Vlákno názorů k článku Útoky typu SIM swap nepolevují, převzetí čísla je cestou k identitě od kochi - A zabezpečení mobilní aplikace k bankovnímu účtu pouze...
-
A zabezpečení mobilní aplikace k bankovnímu účtu pouze 4 ciferným PINem, to je potom výraz bezpečnosti. Zadám 4 čísla a mohu s bankovním účtem provést naprosto cokoliv. Ale hlavní je, že komunikace mezi mobilní aplikací a bankou je naprosto bezpečná.
Místo znalosti čísla pro přihlášení do internetového bankovnictví, hesla a opsání PIN z SMS se bezpečnost redukuje pouze na znalost 4 čísel. -
Pletete dohromady autorizaci a autentizaci. V tomto případě je zařízení už autentizované a bankovní systém ho zná jako unikátní přístroj. Pro jeho obsluhu je třeba ho fyzicky držet v ruce. Navíc se ale obsluha lokálně autorizuje, aby potvrdila svou identitu.
Je to vlastně stejné, jako v případě platební karty. Ta se autentizuje pomocí vestavěného privátního klíče a opravňuje uživatele pracovat s účtem. Navíc ale se musí uživatel té kartě představit a autorizovat se.
-
Takže mi banka nařídila se autentizovat pomocí 4 čísel. Mohu jen doufat, že má aplikace nějaké mechanizmy proti autentizaci hrubou silou. Nebo jak někdo zmínil níže musím nějakým způsobem zabezpečit přístup k telefonu pomocí něčeho víc než 4 čísel. Co vím, tak otisk prstu nemusí být jednoznačný (https://www.svetandroida.cz/ctecky-otisku-prstu-bezpecnost/) a odemknout xichtem, to asi neumí jen tak každý telefon a otázkou je, zda jde obličej podvrhnout snadno, obtížně či vůbec.
Vlastně je to podobné jako PIN u platební karty a např. výběr hotovosti z bankomatu - byť tam je omezený počet pokusů na zadání.
Z mého pohledu bych se chtěl autentizovat nějakým silnějším heslem a to jen pokud chci pracovat se svým bankovním účtem.
-
Něco podobného už dlouho řeším u FIO. IB na PC vyžaduje SMS, nebo ověření z aplikace v mobilu.
Jenže když mám aplikaci na Androidu, *žádné další zařízení k ověření už není*. Takže mé peníze chrání otisk prstu, nebo 4 místný PIN.
Ptal jsem se hodně krát, zda bych mohl platbu zadanou na mobilu autorizovat na PC - ne nejde to.Takže mé peníze chrání mobil vyrobený v Číně, který nosím všude po kapsách. Xiaomi posílá aktualizace na android, ale ne zrovna často. O občasných uniklých hrozbách z Google Play radši nemluvit. A že si dost lidí instaluje kradené APK z uloz.to radši nezmiňovat.
Jenže mobilní aplikace se kvůli QR platbám vzdát nechci.
Dvoufázové ověření se tím úplně ruší.
-
Smazaný profil
Ale tak to trochu popíráte učel MB. Přece máte MB v telefonu, abys jste nemusel k počítači. To co chcete je podle mě totalní minorita.
Ale řešení tu jsou:
1. můžete si pořídit lépe podporovaný telefon, nestahovat apkčka z uloz.to apod.2. co vám brání mít 2 účty? Třeba hlavní jen přes IB a potvrzovaní na mobilu
a druhý na MB, kde budete mít menší obnos na to co potřebujete.Ale toto si musí každý vyjasnit sám co a jak chce.
-
Ja APK z uloz.to nestahuji.
Podle vaseho argumentu - proc kdyz mam IB v pocitaci, musim mit telefon na potvrzeni (sms/app)? To je prece to same.
Jenze ja neresim QR platby pro mensi obnosy a nechci to mit na jinem uctu, byly by s tim pak jen problemy.
Ja bych moc rad mohl pouzivat QR platby, ale autorizoval prikaz na jinem zarizeni. Jestli by to byl PC, nebo jiny mobil je asi jedno.
-
Smazaný profil
Chápu jak to myslíte, ale pointa je přece v uživatelské přívětivosti.
Mobilní bankovnictví je na mobilech proto, aby jste jej mohl použít kdekoliv, protože jej máte u sebe. To s PC nejde.Proto co chcete, by se hodil HW token/kalkulačka s bluetooth. Spojí se s mobilem a potvrzuje přihlášení a platby. Pak to máte mobilní a bezpečné.
Např. jsou i kalkulačky s foťákem pro čtení QR kódů v IB, ať se nic nemusí přepisovat.Bohužel banky v ČR na všechny tyto HW možnosti rezignovali. Kolem r. 2000 jsem měl u ČS klasickou HW kalkulačku a pak to zrušili, že to moc lidí nepoužívá a že SMS jsou taky bezpečný. Tak asi tak.
-
BobTheBuilderStříbrný podporovatelTu kalkulačku jsem měl taky, stála 900 nebo kolik a byl to neuvěřitelný opruz: opsat do ní číslo účtu, variabilní symbol a částku bez desetinné části... Vážně by to někdo chtěl zpátky?
SMS (tehdy) byly dost bezpečné zcela jistě: hacknout tlačítkový telefon je docela problém a napadnou protokol SS7 tak, abych dosáhl svého (mohl zneužít ukradené přihlašovací údaje do banky) taky není úplně snadné - ani dnes.
On je to vždycky kompromis mezi perfektním zabezpečením a snadností použití. Když to s tím zabezpečením přeženete, ve skutečnosti bezpečnost snížíte (třeba povinná změna hesla po měsíci a minimální délka 20 znaků - takové heslo si nikdo nebude pamatovat, bude ho mít někde napsané a lístek se bude někde povalovat, aby byl pěkně po ruce). -
Smazaný profil
Věřím, že existují lidé, co by to chtěli. Ona je to totiž ta nejbezpečnější varianta autorizace plateb. Je to trochu opruz, ale pokud máte jen pár převodů, tak to třeba akceptujete.
Navíc jsou varianty s modrým zubem či skenerem QR kódů. Už to sice není úplně oddělený a tak bezpečný, ale zase přívětivější. A dá se to používat i pro IB a MB.
-
Tak ono by dneska nebyl problém dodělat to načítání QR kódů do Internetového bankovnictví na PC, pokud by byla alespoň trochu rozumná webkamera (stejně ji většina lidí teď pořizovala), u některých bank už se tak fotí doklady při zakládání účtu.
Je to na pár řádků kódu a použití knihovny na dekódování QR kódu, jen to rozlišení je zatím na hraně, protože až na Chrome se to bere jako snímek z videa.
Ale proč by to banky dělaly, když tlačí všem mobilní bankovnictví.
-
L.Stříbrný podporovatel
A na notebooku s vestaběvou kamerou budeš muset použít zrcátko :-D
Ve skutečnosti AirBank umí, když jí nahraješ dokument s QR kódem ho přečíst a platbu na jeho základě vytvořit. To je mnohem praktičtější, ale používanost je prostě malá.
-
Jan HrachStříbrný podporovatel> A na notebooku s vestaběvou kamerou budeš muset použít zrcátko :-D
Nechápu, jako že bys fotil obsah obrazovky, abys ho dostal do toho stejného počítače? Proč si neuděláš screenshot?
Zajímal by mě use-case pro QR platbu mobilem u předřečníka. Mně chodí snad všechny věci elektronicky, takže to mám v počítači. A koneckonců i kdyby to bylo na papíře, tak to můžu vyfotit právě tou webkamerou.
-
Nevím, nakolik je univerzální možnost automatického načtení faktury z PDF do IB, jak to umí třeba zmíněný "šanon" u Air Bank (který to ale umí docela spolehlivě i bez QR kódu). S jistotou můžu jen říct, že u ČSOB/PS jsem nic takového neměl. Takže bych se nedivil, kdyby existovaly banky, které to umějí ve své mobilní aplikaci, ale ne ve webovém IB.
-
J ouda (neregistrovaný)
> Ověřovací aplikace je výrazně bezpečnější než SMS! A o tom je článek.
V čem prosím pěkně? že jsou relativně nové, takže zatím proti nim moc útoků není, přestože kritické bezpečnostní chyby na mobilních systémech (pod kterými běží) se vyskytují pravidelně v intervalech pár měsíců (a o nepublikovaných/nenahlášených si můžeme nechat jen zdát, případně je koupit na darknetu)? A že donedávna byly používány v takovém malém objemu, že není divu že nikomu nestály za cílené exploity, což je ale přesně věc, kam jejich nekritické pushování směřuje?
Sorry, ale tohle mi spíš připadá jako security by obscurity než "výrazně bezpečnější".P.S. Článek jestli ho čtu dobře nic o ověřovacích aplikacích nepíše, pouze o riziku sim swap.
-
Před osmi lety tu o tom vyšel článek https://www.lupa.cz/clanky/myty-o-bezpecnosti-mobilniho-bankovnictvi-jsou-nutna-dlouha-hesla-a-sms/
Ty aplikace nejsou triviální. Narozdíl od SMS.
