Vlákno názorů k článku
Prodeje telefonů se v posledním čtvrtletí propadly o 18 % na úroveň roku 2013
od vlado - Tiež som zlý zákazník pre výrobcov telefónov. Pretože...
-
Mám to podobně a podobnou konfiguraci. Výkon mi nechybí, fotky ten telefon má dobré, takže v pohodě. Akorát už sleduju v měření v aplikaci AccuBattery PRO, že tam po třech letech začíná čím dál nápadněji klesat skutečná kapacita baterie. Takže se může začít hlásit o slovo. To mne moc netěší, rozdělávat dnešní zalepené telefony mne zrovna moc nebaví.
-
Doženou vás banky a podobné, protože bez
nejnovější -2
verse Androidu přestane fungovat jejich úžasná aplikace - ať už "přihlašovací", nebo "bankovnictví".
Nakonec telefon, se kterým se dobře telefonuje, má slušnou výdrž, plně vyhovuje, vyměníte za modernípádlo
velikosti tabletu, se čtyřmi objektivy, a s procesorem tak velkého výkonu, že baterku vyzunkne za čtyři hodiny, s cenovkou ve čtvrtině vejplaty a kvalitousnad přežije záruční dobu
. -
Účtů mám několik u různých bank a ani jednu nainstalovanou bankovní aplikaci. Už jen představa, že by v jednom zařízení byla možnost jak nastavovat platby, tak je i ověřovat, mi nějak nesedí s principem dvou faktorů. A to i případě, že nějaký proprietární uzavřený software s nejasným bezpečnostním statusem používá "jen" k ověření.
29. 1. 2023, 11:32 editováno autorem komentáře
-
Ony ty banky mají rozdílný přístup.
Ten podle mne správnější je mít v mobilu aplikaci, která slouží výhradně k potvrzení přihlášení do bankovnictví na jiném zařízení (internetové bankovnictví
na počítači). To může být v principu OTP nebo nějaké proprietální řešení, doplňující klasické přihlačování.
Druhý přístup spočívá v tom, že na mobilu mátemobilní bankovnictví
, kde jednou z funkcí je potvrzení platby či přihlášení dointernetového bankovnictví
. To mám trochu problém považovat za bezpečné, protože i při dodržení všech obvyklých bezpečnostních standardů je prostě všechno potřebné na jednom místě - takže ke zneužití nepotřebujete přístup na počítač, vybílit účet můžete s pouhým ukradeným mobilem (dostanete-li se dovnitř - což rozhodně není jednoduché!). -
Ano, tak to píšu (možná ne jasně). Případ, že je na jednom zařízení jak aplikace ovladající bankovnictví a zároveň (byť i v jiné aplikaci) dochází k autorizování těchto operací, mi přijde vyloženě jako porušení zásad 2FA.
A i v případě, kdy se jedná o "pouhé" ověření, je zase riziko použití proprietárních neauditovaných aplikací. -
Takze musi probehnout nasledujici:
1. Nekdo vam ukradne telefon nebo ho nekde ztratite
Nez si toho vsimnete, musel by:
2. Dostat se pres lock screen. Ne ze by to nebylo mozne, kdyz jste FBI, ale realne je to temer nemozne
3. Spusti bankovni aplikaci a prihlasi se. Vetsinou je potreba opet nejaky otisk prstu, nebo FaceID na iphonu, nebo je tam nejaky fallback na PIN, ktery by ten clovek musel znat
4 Nejakym zazrakem je nyni clovek ve vasem bankovnictvi a stihl se tam doatat drive, nez jste si vsimnul, ze vam nekdo ukradnul tepefon a mohl jste to nejak zablokobat (telefon, bankovnictvi)
5. Zada transakci / prevod peneza treba v me bance zase musi projit pres FaceID (bez moznosti udelat to pres nejaky PIN)Pravdepodobnost, ze tohle vsechno se stane driv, nez zjistim, ze nemam telefon, skutecne hypoteticky existuje.
Ale je opravdu tak strasne malicka, ze me to vubec netrapi.
-
Tuhle Vaši víru zkusím trochu nahlodat přiklady z praxe (dodávám: nejde o výmysl, ale reálně řešení problémy - byť trochu staršího data, protože vedly k nápravě).
První spočívá v naprosto běžné praxi nechávat telefon na známých místech (doma, v zaměstnání) odemčený. Tedy k překonání zámku obrazovky může dojít neuvěřitelně snadno. Případně je obrazovka uzamčená gestem, jehož vzor najdete při pohledu na mastnou cestu na displayi.
Další problém pramení z toho, že FaceID či otisk prstu nemusí spolehlivě fungovat. Aby se dalo běžně používat, je někdy citlivost nastavena nízko, takže v praxi je to balancování mezinepřihlásí to oprávněního uživatele
aotevže i fotografii
. (Osobně jsem viděl, jak kolega odemkl svůj mobil profilovou fotkou!) Tohle by se stávat nemělo (a snad už nestává).
A jako perličku přidámblokování přístupu styl Hlava XXII
: jedna banka měla v podmínkách, že k zablokování dojde po přihlášení do bankovnictví nebo hovorem z registrovaného čísla, případně na pobočce. Pokud došlo k odcizení registrovaného mobilu s přihlašovací aplikací - bylo důležité nenechat se oň připravit v pátek odpoledne.
Praxe totiž za teoretickými předpoklady dost zaostává a uživatelé, v zájmu zjednodušení, často nevědomky to zabezpečení poněkud zhorší.
Žel, reakcí bývá přidání dalších bariér, což přináší další zesložitění přístupu - a další finty, jak to obejít.
Takže: buďte rád, že Vy dodržujete bezpečnostní doporučení a že to funguje. ;o) -
Jan HrachStříbrný podporovatelNesmyslně jste se zaměřil na fyzický útok, a ještě k tomu předpokládáte tupého útočníka a bezchybně implementovanou bankovní aplikaci (což je typicky nějaký marketingový bloat s ochranou proti reverzování aby to hlavně nikdo nemohl pentestovat) - co třeba znamená ten pin z bodu 3, je možné ho offline bruteforcovat?
Vzdálené vyhackování je mnohem pravděpodobnější.
V nedávné diskuzi jsem si tu stěžoval na bankovní SMS a že všichni tlačí aplikace a že to nechci, a že banky mají dávat tokeny, a jako příklad jsem dával Bitcoin Trezor. A někdo (myslím že pan Jirsák :) mi navrhoval, že si mám koupit nejlevnější smartphone, který stojí jen o trochu víc než ten token (což je teda způsobené jenom tím jaké náklady banka absorbuje), a použít ho v podstatě jako ten token, a že to je druhý faktor, tak bude přece v pohodě že nejlevnější smartphone bude nějaký crap s děravým androidem a malwarem, adwarem a spywarem od výrobce (a navíc nemá TPM, i kdybychom mu věřili, a už vůbec ne FaceID). No a teď to tady vidíte.
-
Není to tak dávno, co jak iOS, tak android měly bezpečnostní problém právě s lock screenem. Navíc, ruku na srdce, je sice hezké mít jako PIN rok úmrtí Go-Horikawa, Japonského císaře, ale je vám to k prdu, když to každý uhodne (https://en.wikipedia.org/wiki/1234).
-
Není to porušení 2FA.
Definice říká že „vícefaktorová autentizace je něco, co víte, něco, co máte, a něco, co jste, a používá přitom více než jeden z těchto faktorů.“
- VÍTE heslo, PIN nebo gesto.
- MÁTE konkrétní registrované zařízení (identifikace obvykle podle telefonního čísla, případně i ID SIM, nebo IMEI telefonu)
- To co JSTE, pozná biometrická identifikace (otisk prstu, sken obličeje nebo oční rohovky)
A ověření otiskem prstu nebo PINem na registrovaném zařízení je samo o sobě MFA ověření uživatele. -
Jan HrachStříbrný podporovatel
Dobře, tak to není porušení 2FA, ale je to porušení „útočník musí vyhackovat dvě dost různá zařízení“. A k tomu se, alespoň mezi lidmi co nejsou úplné lamy s heslem do internetbankingu heslo123 (zdravíme všechny banky blokující password managery), právě 2FA používá.
-
Jan HrachStříbrný podporovatel
A pak je problém, že nejde najít, která banka to má jak, takže si nemáte jak vybrat než si ten účet někde zřídíte. A už vůbec vám žádná banka negarantuje, že to za půl roku nezmění na tu nebezpečnou variantu.
Například RB má tu naprosto děsivou variantu, do internetového (webového) bankovnictví se přihlašuje rodným číslem(!) (to považuju za naprosto veřejný údaj) + potvrzením na mobilu…
-
AirBank
Prvně zvolíte, jakým způsobem chcete aplikaci používat. Jestli naplno, včetně placení, nebo pouze pro nahlížení na zůstatek a potvrzování plateb a operací v internetovém bankovnictví.
viz: https://www.airbank.cz/co-vas-nejvic-zajima/sparovani-mobilni-aplikace/
-
KateStříbrný podporovatel
K tomu bych dodala že s provozem na degoogled rootlém zařízení taky není problém.
