Vlákno názorů k článku George klíč končí, bankovnictví George Česko už v emulaci nespustíte od RRŠ - Předně: Spořitelna opustila "George klíč" a přešla na...

Předně: Spořitelna opustila "George klíč" a přešla na plnohodnotné bankovnictví v mobilu - což je pro případ, kdy to potřebujete pouze jako přihlášení k IB nebo potvrzení platby kartou, dost velká hloupost.
Těsně, než jsem tu Spořitelnu s účtem opustil, prošel jsem cestou není dost místa na mobilu - mobil nemá správnou versi Androidu (klíč tam fungoval...) - mobil je pravděpodobně rootnutý (není, klíč tam fungoval...) a zhruba dvouhodinovým pohovorem s helpdeskem.

Mít plnohodnotné bankovnictví na jediném zařízení považuji za riziko (byť menší, než posílání SMS kódů) - stačí ovládnout jedno zařízení.
Virtuální mobil je přeci jen druhé zařízení. Ano, je možné, že je dostupný na stejném počítači, kde jdete do bankovnictví, ale stále je to druhé zařízení, druhé přihlašování.
Token pro přihlášení do banky neopouští můj domov. Trochu to komplikuje platby po internetu - ale ty stejně provádím pouze v dosahu.
V zásadě je mi jedno, zda jde o fyzické či virtuální zařízení - to první nemusím neustále nabíjet, tak snadno se nerozbije, nezabírá místo v šuplíku, není dotykové a nemusím k němu párovat myš a klávesnici (ty poslední body jsou čistě osobní boj - nemá každý dotykově nečitelné prstíky).
Osobně jsem volil cestu přihlašování pomocí čipové karty - ano, některé banky to dovolují i pro osobní účty. Jen tím nelze potvrdit platbu kartou, takže ten (virtuální) mobil mám pouze pro 3D-secure. A to mi připadá jako opravdu zbytečná investice.
(Poznámka: do bankovnictví lezu asi 1× za měsíc a za stejnou dobu asi 3× platím po internetu; nejsem nikterak aktivní - nebo prostě nemám dost peněz k utrácení. ;oD )

Vysvetlit prosim, co je rizikoveho na SMS? Abys ji moh pouzit, jeste porad potrebujes heslo do bankovnictvi, ktere se na telefonu se SMS nikdy neobjevi (nebo pristup k tomu PC na kterem se dotycny do banky pripojuje).

Narozdil od bankovnictvi, kde ti staci ziskat bud fyzicky ten telefon nebo pristup k nemu.

Vsak v ramci hente bezpecnsoti kdyz ti seberu kartu(nebo telefon), tak par tisicovek utratim i bez pinu ze?

Pokud pro přihlášení do internetového bankovnictví potřebujete:
a) jméno + heslo + SMS,
b) jméno + heslo + potvrzení v appce,
c) token/čipovku + PIN,
pak a) je jednoznačně nejslabší, protože SMS jde unést či získat nejsnáze. (A to pomíjím, kolik lidí nechává jméno + heslo zapamatované v prohlížeči, protože ještě je stejně potřeba ten kód...)
Varianty b) a c) vyjdou zhruba nastejno, obě mají své výhody a nevýhody.

Čímž a priori netvrdím, že nejsou SMS bezpečné - jen z těch možností nejméně.

Bavime se o situaci, kdy mas v telefonu appku, a jediny jeji zabezpeceni je tvuj otisk (ktery je na tom telefonu k nalezeni v nejspis desitkach variant) a nebo (vlastne jeste hur) ksycht, ktery staci proste vyfotit. Takze kdyz (jak sem psal kus vedle) ti ten telefon vytahnu, vyfotim si te, vyfotim nejake to pripravene QR a telefon ti strcim zpet do kapsy, tak sem ti vyluxoval ucet, ani o tom nevis.

pozor, senzor otisků prstů na telefonech nebere vůbec otisk prstu jak je známe z daktyloskopie, ale měří elektrickou vodivost mezi jednotlivými body (těch jsou stovky až tisíce), z toho si tvoří hash, ten má uložený v paměti a ten porovnává při ověření. Proto to třeba blbne jestli máme příliš mokré nebo suché prsty a proto právě starší lidé mají s tím velké problémy (jejich kůže již není tak vodivá, spíše není vodivá skoro vůbec).

Nelze z dat uložených v čipu rekonstruovat "otisk", stejně tak nelze použít daktyloskopický otisk a tím se přihlásit, jak to můžeme vidět v akčních filmech.

Bohužel se tomu říká otisk, ale otisk to není. Něco jiného je obličej, tam se tvoří fotka (či třeba v případě Apple infračervený prostorový snímek obličeje) a to lze relativně snadno podstrčit.

Nevím jak vy, ale já se třeba do bankovní aplikace pouhým odemčením telefonu rozhodně nedostanu.
Ke spuštění aplikace musím zadat pin a pokud chci v této běžící aplikaci klíčem potvrdit nějakou transakci, tak opět musím zadat ještě jiný pin.

Ono spíš jde o náklady na úspěšný útok. Ke kompromitaci SMSky se dostanete nejsnáze, ale "na dálku" to ne vždy funguje (podle toho jak má který operátor mitigace na onen známý SS7 únos) a hrát si přes vzduch, což asi se starším telefonem může fungovat, znamená se tam dostat.

Koncentrovaná appka all-in-one může v lepším případě znamenat jeden root 0-day exploit (kolik je dneska cena? Pamatuju že to před Covidem bylo někde kolem $200k?) a když hacker nechrochtá moc nahlas, tak může nějakou dobu zůstat pod radarem.

Takže zase staré známé - jak správně chránit je plně závislé na tom, co (kolik) vlastně chráníme.