Vlákno názorů k článku
Fio banka umožnila přihlášení otiskem prstu do aplikace Smartbanking
od pracantjakoprase - Poskytování svých biometrických údajů bance a podobným zařízením...
-
pracantjakoprase (neregistrovaný)
Poskytování svých biometrických údajů bance a podobným zařízením je opravdu velká nevědomost a hloupost ze strany uživatelů. Jen se podívejte kolik bank bylo za posledních deset let kompromitováno a zjistíte, že z pohledu bezpečnosti jsou biometrické údaje stejně strašný nápad jako používat všude stejné heslo. Pokud otisky někdo ukradne, což se časem prostě stane. Chci vidět uživatelé jak si mění otisky prstů, krevní řečiště, oční duhovku atd....
-
BobTheBuilderStříbrný podporovatelA ten otisk skutečně je uložený v bance, nebo jen systém telefonu sdělí, kterým otiskem (nějaký HASH) to uživatel ověřil a server řekne ANO/NE? Že by naskenovaný otisk vyhodnocoval bankovní server je dost nepravděpodobné.
-
Jinak pokud se bavíme o Touch ID na iPhone, tak telefon si při učení ukládá pouze hash do SoC, odkud už nevyjde. Neznám případ, že by dosud útočník dokázal hash otisku ze SoC dostat ven.
Externí token je samozřejmě bezpečnější, ale ten obvykle lidé s sebou netahají. A pokud si mám vybrat mezi stisknutím Home buttonu a ťukání hesla, které lze vysledovat, tak si radši vyberu otisk prstu. -
j (neregistrovaný)
Co nechapes na tom, ze muzes generovat co chces, postatny je, ze vstup je porad stejnej. Muzes udelat klasickeh handshake, ale to je ti prd platny, kdyz utocnik zna heslo, a tim heslem je v tomhle pripade tvuj otisk. A ty ho nemuzes zmenit.
Ziskat tvuj otisk je daleko jednodussi nez ziskat i primitivni heslo.
-
Ondra Satai NekolaZlatý podporovatelHeslo pro vzdalenou stranu neni otisk ani nejaky jeho "hash". "Heslo" je ulozene nekde v trustzone a otisk je jenom pokyn k nejake autentizaci (chalenge response). Takze utocnik potrebuje ten svab (nejspis s telefonem) spolu s otiskem nebo svab a schopnost z nej to tajemstvi vydolovat.
-
Ondra Satai NekolaZlatý podporovatel
Proautorizujes ho znova na novem telefonu? Typicky tak, ze mas na nej cislo, kterym mu dodas dalsi "tajnou" informaci?
No a kdyz je ve frcu, tak co? (Odhlednemez od toho, ze nejspis pred tim to zarizeni odautorizuje a pri tom se zlikviduji informace v trustzone.)Proc si pro bohy neprectes, jak to funguje a zase spekulujes?
-
Ano (neregistrovaný)
Prakticky tu mame 2 giganty, kteri umoznuji uzivateli venovat svoje otisky zarizeni, do ktereho nevidi.
Takze tu mame ovladana media, ktera produkty tlaci lidem, tajne sluzby ovladajici tyto 2 giganty a roky a miliony proinvestovane na vyvoj touchID.
Jaka je sance, ze se otisky posilaji do Utahu do data center a jaka je sance, ze to s nama mysli uprimne a nic se nikam neposila.
-
Ondra Satai NekolaZlatý podporovatel
Ty vlastne nemusis cist nic, protoze vis, jak to funguje vsechno, ze?
-
maras (neregistrovaný)
No tvl, vim o tom prd a ale uz mam potrebu se vyjadrovat.
Povoleni prihlaseni pomoci senzoru je mozne zapnout az po prihlaseni do aplikace, tudiz aplikace zna identitu uzivatele.
Otisk slouzi jen jako alternativni metoda k prihlaseni, otisk zarizeni neopousti, banka ho nepotrebuje, uzivatele zna, protoze viz predchozi veta.
A sorry, i biometrika v teto podobe je spolehlivejsi nez jakakoliv uzivatelem volena hesla/piny (paranoici jsou naprostou vyjimkou)
-
j (neregistrovaný)
Tvle ...
Kdyz si pucim tvuj foun, tak ti behem 5ti minut vyluxuju ucet. Ani ti ho nemusim krast. Takze ti nic nechybi a to, ze mas ucet prazdnej ti dojde mozna za tejden .... V kazdym pripade ho dostanu VCETNE toho otisku kterej potrebuju.
Ostatne, kdo pouziva bankovnictvi z telefonu, a nema pritom druhej pro autorizaci, je u me magor a nic jinyho nez vyluxovanej ucet si nezalouzi. Biometrika je jeste horsi, jak karta s pinem napsanym na ni. Tu ti totiz musim slohnout, a musim s ni nekoho poslat k bankomatu a vybrat.
-
Seti (neregistrovaný)
No fajn, tak si povolím v aplikaci alternativní přihlášení pomocí otisku a co? A jsem ve stejné situaci, jako kdyby to bylo povoleno automaticky. Od té doby se přihlásí každý, komu se povede sehnat můj otisk.
Sorry, ale alternativní přihlášení pomocí biometriky v podobě otisku prstu, který je navíc pravděpodobně již obtisknutý na tlačítku home, je jako mít heslo napsané na čele. Otisk prstu, navíc ještě na nekvalitním snímači, lze s jistou dávkou naivity brát jako dodatečné zabezpečení k heslu. Zvolit si ho jako alternativu může jen někdo, komu na vlastních penězích nezáleží.
