Názory k článku
Google chce omezit dvoufázové ověření přes SMS
-
JA (neregistrovaný)
"SMS komunikace má ve většině případů mizerné zabezpečení a hrozí tak odposlechnutí autentizačního kódu." - to maji pravdu, nicmene tento problem se tyka pouze jejich androidu .......
"Pokud se použije speciální mobilní aplikace, data jsou samozřejmě přenášena patřičně šifrovaným kanálem." - takze opet stejny problem, pokud se jedna o jejich bugdroid. Pokud se jedna o iphone a windows, tak jim to usetri za SMS. Vlastne i na tom lagroidu, preci jen je to jedno a overeni v aplikaci bude levnejsi.
-
AAlesh (neregistrovaný)
A5/1 je dneska s dostupností velkého výpočetního výkonu totální trapárna.
Realtme sice vyžaduje lepší stroj, nicméně těch pár papírů za odposlech není takový problém.
Jenda Hrach o tom má perfektní přednášku:
https://www.youtube.com/watch?v=IA3NaCoA_v4 -
ldx (neregistrovaný)
Ještě jsem neviděl, že by chodila nějaká zašifrovaná zpráva přes SMS. Ale i kdyby chodila, tak by to byla jen komplikace, jelikož SMS jsou dostupné z mnoha aplikací, tak stačí zachytit a přeposlat útočníkovi na jiný stroj a ten by si s tím už nějak poradil. Klasický MITM. Chvilku by asi trvalo, než by se tomu útočníci přizpůsobili, ale nakonec by vše fungovalo úplně stejně jako doteď. Smyslem například https je to, že právě MITM by tam neměl připadat v úvahu a o to se asi Google teď snaží.
-
BobTheBuilderStříbrný podporovatelNo jenže MITM dělá každý antivirus, jehož webová komponenta hlídá i HTTPS. Ostatně, jinak to dělat ani nemůže, ale výsledkem je, že spojení je šifrováno (z hlediska klientské strany) certifikátem, vydaným lokální autoritou - antivirem - a o původním certifikátu nevíte nic).
-
spokojený uživatel (neregistrovaný)
Tak to už spoustu let není, kdysi jsem skutečně musel vyndat SIM kartu z telefonu a dát bankéřovi do jeho čtečky, ale s další SIM kartou stačilo pouze nahlásit číslo a operátor mi vše potřebné na SIM kartu poslal vzduchem (OTA). Když už ten mobil stejně mám tak mi to připadá jako velice dobrý komunikační kanál s bankou. První telefony s Androidem měly velkou nevýhodu že potřebnou technologii (SIM toolkit) nepodporovaly, ale s novými telefony to už není žádný problém.
-
ldx (neregistrovaný)
No tak to je řešení, nejhorší z možných. Dávno překonaná proprietarní technologie. Tudy cesta určitě nevede, nechápu proč furt někdo vykopává mrtvé kobyly a myslí si že poběží dostihy? Operátoři jsou out, je jen otázka času než například Elon Musk se satelitním internetem nebo Eutelsat nahradí poskytovatele připojením z kosmu. V té době bude normální VoLTE a přes satelit to pojede podobným způsobem, nebude mít už žádný smysl pořizovat si fyzickou simkartu a spoléhat na pozemního operátora. Tím neříkám, že skončí, ale budou se muset od základu transformovat.
To co se dneska děje, je jen vývoz zisků z dojné krávy, získat co nejvíc na lukrativním trhu, dokud se nezmění podmínky. Game changing období nastane za 4-5 roků.
-
Dávám bolševikovi rok, maximálně dva :D
Existuje technologie, která telefonu umožňuje vybrat si providera bez fyzické výměny SIM. Její implementace u operátorů by měla být (doufejme) za dveřmi.
https://en.wikipedia.org/wiki/Remote_SIM_provisioningSatelitní spojení bude v obydlených oblastech vzhledem k nákladům na vynášení satelitů asi vždycky dražší, než použití pozemních vysílačů. Navíc v budovách a mezi vysokými domy toho satelitního signálu nejspíš moc nechytíte.
Mimochodem zkuste se na svět podívat také z pozice operátora. Chcete provozovat síť? Na prvním místě si stát nechá zaplatit za frekvenci. Například jen za LTE frekvence v roce 2016 dal český operátor O2 nějakých 1,47 miliardy korun. Tyhle peníze samozřejmě musíte získat zpátky od zákazníků. Stát jásá že dostal peníze, a nakonec je zaplatíte vy operátorovi, na kterého pak můžete nadávat. Je to vlastně skrytá daň z mobilu. Dále operátor musí vystavět síť, provozovat ji, a neustále ji upgradovat. Opět to někdo musí zaplatit.
Teď si představte, že prostě si koupíte frekvence za spoustu peněz, a stát vám pak regulací přikáže maximální ceny, jako v případě mobilního roamingu. Pro zákazníka je to jistě příjemné (a mě se to moc líbí, dokud nejsem mimo EU), ale operátor z toho asi moc radost nemá.Pokud jde o budoucnost, tak 5G sítě by měly být "všudypřítomné" a propojovat vyjma telefonů také všechny další zařízení, včetně chytrých ledniček, chytrých odpadkových košů atd. Na mě to působí jako bezpečnostní Armageddon ve stylu hry Watch Dogs, ale uvidíme.
-
někdo (neregistrovaný)
"bude normální VoLTE a přes satelit to pojede podobným způsobem" - fyzika nejspíš není vaším koníčkem, tak si prosím aspoň vygooglujte co to je latence a pak pochopíte proč telefonování přes satelit lidi nikdy nebudou mít moc rádi. A až ještě k tomu navíc zjistí jak rychle se jim při telefonování přes satelit vybíjí baterka...
-
Adam KaliszStříbrný podporovatelTak na LEO je to tuším 2000 km, s rychlostí světla to dáte za 10 ms, když počítám s 2 * 10^5 km/s. Pro hovor samozřejmě musíte komunikovat: vy-satelit-protistrana-satelit-vy, tedy 4x latence. Řekněme, že tedy bude zpoždění ca. 40 ms + režie na aktivních prvcích. Řekněme třeba 80 ms všechno dohromady. To je pořád něco, co lidi sice tak, tak postřehnou, ale není to při hovoru nic hrozného. Na realtime střílečku je to moc, to je jasné. Když satelit přiblížíte řekněme na 1200 km, tak máte už jen 3/5 té latence, což by byl best case 24 ms a real case asi 48 ms (počítám jakoby dvojnásobek). To už přestává být vědomě vnímatelné zpoždění. Kromě toho lepší signál, ale zato potřeba více satelitů.
Nemám pocit, že to vybíjení bude tak zásadní. Ale musel bych si to spočítat, než bych za to dal ruku do ohně. Něco mi říká, že lidi by klidně o polední pauze připojili mobil do nabíječky nebo na akku pack, hlavně když budou mít levná data a volání a to prakticky všude na zemi.
-
Ono to "prakticky všude na zemi" znamená "prakticky všude na zemi s výhledem na nebe", což doma nebo v kanceláři nemusí být úplně to pravé... A pokud se budeme bavit třeba o rychlosti internetu, tam to bude chtít celkem velkou anténu, aby se to dostalo alespoň k několika desítkám mbit a navíc ta anténa nemůže být směrová, protože to by musel být satelit na geostacionární dráze - nějakých cca 35000 km nad zemí a tam už jsme na latencích, který se nám fakt nelíbí. A co teprve vysílání... Dostat kapesním zařízením se všesměrovou anténou signál 1200km daleko, s dostatečnou šířkou pásma a malou chybovostí, to není úkol úplně triviální.
-
ldx (neregistrovaný)
Kdybyste se více vzdělával, tak byste ze sebe nemusel dělat d6bila.
Nově plánované satelítní sítě od SpaceX a Eutelsatu, případně Číny budou mít hustou síť satelitů zhruba v 300 km, takže latence bude na úrovní kabelového připojení.
Možná se bude víc vybíjet baterka, ale nepodceňoval bych vývoj v oblasti citlivosti zařízení i baterií samotných. Ale za tuhle svobodu vybrat si operátora bych osobně kratší výdrž zařízení obětoval.
-
Lemming (neregistrovaný)
Nesmysly. SMS putuje interními systémy operátora i mobilní sítí v otevřeném textu. A při GSM přenosu do mobilu je šifrována jen velmi slabou šifrou. Navíc SS7 signalizace mezi ústřednami nemá by-design žádné zabezpečení, takže klidně operátor z Ugandy může říct "SMSky pro číslo +420 603 XXX YYY posílej teď mě" a ústředna by mu je měla posílat. Reálně to tak jednoduché není, protože operátoři mají určitá bezpečnostní opatření proti podobným útokům, ale stejně se nedávno podobný útok povedl v Německu. A takový útok nevyžaduje žádnou součinnost uživatele.
I v mobilu jsou SMS nezabezpečené a pokud si uživatel stáhne a nainstaluje útočníkovu aplikaci a dá jí přístup k SMS, tak ho má, to je pravda. Nicméně tady v 99% případů stačí nebýt debil.
Když je přenos až do aplikace šifrovaný, tak je úrok velmi obtížný, protože by se útočník musel nejenom dostat do mobilu uživatele, ale musel by i prolomit oddělení aplikací v systému, což je už jiný level. A unesením SS7 si nepomůže vůbec.
Proto je vlastní aplikace s šifrovaným spojením významně bezpečnější, než prosté SMS a navíc se nemusí platit ty SMS :)
-
jxghdnj (neregistrovaný)
O A5 sa pochybovalo v casopise CHIP uz okolo roku 2000, okrem ineho aj tu:
https://www.youtube.com/watch?v=0fTaEXA-EtU -
BobTheBuilderStříbrný podporovatel
To asi ne, ale my máme ve firemním tarifu SMS za 0,10Kč (a to ani zdaleka nemáme na tarif ministerstva financí), takže za kolik to posílá Google asi bude podstatně nižší částka. Když třeba bezpoplatkové banky si takové ověřování můžou dovolit taky.
-
L. (neregistrovaný)
No a kolik těch SMS za měsíc pošleš? Moc ne, takže si operátor může dovolit dát nízkou cenu, protože se zahojí jinde. Ale kdyby takovou cenu dal Googlu, tak brzy přijde na buben. Co mám info, tak cena při opravdu velkoobjemovém odesílání SMS se pohybuje kolem koruny za kus. A to třeba v rámci Google musí být už docela balík, takže není divu, že se od toho snaží ustoupit.
-
j (neregistrovaný)
Tak to mas info naprosto zcestny ... Jelikoz a protoze pokud si firma plati (jako ze plati) radove par desitek tisic (coz je pidifirma) tak ma SMS v mire neomezeny v ty cene. Pokud bys chtel specielni tarif jen na sms (= prmej pristup k GW operatora), tak to bude v pomeru tak koruna ... za tisic sms.
-
L. (neregistrovaný)
Tak zkus přes nějakou tu "neomezenou" SIM odeslat denně stovky SMS. A rychle zjistíš, že mobilní operátoři pod slovem "neomezený" myslí něco úplně jiného, než většina populace :D
Takový speciální tarif zní dobře! Můžeš mi dát odkaz na firmu, která ho nabízí? Škoda jen, že podle všeho jsi akorát kecka co si na netu honí triko a žádný reálný odkaz nedáš, takový by se nám opravdu hodil.
-
j (neregistrovaný)
Mesicne jich odeslu zhruba neco mezi 10-15k ... a nikomu to nevadi, z jediny SIM. Jelikoz pocitat neumis, tak je to +- do 500/den. Smesne malo.
Takovy tarify nabizi libovolnej operator, akorat se holt nebude vybavovat s nekym, kdo chce platit tu korunu mesicne, jako TY.
Vis soudruhu, on firemni tarif je podlozenej smlouvou. A ta smlouva je o vzajemny dohode, nikde na internetu se navali, ale to dmenti jako ty nemuzou pochopit.
-
BobTheBuilderStříbrný podporovatel
Já moc ne, ale žena minulý měsíc asi 400, ale to je jedno, protože to není neomezený tarif, takže platím, co provolám. Jenže Google (banky a další) jedou jinak, přes nějaké API a ty ceny budou mít ještě úplně jiné. Google tu smsku nejspíš zaplatí jednou reklamou, která vám zobrazí po tom přihlášení a ještě mu něco zbude.
A rozhodně se operátor nezahojí jinde, protože to je celkem normální firemní tarif a volání v něm odpovídá ceně smsky, cena data taky. A firemních tarifů je moc na to, aby se zahojil na jednotlivcích. Ty firemní tarify zkrátka nejsou podnákladové (to by si ostatně konkurence nedala líbit - a ve firemní tarifech konkurence funguje). -
L. (neregistrovaný)
400 za měsíc není moc, to je asi 15 denně, to je pořád v rámci jednoho aktivního uživatele.
Ano, Google a banky jedou přes API a tam jsou ceny jíné, vždyť to píšu.
Jenže tu reklamu uvidíš i když se přihlásíš přes mobilní aplikaci, takže to je naprosto nerelevantní. Relevantní je, jestli použiješ SMS kterou musí zaplatit nebo aplikaci, kterou je to "zdarma".
To bylo myšleno tak, že se zahojí třeba v rámci toho paušálu, co platíš, respektive co platí další lidi ve firmě, kteří třeba telefon až tak nepoužívají. Jinak je zajímavý, všichni lidi co do mobilního trhu vidí mluví o tom, jak se u nás operátoři předhánějí v nabídkách pro firmy a vynahrazují si to na jednotlivcích, ale pak přijde nějakej Bob kterej jim to vytmaví že to vůbec tak není :D
Jinak j nezklamal, silný slova, ale činy nikde. Prostě jen kecka :D
-
Tak, tak, "Česko je specifický trh":
https://www.cnews.cz/cesko-neni-specificky-trh-mobilni-sluzby-jsou-proste-jen-predrazene-komentar/
https://dotekomanie.cz/2017/02/t-mobile-vodafone-aneb-specificky-trh/
http://www.ceskatelevize.cz/ct24/ekonomika/1963662-mobilni-trh-je-nadale-specificky-operatori-cechum-uctuji-dvakrat-tolik-co-naA nejen mobilní...
https://www.vitalia.cz/clanky/dvoji-kvalita-potravin-potvrzena-ve-stejnem-obalu-najdeme-ruzne-slozeni/ -
Důvodem je IMHO změna v NIST 800-63-3, která v podstatě říká že SMS pro 2FA je mrtvá. https://github.com/usnistgov/800-63-3/commit/beb5df714b8ac5dd95dcc07c3e7f66ad20401bd3#diff-136fe48b9ad515280cd49aec71f5a79cL138
-
BobTheBuilderStříbrný podporovatel
Ale to můžete taky obvinit CZ.NIC - při ověření domény zaslali jeden pin na e-mail a druhý na telefon. Jenže já tam mám pevnou linku, takže mi to přečetla plechová huba. Problém byl v tom, že to nebyl pin, ale písmenkový kód, takže plechová huba něco zahudlala (být to skutečně PIN, tedy personal identification NUMBER, tak to plechová huba řekne srozumitelně). Na mé námitky odpověděli, že si tam mám dát číslo na mobil a poslali návod na změnu.
-
tony (neregistrovaný)
Mně se líbí, jak si každý výstřední blb myslí, že různé organizace budou rády utrácet milióny korun na podporu okrajových procesů, aby si i tito blbové přišli na své. Mám na mysli blby, kteří nemají mobil a nebo mají deset let starý křáp a ani nikdo v jejich rodině jim na pár minut nemůže půjčit normální telefon, protože asi ví, co je to za blby. A ještě tito blbové pokládají za vhodné různé společnosti kárat, aby mohli dát na odiv svou výjimečnost.
