Názory k článku
Google spustil Passkey v Chrome na Windows, macOS a Androidu

Ale pořád je tam ten požadavek na druhé zařízení, že? Tohle mně štve u banky, chci se podívat do internetbankingu na zůstatek na účtu, tak se musím zvednout od PC a jít pro telefon, abych se vůbec mohl přihlásit. A když se přihlásím, tak opět jakoukoli operaci musím potvrdit přes telefon. Tak jaký má smysl to potvrzování pro přihlášení, když je to bez dalšího potvrzení stejně jen pro čtení? (Nehledě k tomu, že tam nějak nevidím ten druhý faktor - když mi ten klíč vecpali, myslel jsem že to je náhrada SMS, Že se budu přihlašovat norkálně login, heslo, klíč. Ale heslo už požadováno není.)

Navíc je ftipné používat PhoneLink (u widlí), kdy sice 2FA hodí dotaz na telefonu, ale ten může být klidně doma a v práci v PhoneLink dám Yes a jsem ověřen :-D

Ověřen v bance? To sotva, protože před tím, než se telefon zeptán na to Yes, ověří uživatele - pokud biometricky, tak u telefonu být musíte, pokud PINem, tak to asi půjde i přes ten PhoneLink. Ale není to jen kliknutí na Yes.

Taky může být "ve známé lokalitě" a tedy stále odemčený. (Nevím, jestli to platí i pro Apple, ale na Androidu to tak má většina mých známých.)

Ale i na odemčeném telefonu (Apple) chce bankovní aplikace své vlastní ověření (biometrie nebo svůj vlastní PIN). Tohle snad ani Android "ve známé lokalitě" nemůže zrušit, to by byl dost velký bezpečnostní malér.

u Apple to nelze obejít, pokud si aplikace vynutí použití touchID nebo FaceID, musím to udělat pouze lokálně na telefonu, nelze ten požadavek jakkoliv delegovat vzdáleně (přes vzdálené ovládání, vzdálenou plochu, vzdálený přístup).

Faktor 1 - Klíč v zařízení
Faktor 2 - Biometrie/PIN/Gesto vynucované zařízením pro použití klíče - bez screenlocku passkey nefunguje

hodně lidí si myslí, že 2 faktory znamená 2 nezávislé zařízení, ale tak to není a nikdy nebylo. 2 faktory jsou pouze dvě nezávislé různé části (často se používá dělení do kategorií - znám, mám, jsem), tj. třeba generovaný OTP a heslo, klidně z jednoho zařízení.

Zvyšuje to ochranu proti odposlechnutí, únikům a brute-force útokům. To jen naše banky se zbláznili do svých aplikací a nazývají to 2FA a jinou cestu neuznávají. Pak ty stejné banky nechají v těch aplikacích nahlášené kritické chyby několik měsíců neopravené.

Druhé zařízení je tam proto, že desktopové OS (Windows, macOS, Linux) nejsou dostatečně bezpečné, takže potřebujete autentizaci outsourcovat na nějaké bezpečnější zařízení.

Bezpečnější způsob autentizace, i když je to jen pro čtení, se používá proto, že většina lidí považuje údaje, které jsou vidět v bankovnictví (pohyby na účtu) za citlivé a nechtějí, aby je mohl snadno vidět někdo jiný. Vy dokážete rozlišit, že příkaz k úhradě je co do bezpečnosti úplně něco jiného, než zobrazení výpisu z účtu. Většina lidí to ale nerozlišuje a požadují jenom bezpečný „přístup k bance“. Mnoho lidí se bojí i sdělovat číslo účtu. A není úplně dobré jim to vyvracet, protože jak chcete lidem vysvětlovat, že číslo bankovního účtu u bank v EU můžete klidně sdělovat, protože je to považováno za veřejný údaj a k ničemu se zneužít nedá. Ale v USA už je to myslím jinak. Naopak číslo platební karty je tajný údaj a je potřeba s ním zacházet tak, že samotná znalost čísla karty stačí k provedení platby.

Než tohle lidem vysvětlovat, je lepší chtít po nich bezpečné přihlášení i při přístupu „jen pro čtení“.

Jak je to s 2FA už vysvětlili LRA a uživatel „…“

Naopak číslo platební karty je tajný údaj a je potřeba s ním zacházet tak, že samotná znalost čísla karty stačí k provedení platby.

Než tohle lidem vysvětlovat, je lepší chtít po nich bezpečné přihlášení i při přístupu „jen pro čtení“.

Vy vidíte v bankovnictví plné číslo karty?

Vy vidíte v bankovnictví plné číslo karty?
Můj příspěvek byl o komplikovanější situaci, než si myslíte. A právě proto, že je to pro některé lidi komplikované na pochopení, je lepší to zjednodušit.a bezpečné přihlášení po nich chtít vždy.

Číslo bankovního účtu lze zneužít nejméně dvěma způsoby a mělo by být sdělováno pouze lidem, od kterých očekáváte platbu.

Jaké to jsou?

Pokud vám bude chtít někdo uškodit, může udělat následující:
- Vytvoří falešnou sbírku s vaším číslem účtu. Vysvětlujte pak policii, že za ní nestojíte vy.
- Bude vám na ten účet posílat drobné zahraniční platby, třeba 0,01 $ a vy budete platit tučné poplatky za příchozí zahraniční platbu.

Proto doporučuji soukromé číslo účtu veřejně nikde neuvádět.

Ne, tohle v EU neplatí. Navíc už z podstaty věci je nesmysl, aby něco bylo „trochu veřejné“. Firmy běžně uvádějí číslo účtu na svých stránkách – a je to tak správně, protože když vám přijde faktura, potřebujete nějak zkontrolovat, že jsou tam platební údaje správně, a podívat se na web je nejrychlejší. No a třeba finanční úřady nebo zdravotní pojišťovny musí zveřejnit účty, kam zasílat daně a zdravotní pojištění. Číslo účtu Úřadu práce ČR zjistí každý, kdo od něj dostane nějakou sociální dávku, číslo účtu ČSSZ zjistí každý důchodce, který dostává důchod na bankovní účet. Žádné zneužití těch čísel účtů se nekoná.

V zemích západní Evropy je celkem běžné, že banky přistupují k inkasním platbám v režimu opt-out na místo českého/slovenského opt-in. Tedy každý, kdo zná číslo účtu z něj může inkasovat bez explicitního souhlasu majitele účtu. Tedy jistá obezřetnost je na místě.

Na druhou stranu, prvnímu inkasu předchází oznámení 5 dnů předem a veškerá inkasa je možné stornovat až asi 60 dnů po provedené platbě. A ten kdo inkasuje, by měl mít podepsaný mandát. I tak může být takové neoprávněné inkaso nepříjemnost a nesdělování čísla účtu tak může být rozumné zmírňování rizika.

"Než tohle lidem vysvětlovat, je lepší chtít po nich bezpečné přihlášení" - smutný, hodně smutný. Opět chybí osvěta, a kvůli toho jsou biti všichni.

Mobil s Androidem, plný neodstranitelného bordelu od výrobce, neaktualizovatelný, ten je bezpečnější?

Ano, je.

Můžete toto své tvrzení něčím doložit? Nejlépe tak, že Android má něco, co u desktopu mít nemůžu.

15. 12. 2022, 14:06 editováno autorem komentáře

A není jednodušší se podívat na zůstatek přímo na mobilu během pěti kliknutí v aplikaci banky než se přihlašovat z počítače do bankovnictví, kvůli čemu beztak ten mobil musíte vzít do ruky?

Kdyz clovek uz u pocitace sedi, tak ne. Navic obvykle chce clovek i vic nez jen zustatek, treba podivat se na historii plateb, a na pidi displeji mobilu to neni pohodlne.

Pohodlné by bylo to místo mobilu potvrzovat na hodinkách.

Podle mne to na hodinkách nejde udělat dostatečně věrohodně. Otisk prstu tam asi neuděláte, zadávat na nich PIN by bylo hodně nepohodlné, kreslit obrazec nepohodlné. Kdybyste se chtěl spolehnout jenom na to, že je nosíte na ruce, Musel byste nějak potvrzovat, že si je nasazujete právě vy, hodinky by musely celou dobu kontrolovat, že jste si je nesundal. A hodinky by musely mít v sobě privátní klíč, kterým by potvrdily tu informaci (stejně, jako se to dnes dělá v mobilu).

Musel byste nějak potvrzovat, že si je nasazujete právě vy, hodinky by musely celou dobu kontrolovat, že jste si je nesundal.
No tak nějak to snad Apple Watch dělají pro placení: nasadíte na ruku, odemknete (mobilem) a pak jimi můžete platit až do sundání.

Nakonec jsem do komentáře nenapsal, že si dovedu představit, že by si to Apple zařídil ve svém ekosystému, ale na otevřeném Androidu to podle mne fungovat nemůže. Takže Apple si to asi zařídil :-) Předpokládám, že kryptografické operace pořád provádí mobil, a Apple pouze dokáže věrohodně spárovat hodinky s mobilem tak, aby si byl dostatečně jistý, že ty hodinky jsou opravdu Apple Watch a že tedy může věřit informacím o stavu, které posílají.

Je to stejné jak telefon. Nasadím je a odemknu s tím rozdílem, že hodinky poznají, že už nejsou na ruce a v takovém případě se zamknou. Řekl bych, že vzhledem k omezeným IO možnostem, to je i bezpečnější.

misto druheho zarizeni exportovatelny privatni klic ulozeny na mobilu chraneny pri prenosu jen symetrickou sifrou, a na mobilu jen biometrii, to je jeste debilnejsi nez ukladat hesla do sluzeb typu lastpass

Jak jste přišel na to, že je ten klíč exportovatelný? A že se někam přenáší?

Používání hesel se dneska člověk nevyhne, jaké je teda podle vás lepší řešení, než služby typu LastPass?

Svým způsobem má pravdu.

Pořád je to aplikace v telefonu (nebo jinde) a závisí na bezpečnosti telefonu (nebo jiného).

Na phishing to bude náchylné stejně jako jiné aplikace/správci, na bezpečenost jakbysmet. Výhoda správců hesel jsou jednoduše silná hesla a kontrola párování aplikace, ale tím to končí.

Sběr biometrických údajů korporacemi nemá s bezpečností co dělat. Po cestě může být nabouráno kde co ... i ten phishing je vlastně způsob jakým se obejde óóó' všemocná biometrie.

15. 12. 2022, 13:24 editováno autorem komentáře

Netuším, o čem vlastně píšete.
Pokud reagujete na tu poznámku o správcích hesel, tak správci hesel jsou vskutku stejně stejně bezpeční a náchylní na phishing, jako správci hesel – což je ovšem tautologie.

Jak jste přišel na sběr biometrických údajů korporacemi, to už se neodvažuji ani hádat.

@Filip Jirsák

Pokud si místo "hádání" přečtete příspěvěk na který jste reagoval, tak tam se o biometrii mluví. Možná to pro vás bude překvapení, ale ta se teď marketingově tlačí jako další evoluční stupeň bezpečenosti pro různé aplikace. Navíc, Passkey otisk prstu nabízí.

Takže opakuji - v původním příspěvku o kterém byla řeč je o biometrii řeč a biometrie začíná být tlačena pod nálepkou vyšší bezpečnosti a passkey ji nabízí.

Konečně, to není tautologie, to je poznámka ke podobným (nebo zdánlivě jiným) způsobům vícefaktorové autentizace.