Vlákno názorů k článku
Google omezuje sideloading aplikací do Androidu, bude vyžadovat povinné ID
od RRŠ - Mně na tom primárně vadí, že jsem zvyklý...
-
Mně na tom primárně vadí, že jsem zvyklý
mít telefon na telefonování
, ale musím mítsmartphone
, protože jinak se nedostanu do bankovnictví. Když už tedy mám chytrý telefon, chci tam mít alespoň tu synchronisaci kontaktů - a mám na výběr mezi starou OpenSource aplikací, která mi plně vyhovuje, ale není v Google Play, nebo novou, která je placená, ale horší (zmizely některé funkčnosti a přibylo pár zbytečností).
Ve výsledku budu mít tedy chytrý telefon, který nebudu používat k telefonování, pouze pro přihlášení do bankovnictví či potvrzení platby kartou - a ten telefon budu každých několik let kupovat nový, aby mi ta aplikace fungovala. Případně si pořídím tablet - což je poněkud nepraktická věc, jen kvůli potvrzení platby kartou v e-shopu... -
Však já nemám problém s přihlášením do IB (na to mám čipovou kartu), ale s potvrzováním internetových transakcí platební kartou, známým jako 3D-Secure. Banky, které používám, trvají na potvrzení v aplikaci v mobilním telefonu. A ne všude je možnost použít PayPal...
Každopádně: hledat jinou banku, která by to uměla, kvůli tomu nebudu.
(A ještě poznámka: často, alespoň u českých e-shopů, by šlo zaplatit převodem, přes přihlášení do bankovnictví, ale já obvykle objednávám na jiném zařízení, než na kterém mám přístup do banky: objednávám na Linuxu, ale kvůli bankovnictví musím do Windows. ;-D ) -
DannyStříbrný podporovatelNo kdyz vyhledavate obskurdni reseni, tak nebrecte ze musite do Windows :-)
-
DannyStříbrný podporovatel
Kdyz ono z pohledu beznych uzivatelu je holt jednodussi sahnout po tom mobilu, nez nekde lovit ctecku cipovych karet. Mate specificke (minoritni az okrajove) potreby, ktere se holt nevyplati zadne bance implementovat... i kdyz takovy FIDO2/Passkey by se mi libil take, ale to jsou zas veci vcelku "nove" a urcite takove masove pokryti nemaji.... zatimco mobil coby i jen jako ten druhy faktor ma skoro kazdy.
-
DannyStříbrný podporovatel
TOTP je davno mrtvy kun. Bezpecnejsi nez SMSky je jen o malinko, porad se bavime o sdilenem klici, ktere drzi obe strany (a zbytek se odvodi z casu), ten klid kdyz z jakekoliv strany utece, tak je prusvih, zeano...
Dobre to bylo pred ctrnacti roky, ale dnes jsme uz fakt nekde jinde. V roce 2025 uz fakt.. nein, danke! :)
-
DannyStříbrný podporovatel
Ze to je good enough pro vase IT nic neznamena. Pro takovy NUKIB je good enough buzerovat uzivatele s periodickou zmenou hesel, i kdyz ve svete se davno vi, ze to je blbost delat a rikaji to i takove autority jako NIST :-) Ono holt IT casto funguje s nejakou setrvacnosti...
Implementovat na necem nove TOTP v roce 2025 nedava smysl. Utika se od nej stejne jako od tech SMS. Krom jineho treba mojeid to komplet pohrbilo, uz pred asi trema rokama. Jako druhy faktor pro prihlasovani ke sluzbam statu to jako good enough povazovane nebylo a nikdy ani pouzit neslo.
-
Filip JirsákStříbrný podporovatelTOTP je ovšem jen jiné heslo. Banka ale potřebuje potvrzovat konkrétní transakce – potřebuje odlišit, zda schvalujete přihlášení, převod peněz na účet X nebo převod peněz na účet Y. To s TOTP nejde udělat.
-
Ona banka ani nepotřebuje dokonalý způsob ověření. Žádný není 100% a vyřešit ty poslední procenta do plného sta je dražší než interní fond pro kompenzaci poškozených zákazníků. Banka chce, abyste účet používali a peníze utráceli. Takže nabízené možnosti ověřování jsou kompromis mezi pohodlností pro zákazníka a bezpečnosti, kterou banka finančně utáhne.
-
DannyStříbrný podporovatel
Krom jineho PCI DSS v aktualnim zneni TOTP uz take povazuje za legacy vec. Neni to phishing-resistant multifaktor... stejne jako ty SMS. Realne PCI DSS hazi SMS i TOTP do stejneho pytle.
-
Filip JirsákStříbrný podporovatel
Ano, ale je to jen autentizace. Jenže banka potřebuje i autorizaci jednotlivých transakcí. A díky/kvůli BankID je dobré umět i rozlišit, kam se přihlašuju – zda do banky, k NIA nebo ke komerčnímu BankID.
Scénáře, kdy mi u banky bude stačit TOTP, jsou velmi omezené.
SMS vůbec neřeším, to je prostě dávno prolomená technologie.
-
která směrnice prosímtě dovoluje TOTP v případě bank? :)
V rámci PSD2 se pro na TOTP vztahuje "to, co drží pouze uživatel", což u TOTP dnes již není považované za platné. Přechází se na biometrii nebo vlastní bezpečné klíče v mobilní aplikace.
3D Secure 2.0 pak stanovuje TAN (jako transakční číslo), které ale musí doručit banka a není možné ho vygenerovat offline. Na offline ověření je potřeba mít patřičný kryptografický HW.
DORA pak stanovuje, že si banka musí pravidelně dělat audity bezpečnostních metod a pokud u nějaké odhalí, že již není dostatečně bezpečná, musí provést upgrade.
Jestli si dobře vybavuji, žádná z 10 největších bank v ČR dnes už nemá TOTP v provozu. Odkud čerpáš, že TOTP je u bank OK? V bankovních systémech se pohybuji pracovně a bezpečnost je obor, v kterým podnikám a dodávám.
-
protože to je jejich interní rozhodnutí, prostě chtějí prosazovat svoje aplikace a tak trochu si s tím přihřívat píseček.
FIDO2 neumožňuje snadno zobrazit informace o transakci, kterou potvrzuješ, může být tedy náchylný k řadě útoků. Jsou tady hlasy, aby se interní CTAP protokol rozšířil o možnost zobrazit rozumně informace. Němci to teď aktivně řeší, https://die-dk.de/media/files/GBIC_Recommendations_on_FIDO2.pdf, české banky vyčkávají.
S Fido2 koketuje Airbanka, ale zatím to není dostupné, viz i problémy výše.
-
Jednak ta čtečka je součástí notebooku, takže nic lovit nemusím, a druhak je ta banka podporuje už kvůli firemnímu bankovnictví, kde se to používá vcelku často. Jediný zádrhel je tedy v tom, že kombinace
čipovka + Linux
je minoritní...
Já osobně bych bral i možnost přihlášení pomocí tokenu a MojeID - když to stačí eráru, mělo by to stačit i bance.
Jenže to už tuplem nechtějí implementovat, protože je pro ně lepší lidem vnutit svoji bankovní identitu a mít přehled o tom, kam se jim klienti hlásí... -
DannyStříbrný podporovatel
Tak to je spis uz byznys. Stejne jako prihlasovani pomoci jinych identit typu Google, AppleID na webu. I banka touzi po datech, stejne jako ostatni. A ono eraru MojeID mozna staci, ale na ruzich take ustlano zrovna nema. A ten enrollment neni uplne uzivatelsky... ne az tak pratelsky, clovek proste musi "neco dalsiho", aby tu identitu rozpohyboval. Zatimco diky legislative tu identitu z banky dostane bez nutnosti (zase) nekam chodit.
-
Filip JirsákStříbrný podporovatel
Já osobně bych bral i možnost přihlášení pomocí tokenu a MojeID - když to stačí eráru, mělo by to stačit i bance.
Jaký by to mělo smysl? Přihlásil byste se tokenem nebo přes MojeID – a pak byste potřeboval autorizovat platbu, takže byste stejně musel jít do mobilní aplikace nebo použít něco jiného, co dokáže autorizovat konkrétní transakci. Nebo se do banky přihlašujete tak často jen pro čtení? -
transakci můžeš autorizovat naivně tím, že jsi použil silné přihlášení. Dříve třeba KB podepisovala transakce přihlašovacím certifikátem, dnes si můžeš třeba odvozovat klíč od sezení. Možné to je třeba i mobilních aplikací, kde je technicky velmi těžké obsah modifikovat nebo překrýt, u desktopu je ale velmi snadné překrýt a pozměnit stránku, tak je pořád potřeba potvrzení jiným kanálem.
-
DannyStříbrný podporovatel
No, mainstreamove implementace dokazuji relevantnost meho nazoru a naopak irelevantnost vaseho komentare :-)
-
Ani na to není nutné mít u Fio a mBank aplikaci v mobilu :-) nevím jak u ČS. U Fio se v IB jednou nastaví e-pin, který je pak vyžadován v rámci 3D-Secure při platbách kartou na internetu + kód z SMS. A u mBank je to také kód z SMS + se přepisuje několik náhodných slov, které se tam při té transakci zobrazí (tzv. behaviorální biometrie, jak jsem teď našel, že tomu tak říkají).
