc, to ostatní je jen bonus navíc.

Aha, to je zajímavé, mě stále funguje George klíč jak pod emulátorem Android Studia, tak pod Waydroidem s LineageOS. I oficiální dokumentace uvádí až čtyři zařízení:

https://www.csas.cz/cs/caste-dotazy/jak-si-aktivuji-george-klic-na-dalsim-zarizeni

Aktuální George ČS nemám jak vyzkoušet, protože jí mám na fyzickém telefonu i obou výše uvedených, kde se sice spustí, ale s chybou.

je to možné, díky za upřesnění, píšu v minulém čase, již nemám možnost to vyzkoušet, když to zavedli, byla to pro mě překážka a přestal je používat.

Nikde neni napsano, ze zrovna internetove bankovnictvi na PC bez uziti smartfonu je sluzba kterou banka musi nevyhnutelne nabizet. Jeste donedavna nebyla. Jsou duchodci, kteri toto nevyuzivaji a chodi na pobocku.

Je to podle me sluzba jako kazda jina, na zaklade dopytu zakazniku se ukaze, jestli se jim oplati ji provozovat. Banky urcite maji cisla, kolik lidi pouziva mobilni vs internetovy banking v browseru. Take se v bankach na beton najde plno usporychtivych manazeru, kteri by nejradeji IB zrusili a zhrabli bonus za osekani nakladu.

Pokud chcete aby moznost IB zustala (to ja chci taky!) tak jej pouzivejte a dejte vedet bance, ze bez teto moznosti odchazite. Tohle je normalni trhove chovani, nikdo nebude udrzovat sluzby, po kterych neni dostatecny dopyt.

Prirovnavat to tady k nejake poprave je smesne, nezijeme ani v pohadce ani v gulagu. Bank mate na vyber mraky. Ja si treba myslim, ze tvrdohlavych padesatniku bez smartfonu je asi dostatek a aspon jedna banka se na ne zameri (treba tady v diskusi spominana Fio).

13. 12. 2023, 13:37 editováno autorem komentáře

" Jsou duchodci, kteri toto nevyuzivaji a chodi na pobocku."

A banky (minimalne sporka) jim opakovane vyhrozuji, ze moznost resit cokoli osobne zrusi, coz ostatne i delaji, protoze z 20 prepazek udelali treba taky jen 2. Nebo to alespon zpoplatni nejakou nehoraznou cenou.

Je zajímavé, že ty banky neustále podnikají další a další kroky k tomu, aby víc a víc lidí na ty pobočky zahnaly.
Blokace virtuálních mobilů - (nechci-li) návrat k SMS a na pobočky.
Zrušení přihlašování čipovou kartou - (nechci-li) návrat k SMS (lze-li) a na pobočky.
Zrušení přihlašovací appky a nutnost mít celé mobilní bankovnictví - (nechci-li) přechod na SMS a návrat na pobočky.
Pouze mobilní a žádné internetové bankovnictví (Partners...) - (nechci-li) návrat na pobočky.

Ano, vždy to lze teoreticky řešit odchodem ke konkurenci, ale jednak to nemusí být tak jednoduché (převod a přefinancování dobře zafixované hypotéky v půlce se sakra prodraží!), druhak to většinou o konkurence bude (brzy) stejné.
Z klienta se stane bankovní turista a po několika iteracích skončí u pochybné finanční společnosti, která ale vyhoví jeho požadavkům. Přitom nejde o nikterak zásadní požadavky na zabezpečení, ale (s)prosté snižování nákladů a zjednodušování si práce.

Je to tak. Je vidět, že se v problematice opravdu vyznáte, záblesk naděje v moři zmaru :-)

Ono by bylo mnohem lepším řešením některé věci prostě neřešit.
Uživatel musí mít nějakou vlastní zodpovědnost, nemůže čekat, že za něj všechno zařídí někdo jiný (banka).
V důsledku to vede k tomu, že se k mým penězům spíš (velmi těžko!) dostane (všeho)schopný hacker a lump, než já.

Jsou tady dva rozměry. První je legislativní, banka je ze zákona odpovědná, že udělá maximum, proto aby účet byl v bezpečí, za pochybení ručí. Pokud existuje zranitelnost, musí se k tomu postavit čelem a najít řešení, důsledkem je pak i tenhle článek.

Další je, že uživatel sice s tím logicky nechce mít žádnou práci, ale zase očekává, že peníze na účtu bude mít bezpečné a nikdo mu je nevezme nebo si nikdo jeho jménem nevezme úvěr.

Je pravda, že uživatel by měl mít určitou opatrnost a obezřetnost, ale tady se bavíme o situaci, kdy řada zneužívaných zranitelností jsou zero-day a systém může být napaden bez interakce uživatele a jeho vědomí.

Přenášet odpovědnost na uživatele je za mě vhodné pouze v situaci, kdy uživatel ví, že pochybil, existuje jednoznačné pravidlo (jízda na červenou/zelenou a nikoliv obecný nesmysl typu nechodit na podezřelé stránky - jak je vlastně poznám?). Dneska plně aktualizovaný systém se může nakazit reklamou, která se zobrazí třeba tady na rootu, banka tomu musí jít naproti.

Jedna věc je nákaza reklamou díky zero-day zranitelnosti, druhá je instalace pochybného doplňku do prohlížeče.
Ostatně: stále se mi stává, že při řešení problému je mi doporučeno: přihlaste se s administrátorskými právy a pak....

A opět, co je pochybný doplněk? Jak ho poznám? Historicky se už několikrát stalo, že legitimní mnoho let používaný doplněk s dobrou historii je autorem prodán a doplněk začne šířit nebezpečný kód.

To jsou takzvaná bezbarvá doporučení, je to pouze alibismus, protože nikdo dopředu nedokáže určit kritéria rozpoznání pochybného doplňku.

Současné systémy se musí stát bezpečnějšími, musí být idolné i proti instalaci pochybných doplňků/aplikací. Např. u iOS zařízení je ta odolnost historicky poměrně silná a existuje jen málo případů, kdy instalace aplikace nabouralo bezpečnost těch ostatních. Android to začíná vážně řešit od verze 8. Desktop a internetové stránky takové řešení nemají, nemohu si vynutit, že na dané stránce nesmí být žádné spuštěné pluginy, správce hesel nemůže zajistit, že jiný plugin nepřečte heslo, které jsem při přihlašování vyplnil (vč. toho 2FA) a nepřihlásí se na pozadí rychleji místo mě. Webauth tohle poměrně solidně řeší, ale jeho podpora teprve nastupuje.

Tak zase, co je to pochybny doplnok prehliadaca? Dnes Google, Mozilla aj Apple kontroluju vsetky doplnky, side-loading v podstate neexistuje (vo Firefoxe len v developer edicii, v Chrome je dev-mode, co zase bezny pouzivatel neda), tak ako by sa taky doplnok do prehliadaca beznemu pouzivatelovi dostal?

.... Tak kliknete na pokracovat... Banka v situaci, kdy ma expirovany certifikat na webu, a klient ma ve smlouve vyslovne uvedeno, ze ma certifiakt kontrolovat.

Velmi dobře shrnuto, díky.

Není to argument kruhem. Je to věc, před kterou je coby klient banky zkrátka postaven. Má nějakou potřebu (chce používat vzdálené bankovnictví), kterou může uspokojit za splnění jistých technických podmínek stanovených bankou (musí mít smartphone odpovídající nějakým - vcelku nenáročným - požadavkům). Tyto podmínky ale nehodlá splnit s tvrzením, že je splnit nepotřebuje. Což je ve zjevném rozporu s tím, že zároveň chce používat to bankovnictví.
Ano, banka by mohla být v těch požadavcích méně striktní, ale zkrátka se rozhodla, že raději půjde cestou "better safe than sorry" a nepovolí provoz aplikace v prostředí, které považuje za nějak rizikové. To mi přijde jako legitimní rozhodnutí, které má navíc v tomto konkrétním případě dopad jen na naprosto bezvýznamnou množinu lidí posedlých touhou dělat všechno jinak.
A co se týká případné aplikace pro Windows, ale ne pro Linux, v čem by mělo spočívat to vydírání? Že se banka vykašlala na podporu OS, který na desktopu používá minimum lidí? To by bylo naprosto pragmatické rozhodnutí, které s žádným vydíráním nemá nic společného. Linux desktop je okrajová platforma a je hloupost předstírat, že tomu tak není.
V každém případě platí, že pokud klient není spokojen se službami své banky, může odejít jinam. Ale představa, že banka bude investovat prostředky do rozmaru pár klientů, je směšná, pokud to zrovna nejsou klienti typu Škoda Auto.

To se ale v kruhu tocime kolem toho, ze nekteri lide ocekavaji uspokojeni svych potreb (znacka levne), ktere jsou ale statisticky vzato z pohledu poskytovatele minoritni a poskytovateli se jednoduse nevyplati tou jejich konkretni potrebou zabyvat. A urcite by kriceli, kdyby poskytovatel sluzby rekl ano, ja to udelam - ale bude vas to stat tisicovku mesicne navic.

Tisícovka měsíčně je asi trochu moc, ale pokud by mi banka garantovala, že tu autentizaci udělá nějak rozumně (rozuměj nebudu mít jedinou proprietární možnost, a to použití patlafounu), dalo by se o tom uvažovat.

> Není to argument kruhem.

Tzv. důkaz úporným tvrzením. Pořád jsem neslyšel jediný důvod, proč by to měl být zrovna smartphone než "a basta".

> Tyto podmínky ale nehodlá splnit s tvrzením, že je splnit nepotřebuje. Což je ve zjevném rozporu s tím, že zároveň chce používat to bankovnictví.

V některých případech nechce, ale ze zákona musí.

> nepovolí provoz aplikace v prostředí, které považuje za nějak rizikové

To, že si nainstaluju správce souborů z f-droidu je rizikové? Přesto tím ale porušuju podmínky banky, pokud mám na stejném telefonu bankovní aplikaci (ČSOB).

> A co se týká případné aplikace pro Windows, ale ne pro Linux, v čem by mělo spočívat to vydírání?

Že by se banka chytila závislosti na konkrétním systému, přestože existují dostatečně rozvinuté standardy pro to, aby na systému nezáviselo.

> V každém případě platí, že pokud klient není spokojen se službami své banky, může odejít jinam.

Ten trh tady silně kulhá na obě nohy, protože a) zákon za některých okolností ukládá povinnost bankovní účet mít (není svobody použití bez svobody neužívat), b) zákon určuje dost těžké podmínky pro vstup na trh.

ZATÍM je kam jít. Klíčové slovo je v tomhle případě "zatím".

> Ale představa, že banka bude investovat prostředky do rozmaru pár klientů, je směšná

Banky investují prostředky to snahy AKTIVNĚ BRÁNIT těm pár klientům provozovat ty aplikace na strojích, které z nějakého důvodu nevoní.

To, že si nainstaluju správce souborů z f-droidu je rizikové? Přesto tím ale porušuju podmínky banky, pokud mám na stejném telefonu bankovní aplikaci (ČSOB).
To je nějaké divné - z F-Droidu mám většinu aplikací (a díky Tiborovi Kaputovi se mi teď potvrdilo, že je to daleko bezpečnější varianta než používat Google Play...) a mobilní bankovnictví ČSOB ani RB neprotestuje.

Chodí, ale porušuju tím podmínky služby - smlouvu s ČSOB.

Tzv. důkaz úporným tvrzením. Pořád jsem neslyšel jediný důvod, proč by to měl být zrovna smartphone než "a basta".
Nemusí to být zrovna smartphone, ale v tomto případě (i mnoha jiných) to zkrátka smartphone je. A je to nejjednodušší a nejpřímočařejší řešení. Chytrý mobil vlastní kdekdo, není problém mít ho vždy po ruce, většinou má nějakou možnost pohodlné biometrické autentizace atd. Lidi jako ty nebo Uwe se tady točí kolem v podstatě ideologického problému, který takřka nikdo nemá. Nebo je to možná mentální problém. Ale to spíš ne, protože člověk, který se takhle panicky bojí šmírování, by vůbec nepoužíval internet.

V některých případech nechce, ale ze zákona musí.
Opravdu musí ze zákona používat vzdálené bankovnictví? A ty případy jsou nevyhnutelné?

To, že si nainstaluju správce souborů z f-droidu je rizikové? Přesto tím ale porušuju podmínky banky, pokud mám na stejném telefonu bankovní aplikaci (ČSOB).
To je pochopitelně věcí té banky, zda to považuje za rizikové.

Ten trh tady silně kulhá na obě nohy, protože a) zákon za některých okolností ukládá povinnost bankovní účet mít (není svobody použití bez svobody neužívat), b) zákon určuje dost těžké podmínky pro vstup na trh.
Pokud nechceš mít bankovní účet, tak se vyhýbej okolnostem, za kterých by sis ho musel založit. To nakonec platí obecně. Pokud se chceš vyhnout povinnosti, která je něčím podmíněna, tak se tomu něčemu vyhni. Nechceš-li dodržovat předpisy pro řidiče aut, neřiď auto.
A fakt ti přijde divné, že zrovna banku, která se stará velkému množství osob o majetek, jehož hodnota jde v úhrnu do desítek až stovek miliard, si nemůže založit jen tak každý hejhula, ale je to přísně kontrolovaný sektor?

Že by se banka chytila závislosti na konkrétním systému, přestože existují dostatečně rozvinuté standardy pro to, aby na systému nezáviselo.
Což samozřejmě není tak docela pravda, jak ví každý, kdo někdy vyvíjel netriviální multiplatformní aplikaci. Ale i kdyby byla, tak nevím, proč by volba řešení specifického pro konkrétní OS měla být nějakým vydíráním. Jsou třeba autoři Remminy vyděrači, protože ji vyvíjejí jen pro UNIX-like systémy a já ji chci na Windows?

Banky investují prostředky to snahy AKTIVNĚ BRÁNIT těm pár klientům provozovat ty aplikace na strojích, které z nějakého důvodu nevoní.
A ten důvod je podstatný. Zamést to pod koberec vágním "z nějakého důvodu" je snahou ten důvod bagatelizovat. V tomto případě se podle všeho jedná právě o to, že ta zařízení banka zkrátka nepovažuje za bezpečná. A jde o technické požadavky, ne o nějaký vendor lock-in. Ta aplikace poběží bez problémů na zařízeních spousty různých výrobců.

Nemůžeš v jednom příspěvku mávat tržním prostředím a hned v následujícím do nebe vychvalovat regulaci. Měj se fajn, a doufám, že se nepotkáme. Tohle si klidně ber osobně...

Problém je v tomto případě ten, že je to amorální. Banka si usurpuje právo rozhodovat, jestli je MÉ prostředí bezpečné. To přitom vím já, zda je, nikoliv ona. Ano, legální to je, ale amorální. Bance po tom prostě nic není.

Ale banka to dělat musí. Spoléhá na to, že OS poskytuje bankovní apliack ochranu a pokud je rootnutý (nebo má známé neopravené bezpečnostní chyby, které tu ochranu narušují), tak jí tu ochranu poskytovat nemusí, takže se to pokouší detekovat.

Ať si to třeba snad i detekuje, ale rozhodnutí nechť laskavě nechá na uživateli.

To nemůže, protože 99.999% uživatelů nedokáže rizika posoudit.

12. 12. 2023, 18:38 editováno autorem komentáře

Zajímavé že tady to vadí, a když ti samí uživatelé nedokáží naprosto stejně posoudit rizika předvánoční půjčky, tak najednou to nevadí, a to jde (v porovnání s obvyklým zůstatkem na jejich účtu) o mnohem větší peníze.

A stejně tak, jako 99.999% uživatelů nedokáže posoudit, že platební kartu bez elmag. stínění jde nádherně odrelayovat pro bezPINové transkace (kde jde, než to vyblafne request na PIN, o zhruba stejně srovnatelné částky) a přesto to u sebe vozej...

Proto banky (ze zákona) posuzují bonitu lidí, kterým půjčují.

Proto taky bezpečnostní parametry tohohle řešení nsatvuje banka, ne uživatel. (A vy jste dal hezkou ukázku, jak uživatel nedokáže posoudit rizika toho řešení.)

Ale samozřejmě, že může.

Ne, nemusí.