Vlákno názorů k článku Jaké aktuální hrozby číhají na uživatele internetu? od pet - Podle Lorence jsou rozdíly mezi zabezpečeními jednotlivých bank...
-
pet (neregistrovaný)Podle Lorence jsou rozdíly mezi zabezpečeními jednotlivých bank naprosto minimální. Většina uživatelů dává přednost jednoduchému zabezpečení pomocí SMS. ""Jen asi 3 % klientů používají metody 'vyšší bezpečnosti', tedy PKI. Ty jsou pro klienty velmi nepřívětivé,"" ukončil svou část přednášky David Lorenc.
Nevím, jestli to PKI chápu správně, ale doufám, že to není ta parodie na bezpečnost pomocí čipové karty co nabízí ČSOB - připojte čtečku, vložte kartu, zdělte počítači její PIN aby s ní mohl pracovat a věřte, že bude tak hodný a nezneužije toho. ;-) -
To, co popisujete, je PKI Class 1.
Class 2 je: Vložím kartu, zadám PIN na čtečce.
Class 3 je: Vložím kartu, zadám PIN na čtečce poté, co si na jejím displeji přečtu, co podepisuji.
Takže teprve Class 3 je ve všech směrech bezpečnější než SMS.
U Class 2 stále musíte věřit, že podepisujete to, co vám prezentuje prohlížeč, že podepisujete.
U autorizační SMS jste tedy na tom o trochu lépe, než u Class 2, neboť pozměnění obsahu SMS není jen tak, a vyžaduje falešnou BTS.
U platby kartou u obchodníka je vyžadována čtečka Class 3. Druhou stranou mince je fakt, že běžný zákazník nepozná certifikovanou Class 3 čtečku, nekontroluje hologram na plombě, a neví, jak poznat, že je displej v bezpečném režimu.
U online platby kartou se nevyžaduje vůbec žádné zabezpečení. Je to tedy vůbec nejhůř zabezpečená operace. A to přesto, že všechny nové karty již obsahují čip, a nebyl by problém vyžadovat alespoň Class 1 autorizaci (fyzická přítomnost karty ve čtečce + PIN).
PS: V Linuxu by to tedy problém byl. Všichni vývojáři EMV-kartových řešení si hrají na svém písečku, a žádné Open Source řešení neexistuje.
