Názory k článku
Google chce zapnout dvoustupňové přihlašování všem

A jak muze poskytovatel sluzby poznat, ze zrovna tvoje heslo neni kvalitni? To neni jenom o entropii, napriklad by musel zjistit, zda ho i nepouzivas jinde...

pokud ti to heslo (či poskytovateli) unikne, je úplně jedno jak ho máš silné. K úniku nemusí dojít jen louskáním bcrypt uložených hesel, ale stačí JS kód na stránce, který záměrně/omylem posílá obsah formulářů někomu třetím a že takových případů jsem již viděl i na českém trhu.

dlouhodobě se ukazuje, že z pohledu IT bezpečnosti dávat volbu je ten nejhorší způsob. Hlavní problém je, že ukradený účet neohrozí pouze jeho vlastníka, ale prostřednictvím takového účtu je možné dělat ledacos a ohrožovat ostatní, ač to vlastníkovi je vlastně úplně jedno, že?

Nechápu, odkud se pořád bere to spojení, že 2FA znamená poskytnout někomu svoje telefonní číslo. Ověřování pomocí SMS už dávno není považováno za bezpečné, takže rozumně implementovaná 2FA vyžaduje všechno možné jen ne telefonní číslo.

Nie som expert, ale poskytnut cislo asi znamena vediet prihlasit sa aj ked stratim 2FA a recovery kody

K tomu jsou i jiné možnosti, než poskytnout mobilní číslo. Já nemám problém s poskytnutím čísla pro zaslání obnovovacího kódu, zvlášť když zneužití toho čísla k něčemu jinému by bylo porušením GDPR. Ale nechápu, proč se to pořád objevuje v souvislosti s 2FA. Pokud nechci poskytnout mobilní číslo, použiju prostě jiný způsob záložního přihlášení. Navíc nemít aktivované další způsoby přihlášení je velmi riskantní i bez 2FA. Pokud Google vyhodnotí, že by mohlo jít o útok, odmítne přihlášení heslem. Pokud nemáte jiný způsob, jak prokázat, že jste to opravdu vy, pak hodně štěstí. Zrovna nedávno to někdo řešil na Abíčku – měl u Google účtu jenom heslo, a byl strašně překvapen, že nemá jinou možnost, jak se přihlásit, když Google vyhodnotil pokus o přihlášení jako útok a heslo zablokoval.

Já nemám problém s poskytnutím čísla pro zaslání obnovovacího kódu, zvlášť když zneužití toho čísla k něčemu jinému by bylo porušením GDPR
Tak určitě. Hlavně vezmeme-li v úvahu, že se jedná o společnost z USA a jejímž hlavním cílem je požírat co největší množství dat pokud možno kdekoliv a jakkoliv.

Pokud Google vyhodnotí, že by mohlo jít o útok, odmítne přihlášení heslem. Pokud nemáte jiný způsob, jak prokázat, že jste to opravdu vy, pak hodně štěstí.
Tak zamáčknu slzu a konečně přestanu ten nesmysl používat.

"Tak zamáčknu slzu a konečně přestanu ten nesmysl používat."

To máte štěstí, pro někoho by to znamenalo konec světa...

Já vím, byla to trošku ironie. Je ale přinejmenším hodně na zamyšlení, jestli chci v otázce důležitých dat nebo služeb záviset na společnostech, které mě při troše smůly můžou bez uzardění prostě odstřihnout bez udání konkrétního důvodu nebo bez možnosti odvolání.

Poleno: Ano, to je pravda, v práci mám taky bohužel Googlí účet, nicméně používám ho jen a pouze striktně k pracovním účelům a díky SSO mě s požadavkem na tel. číslo neotravuje. Pokud to tak máš, asi by měl v tomhle pomoct zaměstnavatel (není nikde psáno, že pro pracovní účet musíš poskytovat své tel. číslo).

Popravdě, dát číslo e-shopu mi vadí daleko míň než ho dát Googlu. A to především proto, že není jeden centrální e-shop, předmětem činnosti e-shopů není shromažďovat o mně data, a v neposlední řadě se domnívám, že tam jde i o kontakt při (ne)doručování zásilky. No a přinejhorším se tam dá vymyslet nesmyslné číslo, takže se e-shop nažere a soukromí zůstane nenarušeno.

"Popravdě, dát číslo e-shopu mi vadí daleko míň než ho dát Googlu."

Pokud lze tyto dvě operace oddělit. Mám na mysli třeba eshop, který využívá Google formulář nebo tyto údaje nahrává na Google disk. Uchránit své číslo před Googlem je čím dál těžší, ne-li nemožné (viz např. vytěžení telefonního seznamu některého kamaráda Googlem).

Jasně. Všichni mají smartphone s datovým připojením.
Když budete takto striktní, může se i vám přihodit, že budete odstřižen od komunikace. Např. po chemoterapii je třeba týden velmi těžké až nemožné použít dotykové ovládání - kromě jiných potíží ztratíte cit v prstech, které se vám navíc chvějí.
Klávesnici a myš použít můžete, opsat kód ze SMS taky. Ale dotykáč je problém.
Další zdroj potíží - chcípne vám mobil a než ho nahradíte/spravíte, máte SIM v nějakém nouzovém tlačítkovém mobilu ze šuplíku. Když nemůžete v bance udělat fall-back na SMS, jste pár dní nahranej.

To datove pripojeni k nicemu potreba neni. Napr. Authenticator a jeho OSS obdoby mohou fungovat v pohode i bez nej.

(S tim zbytkem z hlediska usability lze castecne souhlasit. Na druhou stranu, nemam pocit, ze by byl tlacitkac s klepavkou zas takova vyhra.)

No, takové chvění prstů + snížená citlivost na dotykáči znemožní rozlišit mezi dotykem a tahem. Na tlačítkáči to problém není. Myš a klávesnice je taky OK.
Bankovní potvrzovací aplikace připojení potřebují.
Bohužel ověřeno v rodině.
Jasně, je lepší být mladý, zdravý a bohatý, než starý, nemocný a chudý. Ale některým položkám z té druhé trojice se časem nevyhnete.
Když to jde, je dobré se SMS zbavit, ale (jak uvádíte níže), je to nejmenší společný jmenovatel, jako nouzová možnost by to mělo zůstat.

Mně při potvrzování platby banka vždy ukazuje odkaz „Mobilní zařízení nemá datové připojení“. Takže potřeba připojení je jen vlastností špatně navržených potvrzovacích aplikací.

Za nouzovou možnost považuju něco, u čeho se můžu spolehnout, že to vždy bude fungovat. Což SMS rozhodně není.

U coho mas istotu, ze to bude fungovat?
Ja tu istotu nema u nicoho. U vecsiny sa mi uz stalo, ze to aj nefungovalo.
Kadou pridanou vecou zvysujes bezpecnost ale aj riziko, ze sa nieco pokazi ale aj fatalnost tej poruchy.
Chce to najst rovnovahu medzi jednym a druhym.

Mne napriklad vadilo, ze sa zrusili GRID karty pri internet bankovnictve. Viem, ze to nieje super zabezecenie ale jednoduchy a funkcny sposob 2FA. Kludne mohol ostat napriklad s limitom na nizke platby.

Třeba offline „kalkulátory“, které úplně na začátku používala e-banka, nejsou závislé na žádné komunikaci. Tam se jen mohla vybít baterka (čemuž se dá snadno předejít tak, že vám banka komunikátor po nějaké době vymění) nebo by musel ten kalkulátor přestat fungovat (nejspíš následkem fyzického poškození).

Stoprocentní samozřejmě není nic, ale SMS nejsou bezpečné a jsou nespolehlivé. SMS dostal se zpožděním nebo vůbec každý mnohokrát, o selhání potvrzovacího kalkulátoru jsem neslyšel.

Navíc není moc efektivní řešit jedním způsobem 5 uživatelů, kteří nemají chytrý mobil ale mají „hloupý“ mobil, a jiným způsobem dalších 5 uživatelů, kteří nemají žádný mobil. Jednodušší je všem uživatelům bez chytrého mobilu poskytnout stejné řešení (a nebo jim prostě službu IB vůbec neposkytovat).

SMS dostal se zpožděním nebo vůbec každý mnohokrát

To se sice stává, ale je zajímavé, že si nevzpomínám, že by se mit to někdy stalo s potvrzovací SMS od internetbankingu. (A jsem si docela jistý, že bych si takovou věc pamatoval - u SMS jízdenky se mi to stalo a pamatuju si to velmi dobře.) Nevím, jestli mám jen štěstí nebo jestli tam funguje nějaká prioritizace.

Michal Kubeček: Tak to asi máte štěstí. Mně už se to stalo mnohokrát jak u internetbankingu tak u platebních karet. S různými mobily, u Vodafone i T-Mobile, na různých místech. I přímo v bance, a bankéř na to evidentně byl zvyklý.

A já si to pamatuji moc dobře, protože to bylo před 14 dny. SMS nechodily a když jsem volal do banky tak mi řekli, že o tom ví a je problém na straně operátora (což asi nebyla úplně pravda jelikož ženě taky nepřišly a to má jiného než já).

Na druhou stranu je to nejmensi spolecny jmenovatel, takze cekam, ze to bude fungovat jeste dlouho a dlouho...

To je jasné. Všichni přece mají smartphony. Oh wait... vážně všichni?

Všichni přece mají smartphony.
To jste napsal vy.

Šel jste do webové administrace Google účtu přes ten odkaz, který jsem dával?

Moje chyba, já tam šel přes nastavení v tom Androidu.
U některých nudu muset ještě zjistit, jaký účet tam používám a pak se asi pustím do hromadného nastavování. Pokud to půjde...

Na tomhle místě bych asi bance dal velmi jasnou zpětnou vazbu, že takhle ne. A pokud by nebyl náznak vůle s tím něco dělat, zrušil bych tam účet a šel jinam (zcela vážně, přestože by to stálo nemalé úsilí).

Na místě banky bych byl rád, že jste odešel sám a není nutné to s vámi nějak řešit. Protože provozovat speciální řešení pro pár podivínů se bance nevyplatí. Určitě byste nebyl ochoten platit několik stovek měsíčně za vedení účtu, abyste zaplatil náklady, které s tím banka má. Třeba se pak všichni takoví podivíni sejdou u jedné banky, která bude provozovat nějaké retro řešení – a pokud tam budou všichni, třeba už jich bude dost na to, aby provoz zaplatili.

"Protože provozovat speciální řešení pro pár podivínů se bance nevyplatí."

Například služba SIM toolkit fungovala spolehlivě i při slabém signálu někde na chatě, kde už nešlo ani telefonovat. Když tuto službu PS rušila, bylo mi řečeno, že už ji používá jen několik desítek tisíc uživatelů a že se to kvůli nim nevyplatí provozovat. Místo toho je nová aplikace pro Android, která sice potřebuje kvalitní připojení k internetu ale je krásně barevná, animovaná a strašně cool :)

Jednak ta služba pořád závisela na doručení šifrované SMS. A hlavně podpora SIM toolkit v mobilech, zejména v těch chytrých, byla čím dál horší. Když jsem ze šifrovaných SMS a SIM toolkit přecházel na nešifrované SMS, říkal jsem si, že je to fakt pokrok. Naštěstí už se přešlo na aplikace pro chytré telefony, kde je to zabezpečení zase na vysoké úrovni. Jinak potvrzování transakcí funguje u mé banky i bez připojení k internetu, pokud vaše banka takový fallback neumí, je to chyba banky, ne technologie.

"Jinak potvrzování transakcí funguje u mé banky i bez připojení k internetu"

U SIM toolkitu nešlo jen o potvrzování transakcí ale o zadání celé transakce. Nikdy se mi nestalo, že by transakce nebyla provedena, což ovšem neznamená že někdo jiný s tím neměl problémy.

Pokud je čipová karta "retro", tak budiž.
Ono je spíš problematické spoléhat na kanál, který nemá pod kontrolou ani banka, ani klient (typicky u těch SMS, ale tuhle "chybku" si nechávají často i u jiných kanálů).

Email chybu prakticky (pro tyhle účely téměř jistě) nemá, chyba je v myšlení lidi zblblých Facebookem, Googlem a spol. Je to pro ně jednodušší a je nad jejich síly pochopit, že to ani zdaleka nemusí být ideální a pro každého. Zaplaťpámbů za výjimky.

Na doručení e-mailu se bohužel dnes nedá spoléhat.

Neda se spolehnout ani na doruceni zpravy u Whatsapp. Absolutne se neda spolehnout na nic. Ale troufam si rict, ze tech pripadu kdy nebyl dorucen email a kvuli tomu neci dite nemelo ten spravny typ cvicek na hodine telocviku je takove minimum, ze nema smysl se tim vubec zabyvat, dekuji.

U WhatsAppu se nestane, že by zprávu zahodil nějaký spamfiltr. A odesílatel se dozví, zda byla zpráva doručena a zda byla přečtena.

To je jasné. Ale používat jej jako INFORMAČNÍ kanál přeci není nutnost doručenky. Je to prostě pohodlnost. Cvičitelka prostě nechce používat dvě technologie, když už jednu (soukromou) má vymakanou...

U WhatsAppu se nestane, ze by zpravu zahodil spamfiltr, ale muze se stat, ze ma rodic vybity mobil, ze mu hapruje datove pripojeni, whatsapp program, nebo ze si proste zpravy nevsimne, protoze mu na mobilu blika 20 oznameni z facebooku, 10 z instace a 5 zprav o aktualizaci nejakych aplikaci. A vedouci krouzku nebude zjistovat zda si tu zpravu vsichni precetli a zareagovalo vsech 50 rodicu.

Nikdy nedalo.
Tahle služba funguje jen proto, že se drží zásady "maximální snahy a žádné záruky". E-mail je "od přírody" nespolehlivý kanál.

Dalo se na to spoléhat do té míry, že bylo opravdu divné, pokud se nějaký e-mail ztratil – a bylo to považováno za chybu a pátralo se po příčině. Dnes je to považováno za naprosto normální a spousta správců se chlubí tím, kolik e-mailů jejich server zahodí (že zahazují spam je v pořádku, ale že je vůbec nezajímá, kolik zahazují legitimní pošty, to je horší).

Každopádně teď už je to jedno, lidé prostě používají jiné služby, než e-mail, protože jsou pro ně lepší.

Že jsou to proprietární služby je bohužel nejspíš důsledek kvality e-mailu. I když už neodpovídal požadavkům dnešní doby, byl pořád dost dobrý na to, aby nevznikla globální potřeba jeho náhrady. Tím pádem zůstal volný prostor pro jeho proprietární náhrady, které teď zase budou nějakou dobu blokovat vznik nějakého univerzálního řešení (anebo proč vymýšlet náhradu e-mailu, když máme WhatsApp, Messenger, Slack, Telegram, Signal a bůhví co ještě).

Uvedené argumenty proti používání e-mailů zní rozumně. FB a podobné služby navíc kombinují funkci komunikace s funkcí webových stránek, jejichž vytvoření zvládne prakticky každý.

Asi bych se s tím smířil, kdybych neměl ten nepříjemný pocit, že jsem pro provozovatele těchto služeb jen zboží, se kterým si mohou dělat co chtějí - dokud budu jejich služby využívat. A co je horší, že s mými údaji budou zacházet i když se jejich službám budu vyhýbat.

já jsem na emailových diskuzích vyrostl a dones mám rád open source a jejich emailovou komunikaci, ale to prostě už dnešní lidi neznají, moji děti mají email jen kvůli registraci, dále ho nepoužívají.

Prakticky pak v emailech je obrovsky obtížné udržet dikuzní vlákna, distribuční skupiny v podstatě nefungují a musí tam být seznam příjemců (snadno lze na někoho zapomenout), poměrně rychle se i v textech dostanu do rozměrů, které již nelze snadno posílat a číst (nebo musím smazat historii), chybí mi zpětná vazba o doručení a přečtení, velikost příloh je silně omezena, stejně tak nelze jednoduše posílat videa (aneb teď třeba na whatsapp dětem učitelka posílala video návody na testování), je snadnější přepsat telefonní číslo nebo vyhledat jméno naopak u emailu udělat překlep je strašně jednoduché a nemusím se to ani dozvědět, u whatsapp mají obě strany informace, kde jsou přihlášeni a i já jako adresát se mohu odhlásit, u emailu nikoliv a naopak díky přítomnosti v adresátech mi to může chodit ještě dlouho.

Nejsem zastáncem whatsapp, ale snažím se pochopit důvody, proč je tak na vzestupu, mně tam vadí Facebook, soukromí, kontrola nad účtem, sbírání informací, technicky mi snad jen vadí vyšší datová náročnost a snižování výdrže baterky, jinak je to poměrně povedá aplikace a uživatelsky dobře funguje.