Vlákno názorů k článku Postřehy z bezpečnosti: SIM swap gang odhalen díky starostlivé mamince od Thomasso - Neměl by pak operátor v případě, že vydá...
-
Zelenohlav (neregistrovaný)
Jedine reseni je nepouzivat SMS autentizaci, ale skutecny HW token. Jenom by to jeste musely pochopit banky: http://punktopia.cz/internetove-bankovnictvi-race-to-the-bottom/ , nakonec jsem nasel jednu, ktera ma sice dost hrozne bankovnictvi, ale token nabizi. A tady je workaround s xdotoolem na jejich bankovnictvi, aby se z nej clovek nezblaznil uplne: http://punktopia.cz/navod-na-poslani-platby-z-unicredit-bank/ .
-
BobTheBuilderStříbrný podporovatel1) SMS jako nezávislý kanál je pořád docela slušné řešení, napadení SS7 zase tak triviální není a (zatím?) je zcela vyváženo jednoduchostí a univerzálností řešení.
2) útok podle článku (získání nové SIM), no, zkuste si u nás podvodně vyměnit SIM: ve firemní síti nemáte šanci a soukromou bez občanky taky ne (možná u T-mobile se znalostí bezpečnostního kódu ke smlouvě).
3) a když to porovnáte s nepohodlím HW tokenu (nosíte ho u sebe - pokud ne, tak bankovnictví použijete jen doma, to není moc praktické) a ve spojení s bankou, kde potřebujete návod na bankovnictví, abyste se z něj nezbláznil - dík, nechci.
4) SMS používat nemusíte, např. u Air Bank lze ověřovat aplikací, u FIO el. klíčem. -
jiwopeneDODKD RN (neregistrovaný)
U T-Mobile Vám ji vymění bez dohadů, ale když máte telefon, který nechápe, co je PIN (a kartu vůbec nevezme), tak Vás pošlou do pr.... (slušně řečeno opravny) a řeknou, ať si koupíte nový telefon. Když nebudete tyto pokyny následovat, tak Vám u karty PIN dokonce vypnou.
-
BobTheBuilderStříbrný podporovatel
Bez dohadů ano, ale bez dokladů ne.
Možná kus za kus u předplacenky, ale simka na smlouvu na občanku nebo bezpečnostní kód, ve firemní síti jen se souhlasem administrátora (písemným, nebo znalostí administrátorského hesla).
Jenže v tomto kriminálním případě šlo o vydání duplikátu (tedy ne výměnu). A toho u T-mobilu nedosáhnete bez ověření. -
Honza (neregistrovaný)
ad 1] souhlas
ad 2] to je blábol, ve firemní síti máte šanci okamžitě, jakmile se dostanete k heslu ke komunikaci, které ve firmách obhospodařuje armáda asistentek, mnohdy vůbec netušících, co vše jde s tímto heslem dělat. A co se týče soukromých účtů, já osobně jsem od Vodafonu dostal novou "dual" SIM kartu jako výměnu za jednoSIM kartu, bez předložení občanky, stačila pouze stávající karta, opět pro sociální inženýrství ideální prostředí.ad 3] nepohodlí HW tokenu vykoupeno nezávislým kanálem pro dvou-stupňovou autentifikaci zvlášť ve spojení s tajnou částí, kterou znáte jen vy, jestli je to konkrétně pro vás nepohodlné, neznamená, že to jde takhle univerzálně hodnotit
ad 4] co je to za kec? to si jako představujete, že v tuto chvíli se všichni klienti ostatních bank seberou, zruší si účty u stávající banky a poletí do Air nebo do FIO?
Ne, většina lidí vybírá banku podle mnoha kritérií, SMS je jedním z nich, ale není to show-stopper.
Vaše myšlenka je možná teoreticky správná, ale v praxi naprosto odtržená od reality.
