Názory k článku
Apple chce standardizovat SMS bezpečnostní kódy
-
![[object Object]](https://i.iinfo.cz/sh/profile/avatar/avatar-default.gif)
Dnes diky variabilite banka napise, ze jde o prevod z uctu 123 na ucet 987, castka, variabilni symbol a muze tam dat i odkaz na stranku banky. Nechci videt jen to, ze chce banka neco zaplatit a ja nevim, co.
Kdyz to diky formatu zpracuje mobil sam, tak mi schazi druhy faktor. Tim nemyslim jen proti tem hackerum, ale i jako overeni. V SMS vzdy kontroluji, jestli vsechno sedi a neposilam treba tisicinasobek diky interpretaci 100.0 jako 100 000.
A nakonec, SMS nejsou bezpecne.
-
Filip JirsákStříbrný podporovatelTo jste ale nepochopil, jak to má fungovat. Už dnes se mobilní aplikace snaží doplňovat jednorázové kódy. Např. aplikace (myslím) České pošty si kód převezme rovnou ze SMS, pokud ho najde, protože v SMS nejsou žádné další údaje, jde jen o ověření toho mobilního čísla. Prohlížeče se také snaží pro příslušné políčko (pokud ho rozpoznají) v našeptávači klávesnice nabídnou kód ze SMS – zrovna Safari na iOS se takhle chová. Jenže to je závislé na tom, že se podaří uhodnout, k čemu ta SMS patří a jak s ní zacházet. Návrh spočívá v tom, že půjde přímo ze SMS spolehlivě určit, komu patří, že používá daný standard a půjde z ní přečíst ten kód. Neříká nic o tom, že by se ten kód někam doplňoval automaticky.
Zrovna u toho vašeho příkladu s bankou třeba automatické doplňování nedává žádný smysl. Transakci zadáváte na PC nebo jiném mobilu, a na tenhle mobil vám přijde SMS s údaji pro potvrzení – a kód musíte zadat do toho PC nebo mobilu, kde jste transakci zahájil. Na tom mobilu, kam SMS přišla, ten kód nikam nezadáváte, jenom ho z něj opisujete.
Pokud SMS používáte jako „druhý faktor“ tak, že na jednom mobilu zadáte příkaz k úhradě, na ten samý mobil vám přijde potvrzovací SMS a vy z ní opíšete kód, je obrovská díra už v tom, že ve skutečnosti nepoužíváte žádný druhý faktor. Jestli si pak ověřujete nebo neověřujete ty údaje v SMS, to už je celkem jedno.
SMS nejsou moc bezpečné, ale ne vždy se používají jako 2FA. Někdy se SMS používá prostě pro ověření vlastnictví mobilního čísla, někdy pro spárování mobilního čísla s aktuální session na webu atd.
-
Martin X (neregistrovaný)
"Pokud SMS používáte jako „druhý faktor“ tak, že na jednom mobilu zadáte příkaz k úhradě, na ten samý mobil vám přijde potvrzovací SMS a vy z ní opíšete kód, je obrovská díra už v tom, že ve skutečnosti nepoužíváte žádný druhý faktor. "
Tipnem si, ze 99% beznych ludi to pouziva v takomto rezime ak zadava platobny prikaz priamo na mobile (ja mam na potvrdzovacie SMS samostatny "blby" mobil a vyhradenu SIM kartu, ktoru nepouzivam na bezne telefonaty). -
Filip JirsákStříbrný podporovatel
Nepředpokládám, že pouhé jedno procento uživatelů používá bankovní aplikace a zbývajících 99 % se na mobilu trápí s webovým bankovnictvím. Pokud se někdo pokusí otevřít internetové bankovnictví na mobilu, měla by ho banka dost důrazně varovat, že používat internetové bankovnictví z mobilu, na který chodí autorizační SMS, je nebezpečné a banka neručí za škody.
-
Filip JirsákStříbrný podporovatel
Pokud si někdo nechá zasílat autorizační SMS na to samé zařízení, ze kterého zadává příkaz k úhradě, bezpečnost tím samozřejmě snižuje – místo dvoufaktorové autentizace používá jednofaktorovou.
Pokud útočník napadne váš počítač a odposlechne vaše přístupové údaje do internetového bankovnictví, a používáte 2FA, stále ještě nemůže z vašeho účtu odeslat peníze, protože ta autorizační SMS přijde na mobil, který neovládá. Pokud ale útočník napadne váš mobil, kam vám chodí autorizační SMS i se z něj přihlašujete do internetového bankovnictví, odposlechne přihlašovací údaje a zároveň má přístup k té autorizační SMS, takže má vše,co potřebuje, aby provedl převod.
Pokud už útočník mobil ovládá, je varování samozřejmě k ničemu – útočník to varování může odstranit. Ale předpokládám, že většinu mobilů ještě neovládá nějaký útočník. To varování by tedy bylo určené běžným uživatelům, třeba vám, aby se naučili, že internetové bankovnictví přes mobil nemají nikdy používat a mají si místo toho nainstalovat mobilní bankovnictví.
-
Dříve se bankovní pin zadával do mobilu, aby šla ta šifrovaná SMS přečíst. Teď se zadává do počítače. Takže nejen že lze snadněji odchytit tu SMS, ale na odchycení pinu stačí keylogger. Oproti původnímu řešení, kdy k útoku bylo potřeba ukrást mobil a gumovou hadicí z majitele vymlátit pin pro bankovní SMS, úroveň zabezpečení klesla. Natolik, že na cizím počítači si už do bankovnictví vlézt netroufnu. Což jsem dříve s eBankou bez obav dělal právě proto, že sebelepší malware v tom počítači s bankovní SMS nic nezmohl.
-
Já vím, jak fungovaly šifrované SMS v rámci SIM Toolkitu RB. Jen jsem chtěl doplnit, že to není jen o zasílání SMS (jako např. má Fio), ale je tam navíc ten e-PIN, který o něco bezpečnost zvyšuje než jen plain sms.
Ostatně nejdokonalejší řešení byla ještě před SIM Toolkitem offline autentizační kalkulačka.31. 1. 2020, 14:33 editováno autorem komentáře
-
L.Stříbrný podporovatel
Jenže podstatnou součástí bezpečnostního řešení je i uživatelská přívětivost. Paranoiků, co se tetelí blahem, když musí každou transakci zadávat dvakrát (jednou do IB, podruhé do kalkulačky) je velmi omezené množství. A cena. Proto taky offline kalkulačka bylo řešení dost nedokonalé a upustilo se od ní.
Autorizační SMS přes SMS toolkit je o něco lepší, ale taky nic moc. Svého času jsem to používal a než se člověk proklikal v menu mobilu k té SMS, chvilku to zabralo. Co ji opravdu zabilo byla nutnost běhat s mobilem pro instalaci SIM toolkitu do banky a fakt, že ostatních aplikací SIM toolkitu nebylo nikdy mnoho a jakmile vyvstaly i jiné možnosti, jak aplikaci do mobilu dostat, tak zmizely úplně a SIM toolkit víceméně odešel do věčných lovišť.
-
Vice mene nic z toho co pises o STK neni pravda. Sms se i ebanky vzdy objevil sam. Nebylo potreba se nikam proklikavat. Stejne tak pak u nebylo potreba vubec chodit s mobilem do banky, protoze sim obsahovala standardni aplikaci, ktera se aktivovala kodem na dalku. Takze rozdil v komfortu oproti stavajici situaci s nesifrovanou sms temer zadnej. Dnes teda uz jde casto potvrzovat otiskem prstu, coz je prece jen pohodlnejsi...
-
BobTheBuilderStříbrný podporovatelNe tak docela. Ta aplikace sdělí, že se uživatel ověřil kódem (a ta aplikace za ověření může považovat i biometrickou autentizaci, pokud ji povolíte). Ale nemůže to být jakákoliv instalace té aplikace, musí být na ověřeném zařízení - viz třeba Air Bank.
SMS má ale jednu výraznou výhodu: je to triviální na použití a kupodivu to i málo obtěžuje. To oceníte v okamžiku, kdy vám telefon nešťastně spadne, SIM dáte jinam a je to. Máte-li aplikaci, právě začaly značné potíže.
Další plus pro SMS je, že můžete mít propojený počítač a mobil (nejen iPhone a macBook/iPad, tohle už je v insider verzi i pro standardní Windows 10 - aplikace Telefon) - pak ten telefon nemusíte brát do ruky, když vám doručenou SMS zobrazí počítač.
To je zkrátka pohodlné. Riziko napadení SMS je naproti tomu dost nereálné: fakt vám někdo hackne přihlašovací údaje a ještě se dostane do sítě operátora, aby napadl SS7 a odchytl SMS? To byste musel být POTUS nebo aspoň Křetínský, aby tohle hrozilo. -
Asi tomu znovu objevenému kolu moc nerozumím, viz SMS Retriever API na Androidu. Nehledě na to, že celá ta sranda s 2FA přes SMS je poněkud de mode.
