Vlákno názorů k článku
Americký institut standardů a technologie chce zakázat dvoufaktorové přihlašování s pomocí SMS
od qwertz - No to je fakt vysoce Yntelygentni. Výhoda dvoufaktoroveho...
-
qwertz (neregistrovaný)
No to je fakt vysoce Yntelygentni. Výhoda dvoufaktoroveho potvrzeni pomoci SMS je nejen jednorazove heslo dorucene nezavislym kanalem, ale soucasne take informace co potvrzuji. Vsechny ty bimetricke nesmysly, softwarove nebo hardwarove OTP apod maji jednu podstatnou vadu - tj. lze s nimi bez problemu podepsat podvrzenou transakci. Staci aby napadene zarizeni zobrazovalo tu spravnou a user je v prdeli.
-
. . (neregistrovaný)
NIST je standardnizační organizace, nemůže nic zakázat, pouze doporučovat, přečetli jste si vůbec zdroj té zprávičky? Píše se tam "new systems SHOULD carefully consider alternative authenticators ... OOB using SMS is deprecated, and may no longer be allowed in future releases of this guidance."
Nejedná se o nejbezpečnějšní potvzrení internetbankingu ani u nás, běžně jsou dostupné "přístupové kalkulačky", které nespoléhají na kanál, který nelze zabezpečit.
-
qwertz (neregistrovaný)
Ony kalkulačky mají jednu podstatnou nevýhodu. V případě MITM útoku, nebo napadení příslušného zařízení nijak nezabrání tomu, že je kalkulačkou podepsána podvržená transakce. Ve zkutečnosti jsou tak tyto hustomegakrutopřísné OTP úplně bezzubé vůči celé řadě útoků.
Napadení zařízení a současně odposlechnutí nešifrované SMS je tak mnohem méně pravděpodobné, něž pouhé napadení zařízení, kde je využívána kalkulačka. A i v tomto případě může poškozený konat, protože mu přijde SMS indikující podvodnou transakci.
Jinými slovy místo opravy slabého místa OOB vymýšlíme hranaté kolo s poloviční bezpečností.
-
bmann (neregistrovaný)
Vypadáto, že máte jistou obcesi normálními SMS a není to poprvé. Nevím proč nedokážete přijmout, že existují lepší varianty než SMS.
To co vy popisujete není bankovní kalkulačka ale něco jako generátor kódu pro transakci a ten je napadnutelný. Toto používá třeba Unicredit bank. Navíc zušili i heslo pro přihlášení pokud máte ten jejich token (SW nebo HW).
Jak funguje správná kalkulačka jsem poisoval níže -> zadáváte do ní informace o transakci a na záladě toho to generuje kód!
-
L. (neregistrovaný)
Tak třeba mBank AFAIK posílá (nebo posílala) jen SMS typu "Potvrzovací kód pro operaci č. 1 je 12345", tím taky podvržení transakce nezabráníte.
A slušná kalkulačka samozřejmě OTP počítá na základě údajů transakce které do ní vložíte nebo které vám zobrazí, takže zuby mají docela slušné :D
-
bmann (neregistrovaný)
Lepší varianty dle mého názoru:
1. HW kalkulačka pro transakce (princip popsán jinde)
2. jako 1 ale SW varianta
3. Aplikace ala ČSOB smart banking (tam jsme se shodli, že to je dobrá varianta)
4. bankovní SMS (šifrováno, SIM toolkit)
5. samozřejmě čipové karty. Tady může být problém s tím, že nevíte co podepisujete. Ale to je problém varianty, protože existují i čtečky karet s displejem, které dokáží zobrazit podepisovaná data.Obecně cokoliv jako SW na mobilu je problém, pokud se používá i k něčemu jinému. Může dojít k napadení bankovní apliakace, ale i k pozměnění SMS. takže osobně preferuji HW.
U těchto variant se dá vyhnout útokum na SMS:
- odposlech ze vzduchu
- falešná BTS
- voip
- odposlech na systémech operátora (někdo uvnitř)
- systém předání SMS od banky operátorovi (hodně často v clear textu). -
L. (neregistrovaný)
Ad 1: Drahé a pro lidi co nechtějí přistupovat k IB striktně jen z jednoho místa nutnost tahat s sebou další zařízení => nepříliš použitelné.
Ad 2: Jak se liší od varianty 3?
Ad 3: Dobrý poměr cena / výkon, jen ne všichni klienti mají chytrý telefon, tedy je potřeba k tomu mít ještě nějakou variantu.
Ad 4: Jak jsem psal, technologie je spíš na ústupu, protože bankovní SMS jsou asi jediné v současnosti rozumné využití té technologie a to je málo. Navíc je nepohodlná na ovládání (z mojí zkušenosti).
Ad 5: Souhlas, je nutný displej, je nutný přístup k té kartě přes API a obecně je nutná funkčnost v klientském počítači a pokud to klientovi nefunguje, vy mu moc nepomůžete...
-
bmann (neregistrovaný)
ad 1:
To je Váš subjektivní názor.- jsou lidé co spravují svůj účet jen z jednoho místa
- pár sto korun pro někoho nemusí být drahé . S ohledem na možnou výši prostředků a úroveň bezpečnosti jako HW kalkulačka poskytuje je zandebatelný obnos
- kalkulačka může být velikosti kreditní karty, i když o něco tlustší. Opět pro někoho to nemusí být problémad 2: kdysi jsem tuto variantu zahlídnul, ape ne u nás. Ale fakticky s existencí varianty 3 ztrácí význam
ad 3: nikdo netvrdí, že má toto má být jediná varianta ani že se mají SMS zrušit. problém může být v momentě kdy banka nic jiného nenabízí.
ad 5: ano, je to komplikovanější ale jako varianta validní
-
L. (neregistrovaný)
ad 1: To není žádný můj subjektivní názor, ale zkušenosti z reálné praxe. Lidé, kteří
a) jsou ochotni HW klíč zaplatit a zároveň
b) jsou ochotni do něj přepisovat při každé platbě údaje a zároveň
c) jsou ochotni si zařídit, aby ho měli kdykoli potřebují podepsat transakcijistě existují, ale je jich málo, takže se moc nevyplatí to provozovat.
-
qwertz (neregistrovaný)
Jenže v případě OOB musíte mít napadené zařízení 2 tj. zařízení obsluhující bankovnictví (např. počítač, tablet apod.) a současně mobilní telefon, navíc nějakým vzájemně provázaným a koordinovaným způsobem.
I naprostý laik pochopí, že je to nesrovnatelně méně pravděpodobné, než napadení jediného zařízení, kde probíhá vše současně. Nemluvě o tom, že tento způsob OOB jako jediný poskytuje nezávislou zpětnou vazbu, "co se vlastně autorizuje".
-
bmann (neregistrovaný)
Reagoval jsem na Váš první komentář, kde se píšete jen o 2FA a napadáte vše ostatní kromě normálních sms. O všem na jednom zařízení jste tam nepsal, takže má odpověď byla na stejné téma.
Ano je mnohem těžší napadnout 2 kanály. Ale normální SMS není bezpečnější než některé další 2FA varianty.
Mohl byste si přečíst:
http://www.theregister.co.uk/2016/04/08/google_android_2fa_breakable/
