Vlákno názorů k článku George klíč končí, bankovnictví George Česko už v emulaci nespustíte od Jirasko - Tento nešvar, tedy nutit druhý faktor na mobilní...
-
Tento nešvar, tedy nutit druhý faktor na mobilní zařízení Android/iOS je čím dál častější a není to jen otázka bankovnictví. Klacky pod nohy už roky hází MS 365, kdy se snaží pro přihlášení nutit svůj MS Authenifikátor.
Krásná myšlenka do doby, kdy jste sám. Pokud máte ale tým IT adminů, začíná to být neřešitelný problém. Pro každého admina dělat vlastní účet, kupovat mu licenci a rozjíždět 2FA na každém zapadlém MS 365 tenantu nedává časový ani ekonomický smysl. Navíc je dost šance, že většina adminů se na daný účet za rok ani jednou nepřihlásí. Pro potřeby podpory ale přístup mít musí.
A přitom by úplně stačilo aby MS Authentifikátor běžel na linux nebo Windows. Udělal by se druhý faktor někde centrálně na serveru, přístup přes VPN a heslo. Krásné, elegantní, bezpečné. Když admin odejde, zablokuje se mu druhý faktor a nebude třeba obíhat desítky či stovky tenantů. To samé, když nový přijde. Ale bohužel.
-
Zajímavé. Můžu poprosit odkaz na third party aplikaci, která toto umí ? Případně odkaz na funkční emulátor andridu pro MS Authentifikator ? Zatím to obcházím ale chápu že tahám za kratší provaz. Už teď MS čas od času na nějaké tenantu udělá bez mého vědomí změnu a vyresetuje do defaultu bezp. nastastavení.
-
Ak sa MS drzi standardov tak je to iba o vasej odvahe. Tu mate aj online aplikaciu ktora generuje druhy faktor:
https://totp.danhersam.com/ -
Nepoužívám produkty od Microsoftu, ale tohle skutečně vypadá jako standardní TOTP podle RFC 6238. Existuje spousta implementací od různých tvůrců, pro Anrdoid třeba Google Authenticator, FreeOTP nebo to umí celá řada správců hesel. V Linuxu se dají jednorázová hesla generovat třeba pomocí OATH Toolkitu, který je běžně v distribucích.
-
Alespon Microsoft a Duo authenticator a jini maji TOTP podle RFC, ale ne jenom to.
Maji i push notifikace a nekdy tu jeste vyssi bezpecnost, co se da ze strany spravce i nejak vynutit. Potom ucet nepridate na "nebezpecny" telefon, aplikace "vola domu" a aktivne se brani prenosu na jine zarizeni deaktivovanim tokenu kdyz neco nesedi a tak dale.
-
Ostatně legrace i je, když pak to zařízení s Androidem zdechne. Třeba u KB si můžete přístup znovu aktivovat v IB. Jenomže abyste se do toho IB přihlásil, potřebujete funkční to zdechlé zařízení.
Takhle tam třeba já osobně mám prakticky zablokovaný účet (který naštěstí nepoužívám ani nepotřebuji) protože letět kvůli tomu na pobočku se mi časově nevyplatí ani kdybych chodil po uších.
-
DannyStříbrný podporovatelJak to ma KB nevim, ale RB ma moznost mit tech klicu vic. A pravdepodobnost, ze mi zdechnou dve-tri zarizeni soucasne je uz pomerne mala. Generacne starsi telefon mam pro pripad nouze v supliku tak jako tak.
Ostatne klic od bytu hadam taky nemate jen jeden - abyste nasledne mohl lamentovat, ze se jeden jediny klic ztrati/zlomi a vy se nedostanete domu... :-)
-
Je tu pár praktických rozdílů. Náhradní klíče od bytu třeba nestojí X tisíc a nepotřebují pravidelnou údržbu.
A taky záleží, o kolik generací je ten telefon v šuplíku starší. Jsou lidi, co mění mobil když zdechne, nebo zastará tak, že nejde pořádně používat. Jak ho ještě necháte uležet v šuplíku, tak bude pravděpodobně na dvě věci. -
DannyStříbrný podporovatel
Tak to se dost odviji od toho, jaky klicovy system mate. Jasne, nahradni klic do stavebni vlozky poridite za par korun na kazdem rohu, ale za takovy spare EVVA MCS date skorem patnact stovek taky...
-
DannyStříbrný podporovatel
Na nouzovy pristup do bankovnictvi ale nepotrebujete spickovy mobil - staci libovolny, co splnuje nejake minimalni technicke pozadavky - ktere nejsou zas tak vysoke.
-
Poté, co mi odešel ten telefon jsem jako záložní kupoval jinej telefon a najít něco, co má rozumnou verzi Androidu, co nebude za dva roky zastaralá a každá, i ta dementní banka co jede v idiotské tezi, že si přece každej mění telefon co dva roky, ji bude akceptovat bylo dost netriviální. Pravda, nekupoval jsem nové cosi k ničemu ale starší z bazaru, co má rozumnou hodnotu a stojí přitom pár korun.
Tím jsme ovšem zase zpátky u toho ujetého vendor locku, navíc na technologii (Android), u které by bylo lepší, kdyby raději nikdy ani nevznikla.
-
nargStříbrný podporovatel
ujetého vendor locku, navíc na technologii (Android), u které by bylo lepší, kdyby raději nikdy ani nevznikla. - A co byste místo toho radši? Ujetý vendor lock na Applu? ;-)
-
DannyStříbrný podporovatel
A nekteri treba i E90. Zivotni cyklus niceho ale neni nekonecny. V nejakem bode se nevyplati jakkoliv resit okrajove platformy.
-
DannyStříbrný podporovatel
Telefon kazde dva roky neni potreba, pokud si vyberete telefon, kde vyrobce slibuje delsi podporu. Samozrejme to se promitne do ceny - ono vyrabet ty aktualizace a zajistit jejich distribuci take neni cinnost, co by byla beznakladova. On socialismus nikdy a nikde poradne nefungoval...
-
Jop, vezmete nějaký levný kousek a ten ještě necháte neaktualizovaný odležet. Jaká je šance, že někdo bude útočit na nějakou zero day zranitelnost zrovna, když ten záložní mobil vytáhnu?
Je tam trochu víc potenciálních průšvihů a neznámých, než u těch jednoduchých klíčů. Dost na to, aby ta analogie drhla.
-
DannyStříbrný podporovatel
Pravdepodobnost uspesneho zneuziti bude velmi nizka, zvlast kdyz si tam necham jen opravdu nezbytne aplikace - a vyhazu ty pleasure veci okolo, co na ten use-case potreba nejsou. A porad muzu pred prvnim uzitim te bankovni aplikace vynutit update. A treba uz pred tim zandanim do supliku muzu udelat factory-reset a tim ten telefon implicitne solidne procistit - a proste tam nainstaluju (a naparuju) ty nezbytnosti typu banka.
-
DannyStříbrný podporovatel
Diskutujeme o zaloznim reseni do supliku, tam opravdu nejsou potreba vsechny vyhody smartphone. To je jak s vratama do garaze, normalne je taky pohodlne ovladate ovladacem, ale na vratech porad mate zamek umoznujici nouzove otevreni vrat s odpojenim pohonu.
-
Já žádný vrata do garáže žádným ovladačem fakt neovládám. Od otevírání vrat je klika. A to už mnoho a mnoho set let. A tyhle nesmysly, které někteří lidé nazývají "pohodlnými" mi prakticky kompletně všechny nesmí do domu. Výjimku má v tomhle ohledu snad jen automatická regulace kotle.
Ostatně když nám tu kolega líčil jak, chudák, musí domů protože mu přijede servis na neotevírající se automatickou bránu, vzpomněl jsem si na naše vrata, co jsem je zrovna nedávno našel na fotce domu z roku 1906 a slouží doteď a smál jsem se a smál...
-
"co splnuje nejake minimalni technicke pozadavky - ktere nejsou zas tak vysoke."
Jasne, treba jako ze je mladsi 3 let ze? Protoze si proste nejaky frikulin v bance usmysli, ze starsi ne ze nebudou podporovat, ale rovnou je odstreli.
Osobne cim dal casteji zvazuju, ze zrusim zakaznikum platby na ucet, a budu vybirat pekne ty papirky. I pod polstarem budou ve vetsim bezpeci nez v bance.
-
No, on nečekaně zdechnul právě ten telefon, co měl zanedlouho přijít jako záložní do šuplíku. A na novém nebylo ještě aktivované. S RB, mimochodem, nebyl problém, nafotil jsem doklady, chtěli selfie a ověřit kontakty a vyřešeno bylo za deset minut.
Ostatně s těmi klíči to zase tak jasné často není. My třeba máme dva z čehož jeden měli dlouho kamarádi z druhé strany obce, co taky nebyli pokaždé doma, aby se k nám dostali, když by byl nějaký problém a byli jsme v trapu zase my což často jsme. A udělat třetí kopii by vzhledem k tomu, že jde o bezpečnostní klíč vyšlo tak na cenu nového telefonu.
Život není jednoduchej a házením klacků pod nohy v zájmu nekonečné "bezpečnosti" ho rozhodně nezlepší. Mříže si do oken taky nemontuju i když by se lupič mohl do těch našich starejch oken pomalu prodloubat lžičkou. Jistá míra rizika je přirozenou součásti života a chránit je potřeba tam, kde je chránit co. Za to, že mi někdo s minimální pravděpodobností šlohne těch pět tisíc, co se náhodou na většině mých účtů sem tam potulují (a to ještě fakt jen sem tam) to opravdu nestojí. A ano, bankovní identitu mám vypnutou všude, o tu opravdu nestojím. Proto by měla existovat možnost volby.
Jenomže tady zase nastupuje klasická dementizace produktu: většina jsou blbé tupé ovce takže ostatní trpte, stejně je vás tak málo, že nás nezajímáte.
-
V okamžiku, kdy mám v ruce dvoje doklady, navíc právě ty, které má banka v evidenci, ty se shodují s mým obličejem a zároveň mám přístup ke dvěma druhům různých kontaktů, je jediná lepší možnost jak osobu ověřit fyzická návštěva pobočky. To jsou v mém případě doslova tisíce korun za ztracený čas. Kvůli účtu, na kterém je trvale dva až tři tisíce korun.
Jaký že má být důvod pro to, aby mi přístup nedala?
-
V okamziku, kdy mi nejaky anonymni obrazek tvrdi, ze to jsem ja, vazne nevim, kdo mi ten anonymni obrazek posila, stejne jako nevim, kdo mi ukazuje nejake karticky, u kterych ani nelze overit zadne ochrane znaky, natoz kdyz mi cte na nich napsane udaje, ktere zna kazda domovni duvernice ... .
Takze az ti priste zavolaji z banky, ze je treba abys potvrdil prevod penez, protoze to narizuje legislativa, tak pobezis a udelas to, protoze preve volaj z banky.
-
L.Stříbrný podporovatel
Tohle je docela dobrý bezpečnostní kompromis. Pravděpodobnost, že by útočník tohle zvládnul není až tak velká.
-
U RB to papírově zní dobře, ale při zablokování jednoho zařízení (opakované pokusy o zadání hesla) se mi zablokovalo i druhé a musel jsem i tak na pobočku.
Většina bank bohužel fakticky má pouze jeden klíč a nemají rádi více, což je taková šílenost, protože velice rychle člověk ztratí přístup kamkoliv. Teď si s KB ani nezavolám bez aplikace na infolinku, protože musím svoji identitu potvrdit v aplikaci, uhf.
-
Realita je takova, ze jak sem psal, bankam je nejaka bezpecnost naprosto uzadele.
Priklad. Firemni ucty (KB, CSOB ...). Firma si k nim nechala dodat tokeny v predstave, ze bude vyssi bezpecnost.
Jenze vsichni uzivatele se ( ktem firemnim uctum) prihlasi pomoci svych soukromych telefonu. Jednoduse staci, kdyz u te banky maji i nejaky soubromy ucet.
-
Na infolinku si u KB zavoláte. Jen je potřeba počkat zhruba 2× 30 sekund ticha, než ten automat pochopí, že mu identitu nepotvrdíte.
(Už jsem jim to opakovaně říkal, ale asi to padá do nějakého dalšího půlminutového ticha... Přitom by stačilo pustit nějakou tichou čekací hudbu nebo to zrušit stiskem klávesy na mobilu.) -
Pokud to bude opravdu se nebude nabízet, ale když si ji klient aktivně vyžádá, bude mu fungovat, nemám s tím problém.
Pro mne je to totiž reálně jediná fungující metoda pro přihlášení do bankovnictví.
Byť chápu, že v celém okrese jsou uživatelé osobního bankovnictví s čipovkou jen dva: já a můj syn. ;oD -
Mě to bankovnice ověřovala telefonicky na centrále. Nebude fungovat. Zjevně jsme jen tři.
Bylo to vlastně vtipný ... přihlásím se čipovkou, převedu bankovnictví na nový typ - a nepřihlásím se. Nevěřil jsem vlastním uším. Nemožnost zakázat mobilní banku mně pak vytočila doběla.
A to nemluvím o tom, že prostor banky pro klienty zmenšili na třetinu a vylepšili "privátními zónami" - kontainery se stolem a židlemi. Už jen z toho mi bylo fyzicky zle. -
To není potěšitelné, protože doma místo mobilního signálu jen pevnou linku, na telefonování používám Skype, na služební iPhone (který stejně funguje jen jako OTP do práce) nic nenainstaluju. ;o(
Fallback na SMS nepřipadá do úvahy (sem mi nechodí), takže budu muset každých pár let kupovat nový tablet či mobil, který bude jen na přihlašování do banky...
Tohle zachrání opravdu jen ta virtuálka - dokud bude fungovat. Jen si ji nemůžu vzít s sebou na cesty, když vyrazím na dovolenou.
Ode mne to neníbrojení proti moderním technologiím
. Jen je alternativou koupit byt jinde nebo zaplatit dost vysokou částku za privátní BTS - a ani k jednomu nejsem ochoten.
A dovedu si představit, jak každý měsíc začnu přihlášení do banky tím, že dávám mobil/tablet na nabíječku... - to je opravdutechnologický pokrok
od té čipové karty! -
Problém je, že tohle mají hujeři problém pochopit. A doba se nám jaksi zcvrkla jen na to, jak ovce co nejlépe monetizovat.
A to si ještě představte, že by s podporou podobných hujerů rádí rušili 2G sítě. Čímž od mobilního signálu efektivně odstřihnou tak polovinu (nejspíš nejen) třeba Vysočiny. Protože na digitální mapě nakreslí hezké barvičky s "pokrytím", ale o tom, že to "pokrytí" je možná tak na půdě, ale za těch šedesát nebo osmdesát centimetrů cihel nebo kamene se nic jiného než 2G prostě nedostane se tam člověk už pochopitelně nedočte nic. Přitom to je třeba u nás tak třetina městečka.
To bude asi taky ten pokrok.
-
Ano, i aplikace od České spořitelny lze instalovat na více zařízení, v Google play vidím, že je mám nainstalovány ještě pod virtuálním Androidem (původně používané Android Studio) a pod Waydroidem (LineageOS). V případě kleknutí fyzického telefonu musím navštívit buď pobočku nebo bankomat a vygenerovat si nový aktivační kód. Nic, co by mě obtěžovalo, taková situace přeci jen nastane jen jednou za čas a i když bydlím na vsi, do Doks u Mácháče to nemám daleko - takže klidně vezmu koně a v rámci jeho opohybování (tohle bezva slovo vzniklo v době Korony) společně bankomat navštívíme.
-
Ano, každý se vyvíjíme a naučil jsem se život brát takový jaký je. Nic pro mě není dobré nebo špatné, jen takové jaké to je, prostě další zkušenost, kterou si potřebuji prožít. Ostatně nic mi a většině lidí nechybí, mám kde bydlet, mám co žrát, s rodinou bezva fungujeme, co chtít víc, to ostatní je jen bonus navíc.
-
Aha, to je zajímavé, mě stále funguje George klíč jak pod emulátorem Android Studia, tak pod Waydroidem s LineageOS. I oficiální dokumentace uvádí až čtyři zařízení:
https://www.csas.cz/cs/caste-dotazy/jak-si-aktivuji-george-klic-na-dalsim-zarizeni
Aktuální George ČS nemám jak vyzkoušet, protože jí mám na fyzickém telefonu i obou výše uvedených, kde se sice spustí, ale s chybou.
-
Přesně tak, proto si držím účet ve zkostnatele Unicredit, jako jedna z mála mi stále nabízí hw klíč “kalkulačku”. Popravdě mě děsí myšlenka ze bych kvůli prostupu do českého účtu kvůli aktivaci aplikace musel letět do Čech z Estonska. Btw nevěřili byste kolik českých bank není schopno vám poslat autorizační sms na zahraniční telefonní číslo, Airbank nevyjímaje. Ze stejného důvodu mám ke svému účtu na Gibraltaru RSA token.
