Vlákno názorů k článku Potřebuji chytrý telefon, ale nechci ho, pouštím mobilní aplikace v Linuxu od ldoktor - A bombardujete své banky požadavky na alternativy? Já...
-
A bombardujete své banky požadavky na alternativy? Já již 2 roky co půl roku obesílám všechny své banky (krom fia, to nestraší se zrušením SMS). Na poslední dotaz mi nezáporně odpověděli z Air-banky, že možnosti použití OTP řeší, ale nemohou zatím nic slíbit.
U Monety jsem nedávno vyřešil setrvání na SMS kouzelným slůvkem "tlačítkový telefon".
Každopádně uvidíme, doufám, že nějaká česká banka nabídne možnost použití freeotp či yubikey, tak je prosím zkuste též bombardovat, ať mají důvod.
-
To je bohužel paradox, nad kterým nepřestávám kroutit hlavou. V dřevních dobách, kdy byl příslušný hardware drahý a nepříliš rozšířený a jeho podpora problematická (typicky to vyžadovalo nějaký ActiveX nesmysl, takže Windows only a ani tam to nebylo triviální), to banky běžně nabízely, často dokonce jako jedinou možnost pro aktivní transakce.
Dnes máme FIDO2/webauthn, otevřený standard s hromadou implementací v cenách od pár korun, od jednoduchých tokenů po kousky s kontrolou biometrik, pro fandy "apek" i softwarové implementace, podporu ve všech běžných prohlíčích na všech běžných OS. Ale banky se tváří, že nic takového neexistuje a zarputile trvají na falešné dichotomii "proprietární apka nebo SMS" (s dodatkem že SMS je fuj).
-
L.Stříbrný podporovatel
V těch "dřevních dobách" ještě nebyly tolik rozšířené mobilní telefony, takže to byla alternativa k SMS. Nicméně s tím byl hrozný opruz a věčně to nefungovalo a s rozšířením mobilů SMS autorizace převládla a čipové karty vymizely.
Ono nejde ani tak o počet implementací jako o počet uživatelů a ten je zatím dost malý. Navíc pro potvrzování transakcí by byl potřeba klíč, co umí ukázat podepisované údaje a jejich uživatelů je ještě méně.
-
pro potvrzování transakcí by byl potřeba klíč, co umí ukázat podepisované údaje
To je takový oblíbený argument zastánců proprietárních aplikací, ale ve skutečnosti je to spíš jen takový falešný pocit bezpečí. Ta smartphone aplikace sice údaje ukazuje a stejně tak jsou i v SMS, ale pokud už by tam nějaký útočník byl, ukázat něco jiného, než co se potvrzuje, je to nejmenší.
-
L.Stříbrný podporovatel
Nevím jak vám, ale já transakci z IB podepisuji vždy biometricky, tedy otiskem prstu. Samozřejmě ne-biometrické podpisy jsou citelně slabší.
-
Jednak ten podpis není "biometrický", protože ta biometrie slouží pouze k "odemčení", ověření toho, kdo manipuluje s telefonem (což vůbec nemusí být ten, kdo má podepisovat!) - a druhak mi ta biometrie nějak nefunguje skoro nikde, skoro vůbec.
(Spoléhat jen na biometrii, tak už se ke svým penězům vůbec nedostanu!) -
Nemáte tak úplně pravdu. Obecně je "čipová karta" (nebo "token" - to je v podstatě jedno) jedna z nejbezpečnějších možností, ale v podstatě přidává jen faktor
něco mít
. Prostá SMS je teoreticky podle stejné logiky, ale s možnostmi odposlechnout či podvrhnout SMS na ni není spolehnutí.
Zobrazovat podepisované údaje přímo na tom zařízení by příliš nepomohlo, protože se stejně "podepisuje" nějaký "otisk" (hash...) - tedy muselo by se tam přenášet něco zobrazitelného a navíc byste musel mít důvěru k tomu, že k podvržení nedošlo ani při tom dodatečném přenosu, ani na zařízení. (A když je dost složité na to, aby ovládalo obrazovku, je dost složité na to, aby se to dalo změnit.) -
L.Stříbrný podporovatel
Mám pravdu úplně: Server banky pošle do PC zprávu, obsahující (strojovou) specifikaci příkazu a nějaký human-readable řetězec, který ji popisuje. PC ji předá do HW tokenu. HW token zobrazí (na své obrazovce) ten human-readable řetězec. Uživatel ho zkontroluje a pokud je OK, přiloží prst.
Token zkontroluje otisk, pokud souhlasí, vyrobí za použití privátního klíče hash zprávy a odešle zpět na server. Server veřejným klíčem (který získal při párování zařízení) zkontroluje, zda otisk byl provedený příslušným privátním klíčem a zda odpovídá zprávě, kterou nechal podepsat.
Samozřejmě je nutné mít důvěru v HW token, nicméně ten je oddělený, jednoduchý a komunikuje pouze přes USB. Po cestě mezi tokenem a serverem banky (síť, PC) se může dít cokoli, ale pokud někdo zprávu modifikuje, tak ji server následně odmítne, protože neodpovídá tomu, co poslal k podpisu.
Pokud mám token, který pouze říká "něco" podepsal, tak ten mi moc nepomůže, to už je snad bezpečnější ten mobil (s biometrikou).
-
Zaměňujete "token s biometrií" a obyčejný "hloupý token/čipovou kartu". Tam se IMHO obvykle posílá pouze hash toho, co chcete podepsat, zařízení si vyžádá PIN (nebo taky ne, stačí stisk tlačítka na tokenu), zprávu podepíše uloženým klíčem a předá zpět, následně je to odeslané "na server".
A pokud jde o biometrii, tak ta zatím nedosáhla takové úrovně, aby byla spolehlivě použitelná (ověřila, koho má, a neověřila, koho nemá). Že je stále více rozšířená v tom mnoho neznamená. -
L.Stříbrný podporovatel
Ne, to zaměňujete vy. Michal Kubeček napsal "... od jednoduchých [FIDO2] tokenů po kousky s kontrolou biometrik" a já k tomu připodotkl, že bez zobrazování podepisované informace je to stále horší řešení, než klíč v mobilu.
Takže ještě jednou a polopatě: Aby byl (FIDO2) token lepší/bezpečnější, než mobil (s biometrií / TPM čipem), musí mít biometrii a možnost spolehlivě zobrazit, co člověk podepisuje. Jinak je lepší ten mobil. A protože takových tokenů mezi lidmi moc není, tak je "záhada", proč je ty "hloupé" banky nepodporují, vyřešena.
Na závěr jste předvedl ještě klasický argumentační faul "když to není 100%, tak to nemá cenu". Nic není 100%.
5. 10. 2022, 14:45 editováno autorem komentáře
-
Mobil není "lepší" z toho důvodu, že zobrazuje, co podepisujete. To jen "věříte" nějaké aplikaci, že funguje, jek má - stejně, jako (ne)věříte tomu tokenu. Funkce těch tokenů (těch jednoduchých, abych se vrátil na úroveň čipové karty) je opravdu jen potvrdit, že "něco máte" a ve skutečnosti tam ani vlastní podepisování transakce nemusí probíhat, jen si ta aplikace ověřuje, že skutečně "máte to, co máte mít". (Jo, mobil s TPM čipem.)
Netvrdím, že biometrie musí být 100%, aby byla akceptovatelná. Jen to spoléhání na to, že "prostě funguje" neodpovídá (zatím) skutečnosti - a je velmi vhodné mít nějakou záložní možnost.
Abych se obloukem vrátil k tématu: nutit uživateli, aby si pořídil chytrý mobil s TPM čipem a biometrickým zámkem, podporovaným systémem a instalovanou jednoúčelovou aplikací - jako jediná "zaručený" prostředek - je hloupé přenášení nákladů na uživatele, nikoliv "lepší zabezpečení". -
L.Stříbrný podporovatel
> To jen "věříte" nějaké aplikaci, že funguje, jek má - stejně, jako (ne)věříte tomu tokenu.
Nikoli. Musím s politováním konstatovat, že opakovaně dokazujete, že problematice nerozumíte a neustále píšete nesmysly. Doporučuji méně psát a více studovat.
Ve scénáři s potvrzením příkazu z IB HW tokenem (bez displeje) věříte svému PC, že bance poslalo to, co jste do napsal formuláře. Token jen podepíše hash, ten napadat není nutné, stačí PC:
Ve scénáři s potvrzením příkazu z IB aplikací v mobilu musí útočník napadnout PC (aby poslalo změněný příkaz) a zároveň mobil (aby ukázal původní příkaz). A to je mnohem méně pravděpodobné, že se útočníkovi povede, než že se mu povede napadnout jen to PC. Nemluvě o tom, že by nějak musel do toho mobilu dostat data o tom, jaký to vlastně byl původní příkaz, aby ho mobil dokázal ukázat. Takový scénář prostě není realistický a neslyšel jsem o žádném reálném případu úspěšného provedení.
Mimochodem, aby byl mobil úspěšně napaden, nemusí v něm být "nějaká" chyba, musí v něm být taková chyba, která umožňuje porušit sandboxing aplikací. A oproti obecnému přesvědčení BFU o "děravosti" mobilů je takových chyb velmi málo.
(Odpověď platí též pro @Michal Kubeček, který namítal podobné věci.)
-
Nebudu polemizovat, nakolik problematice nerozumím. ;o)
S těmi scénáři máte sice pravdu, ale ono to není v rozporu s tím, co jsem psal.Token/čipovka totiž opravdu jen potvrzuje, ženěco máte
- a to nijak nesouvisí s tím, proč to právě chcete použít. Protože ve chvíli "podepisování" musí být připojen, lze vcelku oprávněně předpokládat, že se snažíte potvrdit to, co vidíte na obrazovce počítače. To ovšem u mobilu neplatí - a proto je dobré zobrazit, co vlastně chcete potvrdit.
Spekulovat, nakolik je pravděpodobné, že bude napadena jedna aplikace (v počítači...) nebo dvě (...a v mobilu) je zbytečné, protože to druhé je podstatně méně pravděpodobné. Ovšem otázkou zůstává, zda takové zabezpečení není už příliš (IMHO "není"), či zda token/čipovka nestačí (IMHO "stačí", i když vezmeme v úvahu PSD2).
Problém vidím především v té jednolitosti. Banky (nejen ony) si zjednodušují situaci tím, že prosazují jen jedno řešení - to bezpečnější. A neberou ohledy na to, že to klientům/uživatelům může přinášet náklady, případně riziko, že se (například) nedostanou ke svým penězům, protože selže ověření (a stačí k tomu málo: vybitá baterie, ztráta spojení...). V některých případech je možný fallback na nějaké off-line řešení (OTP...), v některých nikoliv. -
Jinak je lepší ten mobil.
...za předpokladu, že slepě důvěřujeme bezpečnosti prostředí toho smartphonu navzdory reálným zkušenostem.
...tak je "záhada", proč je ty "hloupé" banky nepodporují, vyřešena.
Vyřešeno není nic. Bankám ve skutečnosti o bezpečnost moc nejde, pro ně je na prvním místě pohodlí. Např. moje banka teď přišla s "geniálním" nápadem, že spárovat smartphone aplikaci s účtem nebude potřeba v internet bankingu, ale bude stačit ověření snímku obličeje, který se porovná s nějakým uloženým a pokud žádný uložený není, s fotkou z občanky nascanované při založení účtu. To vám připadá bezpečné? Stejně tak je bance úplně šumák, že se jako "druhý faktor" u internet/smart bankingu provozovaném na smartphonu použije ověření tím samým smartphonem. Ale externí FIDO2 by prý byl strašně nebezpečný...
-
Koukám, že některé mně neznámé banky mají ještě hloupější nápady, než mně známé banky! ;oD
Bankám nejde ani o to pohodlí, ale především o minimum nákladů vynaložených na minimální zabezpečení, které musí mít nastavené. Ve chvíli, kdy je zabezpečení dostatečné na to, aby negenerovalo náklady na likvidaci škod, způsobených překonáním toho zabezpečení, nemají důvod něco zlepšovat. (A přehozením zodpovědnosti na uživatele/klienta zůstane jen "reputační riziko", což se dá "okecat".) -
To bombardování od "nás několika" uživatelů moc nepomáhá. Já to dělám pravidelně, ale zrovna nedávno mi potvrdili, že
osobní účet s přihlášením čipovou kartou má v celým kraji jen jeden člověk
- tak jsem je musel vyvést z omylu, protože jsem mezitím založil účet synovi. ;oD
Pokud to nebude chtít 20 % klientů (těch, na kterých ty banky nejvíc vydělají), nemáme šanci. -
To bombardování od "nás několika" uživatelů moc nepomáhá.
Zkusit se to ale musí. Např. Air bank před časem natvrdo oznámila, že od nějakého data nepůjdou platby kartou na webu potvrzovat jinak než smartphone aplikací ("protože PSD2"). A asi těch rozhořčených reakcí bylo dost, protože ještě před tím datem z toho vycouvali a nakonec náhradní řešení pro odpírače smartphonů implementovali (není perfektní, ale díky za něj). Takže protestovat má smysl - aspoň někdy.
