Vlákno názorů k článku
Americký institut standardů a technologie chce zakázat dvoufaktorové přihlašování s pomocí SMS
od ppp - Tak tak. Poslední dva příspěvky to vystihly.
PC +...
-
Tomáš2 (neregistrovaný)
nejenže je problém zabezpečit cílové zařízení pro doručení sms, on je problém i zabezpečit samotný kanál pro posílání sms. V GSM síti totiž sms putují servisním kanálem a jejich šifrování je k pláči.
To se bavíme o GSM, ve zprávičce je ještě uveden problém voip, osobně bych doplnil i problém různých dsl či pagerů, nic z toho nebylo navrženo na bezpečnou komunikaci.
biometrie je špatná, nedokážu jít v případě úniku změnit. OTP a jiné formy nepřímého ověření by prozatím mohla být ta cesta, u českých bank to třeba nabízí rajfka, Airbanka by to měla testovat na podzim, snad KB to má u firemních účtů, máte někdo další banky?
-
Karel (neregistrovaný)
SMS se používá jen kvůli lenosti bank a protože běžný člověk nechápe rozdíl mezi SMS a bankovní SMS. Kupodivu jako první začaly bankovní SMS. GSM toolkit. Seženete SIM kartu co to umí, v bance vám do toho nahrajou aplikaci a klíče. Z té SIM karty nejdou vydolovat. SMS je šifrována klíči a bez nich si ji nikdo nepřečte. Asymetrická šifra, operátor dostává data již sifrovaná. Předá do mobilu, tam si ji vezme SIM toolkit aplikace, zeptá se na bankovní PIN a pak teprve ji dešifruje.
No a lidem se to líbilo. Tak jiné banky také začaly používat SMS. Jenže aby to nebylo drahé a aby to neobtěžovalo klienty nutností nechat si v bance do karty nahrát klíče a aplikaci, tak zvolili normální SMS. Lidem to stačí. A to je na tom to nejsmutnější. Přitom GSM toolkit byl navržen právě na bezpečnou komunikaci.
Rajfka zrovna bankovní SMS používá.
-
. . (neregistrovaný)
souhlasím, ale vodafone zrušil GSM toolkit někdy vloni, u T-mobilu se mi takovou kartu nepodařilo sehnat za posledních několik let, u O2 nevím. Dříve jsem to používal, ač to zranitelnosti má, pořád to je mnohem lepší než běžná sms, na nepodporu v řadě mobilů jsem si už také začal zvykat.
Rajfka má právě dostupné OTP přes svoje zařízení, což je také pohodlná a dobře zabezpečená alternativa.
-
Nesmysl. SIM tool kit podporuje jak T-Mobile, tak Vodafone:
https://www.t-mobile.cz/gsm-banking
http://www.vodafone.cz/osobni/vodafone-balicky-a-reseni/m-banka-a-m-platby/SIM tool kit je podporovan ve vsech hloupych, Android i Apple mobilech.
-
L. (neregistrovaný)
Bankovní SMS se nepoužívá
- protože podpora SIM toolkitu ze strany operátorů i výrobců mobilů je malá a stále klesající
- protože pro BFU je prostě nutnost osobně dojít nechat si na SIM nahrát aplikaci příliš komplikovanáJinak to není špatný způsob, taky jsem to používal, akorát proklikat se k těm SMS v menu byl trochu problém.
-
Vubec netusis o cem mluvis. SIMtoolkit podporujou porad snad vsechny mobily (jeste sem nepotkal zadnej co by to nemel). A diky standartni "Bankovni SMS" na novych SIM uz neni ani potreba zadnou aplikaci na SIM nahravat. Notifikace o prichozi SMS vybehne na popredi, takze neni nutny se nikam proklikavat.
Pouzivam denne. -
Filip JirsákStříbrný podporovatelJá mám s bankovními SMS na chytrých mobilech špatnou zkušenost. Ano, notifikace nakonec vyběhne, ale až když se to telefonu hodí. Mnohem rychlejší bylo se do SIM toolkitu proklikat rovnou, pokud člověk věděl, jak. Navíc bylo ovládání SIM toolkitu na chytrých telefonech mnohem pomalejší, než na starém hloupém mobilu. Technologicky jsem bankovním SMS fandil, ale použitelnost byla čím dál horší, až jsem utekl k normálním SMS. Sice mám pořád pocit, že to není dost bezpečné, ale aspoň to funguje…
-
bmann (neregistrovaný)
Tak ona Rajfka je snad poslední banka co bankovní SMS používá. JInou jsem neobjevil.
Ono asi nejlepší varianta pro málo plateb je OTP kalkulačka. Je to nezávislé a nikam nepřipojené zařízení do ktereého se zadají parametry platby a vygeneruje jednorázový kód. To znamená i když něco napadne PC a pozmění platbu, tak ten kód to neovlivní.
Kdysi jsem to měl u ČS a pak to zrušili a nahradili normálními SMS. Prej to používalo málo klientů a že SMS je stejně bezbečný.Co mi přijde v poslední době jako dobrý varianta a mnohem lepší než normální SMS jsou ověřovací aplikace. Např. u ČSOB Smart klíč (princip stejný jako nově u Googlu či mojeID).
Při transakci se připojí tato aplikace z telefonu do banky přes HTTPS, zadáte PIN a objeví se vám informace o platbě, Tu potvrdíte nebo ne. Výhody jsou, že to jde šifrovaně pčímo do banky, je to na jiném zařízení a vidíte informace o platbě.
Dokáže to fungovat i offline (nejsou li data dostupná) naskenováním QR kódu. -
. . (neregistrovaný)
bezpečnost a odolnost proti prolomení můžeš posuzovat až z konkrétní implementace, nikoliv z použitých technologií.
Teoreticky je velká, ke kartě potřebuji fyzický přístup a není snadné jí zduplikovat. I sebemenší drobnost může bezpečnost poslat do kytek, proto je nutné vždy posuzovat celý systém na kokrétní rizika, nikoliv říkat, že obecně je třeba sms nebezpečná.
-
bmann (neregistrovaný)
Jak psal Tomáš2, zaleží na finální implementaci. Ale jinak lze odpověď rozdělit:
1. čipová karta je navrhovaná proto aby nesla soukromé klíče a aby tyto klíče nešly z karty získat.
Takže i pokud zapomenete kartu ve čtečce v počítači, tak se ten klíč ven nedostane. Takže lze považovat vlastní kartu za bezpečnou.2. Jiný problém je vlastní použití karty (implementace).
a. nejjednodušší čtečka bez klávesnice a LCD - nejslabší varianta, protože PIN zadáte na normální klávesnici a nevidiíte co podepisujete
b. čtečka s vlastní klávesnící - PIN je mimo PC, ale opět nevidíte co podepisujete
c. čtečka s klávesnicí a LCD - nejlepší varianta, ale bankovní aplikace toto musí podporovat. Implementační náročnost. -
L. (neregistrovaný)
... a navíc je možné i vzdáleně mobilní ústřednu přesvědčit, aby SMS přesměrovala na jiné číslo (není to úplně triviální, protože operátoři jsou si téhle principielní díry vědomi a brání se, ale v principu to možné je).
To, že SMS jsou mizerný a nepříliš bezpečný potvrzovací kanál se snažím různé "experty" přesvědčit už nějakou dobu, ale jak je vidět i z téhle diskuse, je to marný, je to marný...
