Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: mhepp 03. 01. 2025, 14:19:38
-
Zdravím,
v poslední době mne banka (KB) donutila přejít do nového bankovnictví (KB+, spíše KB--), které umí jen zlomek toho, co staré. Hlavně, že v novém dyzajnu. Diskuze s podporou nevede k uspokojivým výsledkům (není, nelze, možná za dva roky).
Proto hledám novou banku a rád bych poprosil o vaše zkušenosti v tomto směru.
Co potřebuji:
- Internetové bankovnictví na desktopu/v prohlížeči bez nutnosti používání aplikace v telefonu. Zde možná mohu slevit, pokud půjde jen o přihlašování a v nouzi se půjde přihlásit i bez aplikace.
- Možnost zasílání oznámení o pohybu na účtu na e-mail/SMS/...
- Propojení účtů z jiných bank. (Zde je to proto, že kvůli hypo mám ještě další účet u Spořky a jejich George je vzor toho, jak ne.)
- Možnost načtení QR kódu ze souboru
- Platební kartu a běžné věci jako zablokování plateb na internetu a tak...
Co nechci:
- Používat aplikaci v mobilním telefonu.
- Být nucen do obskurností, které nemají nic co do činění s bankovnictvím (například ukládání každého, komu posílám peníze do adresáře, zdravím do Spořky).
Prosím, nevysvětlujte mi, že bankovnictví v mobilu je super a že je chci. Nechci. Stejně tak prosím o věcné zhodnocení bankovnictví, které používáte s ohledem na výše uvedené požadavky...
Děkuji...
-
KB jsou experti na slovo vzatí, horší projekt než KB+ jsem dlouho v bankovním světě nezažil, to znám i ČSOB.
Dříve nebo později budou muset veškeré banky přejít na bezpenější způsob přihlašování, tj. aplikaci nasadí postupně všechny, ty lepší budou mít k dispozici alternativu v podobě nějakého HW token (připravuje Air, RB a GM).
Zkus se podívat na Airbanku nebo Rajfku, umí vše, co jsi sem napsal. Pravděpodobně to ale umí i ostatní menší banky.
Budeš ale bojovat s tím oznámením o pohybu na email/sms, tohle postupně banky ruší.
-
No, takhle: bez mobilního čehosi se dneska bude něco hledat těžko, protože od ověřování SMSkou prakticky všichni dávají ruce pryč a pokud je hlavním kritériem toto, tak sám nevím, která banka tohle dneska u nás nabízí.
TL;DR: Zkuste AirBank, myslím, že vše, co požadujete, umí, aspoň mě z toho seznamu nenapadá nic, co by byl problém. Jasně, jsem zaujatý, používám to jako primární banku, ale co jsem viděl bankovnictví (internetové i mobilní) několika jiných bank, vždycky to bylo horší.
-
Zkusil bych se podívat na AirBank. Jen bez mobilní aplikace to asi nepůjde minimálně na dvoufaktor a potvrzování bude potřeba prakticky u každé banky. Ale myslím že je v plánu i HW token.
-
Taky mám zkušenosti s KB+ a zlámal bych jim za to nejradši ruce.
Teda ne vyvojářům, tipnu si že to museli nenávidět. Ale tomu kktovi co v KB šéfuje vývoj.
-
HW token a tak mi až tak nevadí - může být doma na bezpečném místě a je při rozumném zacházení věčný (Yubikey mám cca 8 let a furt funguje).
Proč ne mobil, je to prosté - není to „bezpečné“ zařízení - hrozí jeho „ztráta“ (rozbití, ztracení, ukradení, zastarání) a nechci být pak v pasti jenom proto, že musím udělat něco v bankovnictví.
Wift: zaujatost mi nevadí, naopak, pokud ji používáš jako primární banku, je to známka toho, že jsi s ní spokojený a tvář banky je dnes právě to bankovnictví.
Mimochodem, do KB-- jsem se zatím přihlásil pouze dvakrát, našel fůru chyb a nedodělků a raději mizím.
Děkuji všem za tipy.
-
HW tokeny připravuje několik bank, ale zatím nevím o tom, že by to nějaká spustila pro FO veřejně. Co jsem zaznamenal, tak nejvíce řeší to, že to nechtějí spouště pro 4 uživatele, ale hledají cestu, která bude dostupná 2/3 uživatelů (technicky).
Daleko více než omezení na mobilní aplikaci pro přihlašování mě trápí omezení na JEDINOU aplikaci pro přihlášení. Ztráta telefonu se rovná kompletní znepřístupnění účtů a pak je docela zábava.
Nedávno jsem dával telefon do servisu, takže záloha, tovární nastavení, obnova. Všechny banky to přežili až na KB+, tam si s tím doteď neporadili ani na pobočce (a už měsíc čekám bez přístupu k účtu) a na Rajfku, tam to muselo jít opět trikem vytvoření nového účtu, nastavení nové aplikace k účtu, připojení předchozího účtu k novému, smazání nového účtu (starý známý trik, který funguje u více bank, ale jsou na to potřeba dva doklady).
Taky mám zkušenosti s KB+ a zlámal bych jim za to nejradši ruce.
Teda ne vyvojářům, tipnu si že to museli nenávidět. Ale tomu kktovi co v KB šéfuje vývoj.
ruce bys musel urážet ještě někomu výš než tomu, kdo má na starosti vývoj. Bohužel se to rozhodlo (vč. termínu) příliš nahoře.
-
CREDITAS
-
Banky mají povinnosti dané legislativou ohledně zabezpečení transakcí. Pokud jsou vaše požadavky v rozporu s touto legislativou, máte smůlu. Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky. Proto tammusí být další faktor, kterým operace zadané na počítači potvrdíte. Nejlepším řešením jsou aplikace pro mobilní telefony, protože mohou být dostatečně bezpečné, zároveň snadno použitelné pro uživatele a drtivá většina uživatelů má chytrý mobil.
HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol). Takže byste musel mít speciální HW klíč s klávesnicí a displejem, kam byste tyhle údaje mohl zadat. S tím kdysi dávno začínala v ČR eBanka. Jenže něco takového dnes nedává žádný smysl – uživatelsky by to bylo daleko horší, než použití mobilu, a bylo by to podstatně dražší, než nejlevnější mobily.
SMS už dávno nejsou považované ze bezpečné. Některé banky je možná stále nabízejí, ale je to pro banku náklad a riziko navíc, takže takovou službu pravděpodobně bude poskytovat pár bank, které obslouží těch pár podivínů, ale nevyplatí se to provozovat každé bance.
Banky nemají předepsané, jak přesně musí transakce zabezpečit. Posuzuje se celkové riziko, které banka významně sníží tím, když platbu autorizujete v mobilní aplikaci. Takže autorizaci SMS může banka také povolit, ale pak musí to snížení rizika dohnat někde jinde. Mimochodem, proto také některé platby nemusí vyžadovat potvrzení, případně některé platby stačí v mobilu potvrdit otiskem prstu a jiné musíte potvrdit PINem. Záleží to na tom, jak moc je ta platba bankou vyhodnocena jako riziková a o kolik tedy potřebuje snížit riziko potvrzením v mobilní aplikaci.
Pokud se bojíte, že přijdete o mobil a tím i o přístup k bankovnictví, spárujte si s bankovnictví víc zařízení. Třeba mobil a tablet. Pokud to KB neumožňuje a je to pro vás důležité, nezbyde než změnit banku.
-
Tak klasika, Fio.
Aj ked "Propojení účtů z jiných bank." je taka neskutocna exotika ze pochybuje ze to niekde najdes.
A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.
Fio ma sice aplikaciu ale nie je povinna, akurat ze ak si ju nahodis tak nemozes pouzivas sms kody ale MUSIS verifikovat cez aplikaciu.
Takze s tymi poziadavkmi asi ostan pri tej KB :)
-
Zkusil bych se podívat na AirBank.
Jako pro lidi, kterým jednou měsíčně přijde výplata a neřeší daňové přiznání a reporty pojišťovnám, apod. asi OK. Ale jinak slušné hyperjavascriptové peklo. Navigace zpět vpřed nefunkční, po naprosto absurdním automatickém odhlašování se neumí vrátit na předchozí stránku a uživatel všechny filtry zadává znovu. Heslo do aplikace musí mít přesně šest číslic, ne méně, ne více, ne jiné znaky. Bezpečné heslo lze nastavit až hluboko v nastavení objevíte možnost šestičíslicové pravidlo vypnout. Pro obnovení hesla jsem byl na pobočce nucen vybrat si (a pamatovat si) dva obrázky z dětských omalovánek. Support katastrofální, o nezrušitelné předplatné ilegálně strhávané z karty neprojevují absolutně žádný zájem. Takže na airbank pozor, to nechceš zažít :D
-
Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky
Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.
HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol).
Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí. Mícháš dvě věci dohromady, někde potřebuješ mít uložený tajemství (teď se používá zabezpečná enclava uvnitř telefonu), pak aplikaci, která ti zobrazí výzvu a po tvém potvrzení jí skombinuje s tajemstvím a doručí bankce. Ty přepisovací kalkulačky jsou už historie.
Já bych k tomu jen dodal, že banky jsou odpovědné za případné zneužití, takže pokud jim bude stačit pouze jméno+heslo, může se stát, že v tom zahučí neskutečné peníze, tak se snaží. Kupodivu až tohle byl ten hlavní hnací motor, aby banky začaly něco dělat a nedrželi se alibistického "nikomu nesdělujte číslo karty a heslo k účtu, je to vaše vina".
Těch bank, které umožňují více aplikace je pořád dost málo a ještě míň těch, které umožňují je mít i v jiném režimu, než že jedna je aktivní a druhá se musí aktivovat přes tu první, protože notifikace na přihlášení chodí vždy jen na jednu.
Navigace zpět vpřed nefunkční
Které bance to funguje? Prohlížeče dnes neumí ani bezpečně uchovávat session cookies, Google si to řeší hardcodování svých věcí do chromu, banky mají smůlu, tak si sezení ve webovém prohlížeči drží v javascript paměti jako proměnnou. Dopředu/zpět by mohlo fungovat přes history api, nevím, proč to nepoužívají, obnovení stránky to ale zabije snad u všech bank.
Která banka ti umí zrušit předautorizované transakce na kartě? Snad žádná, on jim takové zásahy totiž zakazují podmínky kartových asociací a částečně i zákon o platebním styku. Daný subjekt by musel by na černé listině. Řešením je bohužel zrušit kartu.
Ty obrázky beru jako vtípek, nepamatuji si je a na pobočce s doklady to lze vždy přeskočit.
-
...
Toto je přesně ta odpověď, která mne nezajímá. Nechci číst tvé domněnky.
-
Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky.
Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware. Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti. Někde se o tom už psalo, mám pocit že to byly účty nějaké BTC směnárny. Asi k tomu ale zatím nedochází v takové míře, že by vyžadovali druhý faktor. To by pak uživatelé prskali. Kdyby alespoň nějaká banka měla možnost platby zadané na mobilu potvrzovat na PC.
-
Na KB+ jsem přešel koncem loňského roku, ale při svém (základním) způsobu používání mi tam nic neschází, používám to primárně na mobilu (web je jen fallback), notifikace dostávám z té mobilní appky, případně si je můžu zapnout e-mailem. Účty v ostatních bankách mě v KB+ moc nezajímají, jelikož mají případně své natvní appky, ale možná jsem to jen nepochopil. QRka chci načítat primárně přes mobil a jeho foťák, protože si takhle běžně posílám peníze s ostatními lidmi (co mají mobilní aplikace a vygenerují mi to QRko), platím s tím občas v hospodách atp.
Ale jasně, beru třeba máte i další specifické požadavky, a jestli vám na podpoře řekli, že to ještě není, nebo to bude trvat dlouho, tak hledáte alternativu.
Jen mě trochu zarazilo - teď nezávisle na KB+, jak jste psal, že mobil není bezpečný, můžete ho ztratit atp. Mě to naopak s tím sandboxováním aplikací, vestavěnou biometrií atp. přijde out-of-box výrazně bezpečnější než standardní PC třeba s certifikátem v souboru (jak to kdysi bývalo). A s tím ztracením, řekl bych že i kdybyste to řešil jen přes web a telefonem jen potvrzoval (takhle to preferují třeba mí rodiče), tak většina bank vám umožní nainstalovat a povolit tu ověřovací appku na víc zařízení - může to být třeba tablet, starší mobil v šuplíku (pokud nemá úplně nějaký prehistorický OS).
Takže nějaká forma zálohy, aby člověk při případné ztrátě nebo závadě toho primárního mobilu nemusel hned na pobočku, je také možná. Což tak jako tak podle mě dává smysl pořešit i pro případné ostatní ověřovací aplikace k různým jiným službám mimo bankovnictví, pokud je člověk používá.
-
Tak klasika, Fio.
Aj ked "Propojení účtů z jiných bank." je taka neskutocna exotika ze pochybuje ze to niekde najdes.
A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.
Fio ma sice aplikaciu ale nie je povinna, akurat ze ak si ju nahodis tak nemozes pouzivas sms kody ale MUSIS verifikovat cez aplikaciu.
Takze s tymi poziadavkmi asi ostan pri tej KB :)
Možnost načtení QR kódu právě byla ve starém bankovnictví od KB. Umělo si to vyzobnout QR kód a předvyplnit platbu. Super. Vzhledem k tomu, že QR kódy pro platbu jsou součást kdejaké faktury, proč to nevyužít...
Načíst QR kód umí i webový George, ale ten ho umí načíst jen přes kameru. Nádhera, když mám jen elektronickou fakturu (a změnit to neplánují).
Zůstat u KB... no... problém je v tom, že skoro vše (kromě základních věcí jako poslat peníze a trvalý příkaz) je v KB-- nedodělané nebo neplánované - například to propojení účtů. Takže proč jim dělat testera.
-
Která banka ti umí zrušit předautorizované transakce na kartě? Snad žádná, on jim takové zásahy totiž zakazují podmínky kartových asociací a částečně i zákon o platebním styku. Daný subjekt by musel by na černé listině. Řešením je bohužel zrušit kartu.
mBank bez problému, ani nemusím kontaktovat banku - bloknu to sám v IB, případně použiju virtuální kartu, která to blokuje automaticky i když tam nechám nabitý zůstatek. Stejně tak Revolut umí bloknout předplatné.
btw. nikdo jim takový zásah nezakazuje, řekl bych, že spíš naopak přikazuje. Banka je povinna jednat okamžitě, jakmile jsem ohlásil neoprávněné transakce a konkrétně Airbank opraqvdu nedělala nic až do zrušení karty.
Ty obrázky beru jako vtípek, nepamatuji si je a na pobočce s doklady to lze vždy přeskočit.
Ano, to je ono. Musím kvůli toho jet na pobočku a vybrat si nové obrázky z omalovánek, aby moje šestimístné heslo složené pouze z číslic bylo bezpečnější. Tohle od banky fakt nechci.
Co se týče toho javascriptu, to je asi plus mínus pravda, ale Airbank v tom opravdu patří k nejagresivnějším a práce s jejich bankovnictvím (když má trvat déle, než 5 minut) je opravdu hrůza.
-
Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky.
Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware. Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti. Někde se o tom už psalo, mám pocit že to byly účty nějaké BTC směnárny. Asi k tomu ale zatím nedochází v takové míře, že by vyžadovali druhý faktor. To by pak uživatelé prskali. Kdyby alespoň nějaká banka měla možnost platby zadané na mobilu potvrzovat na PC.
TLDR odpověď: schopný malware na mobilu je pro banku méně pravděpodobné riziko, než phishing.
Delší odpověď: Útok na aplikaci banky vyžaduje plnou kontrolu nad zařízením, přejít z jedné aplikace do druhé, která se (aspoň teoreticky) snaží obfuscovat a házet tomu klacky pod nohy, a pokud už někdo dokáže tohle, tak si stejně tak přečte i ty SMS. Ne že by to nešlo a nedělo se, ale je to složité.
Oproti tomu ty SMS se dají unést klidně z druhé strany světa jen tak, stačí mít přístup k člověku na správné pozici třeba u nějakého operátora v Africe (což pro organizované skupiny není problém), a získat přístupové údaje přes phisingovou stránku, která se dá krásně udělat na PC (nebyla nějaká falešná stránka banky kdysi v Seznam hledání nad tou pravou?). A tady ani kolikrát není potřeba nějak unášet sms, uživatel si to opíše sám, záleží na útoku. Ale zfalšovat mobilní aplikaci banky uprostřed prohlížeče, to bude vždycky vypadat podezřele. Plus uživatel nemusí zadávat žádnou adresu nikam, prostě klikne na ikonku.
Ergo, webové bankovnictví + SMS se s bezpečností mnohem víc spoléhá na uživatele, který si musí hlídat, jestli je na správné stránce, zatímco ta aplikace pokusy o phishing výrazně komplikuje a to odchycení SMS znemožňuje úplně. Aplikace jsou tedy menší riziko finanční ztráty a novinových článků o "útoku na banku", a o to jde především. Na uživatele kašle pes. 8)
-
Jen mě trochu zarazilo - teď nezávisle na KB+, jak jste psal, že mobil není bezpečný, můžete ho ztratit atp. Mě to naopak s tím sandboxováním aplikací, vestavěnou biometrií atp. přijde out-of-box výrazně bezpečnější než standardní PC třeba s certifikátem v souboru (jak to kdysi bývalo). A s tím ztracením, řekl bych že i kdybyste to řešil jen přes web a telefonem jen potvrzoval (takhle to preferují třeba mí rodiče), tak většina bank vám umožní nainstalovat a povolit tu ověřovací appku na víc zařízení - může to být třeba tablet, starší mobil v šuplíku (pokud nemá úplně nějaký prehistorický OS).
Takže nějaká forma zálohy, aby člověk při případné ztrátě nebo závadě toho primárního mobilu nemusel hned na pobočku, je také možná. Což tak jako tak podle mě dává smysl pořešit i pro případné ostatní ověřovací aplikace k různým jiným službám mimo bankovnictví, pokud je člověk používá.
Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...
Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.
-
Prohlížeče dnes neumí ani bezpečně uchovávat session cookies, Google si to řeší hardcodování svých věcí do chromu, banky mají smůlu, tak si sezení ve webovém prohlížeči drží v javascript paměti jako proměnnou.
Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře :)
// edit: Kouknul jsem na AirBank a potvrzuji - session cookie je httponly.
-
Jen k věci... Prošel jsem si web a nápovědu AirBank a vypadá to, že by bankovnictví mohlo zvládnout vše, co potřebuji a tak, jak potřebuji
Ještě to padlo Fio. To umožňuje demoúčet a vyzkoušení bankovnictví. Super, to zkusím později.
S tím agresivním odhlašovaním je to všude podobné. Rozumějte nahovno.
-
Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...
Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.
Já jsem právě taky klidnější, pokud můžu mít nějakou formu záložního ověřování. U nějakých obecných TOTP ověření je to jednodušší, ale mám těch různých služeb i pracovně vcelku dost a někdy jsou to prostě vynucené speciální aplikace, takže starý mobil mi přišel nejjednodušší řešení. A s KB klíčem to fungovalo bez problémů, prostě jsem přidal další ověření přes nastavení KB profilu na webu. Podobně také se Smart klíčem od ČSOB.
Samozřejmě beru, že každá varianta má svoje nevýhody a já to bral spíš pragmaticky. V tomhle případě to chce asi počítat s tím, že se za určitou dobu pravděpodobně člověk dostane z nějakého okna podporovaných verzí systému na mobilu. I když KB klíč mi zatím v pohodě chodí na starém telefonu s iOS15. U Androidu je to, myslím, 8 a výš. U toho ČSOB to bylo podobné, když jsem to rozcházel rodičům, tam to dokonce šlo dát i na záložní Huawei s prvním Harmony OS (vykoštěný Android).
-
Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.
To musíte mít radostný život, když vás realita pobaví. Prohlížeče jsou ty nejbezpečnější aplikace na počítačích. Problém je v tom, že všechny aplikace na desktopu běží pod jedním uživatelem, nejsou z pohledu OS nijak oddělené. Je vám k ničemu, že by aplikace měla uložené klíče bezpečně v HW, když přes ni může kterákoli jiná aplikace kreslit nebo získat její vstup.
Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí.
Což je pořád k ničemu, když ta aplikace běží na tom počítači.
Prohlížeče dnes neumí ani bezpečně uchovávat session cookies
Třeba session storage podporují všechny dnešní prohlížeče, to jde pro bezpečné uložení session cookies použít.
Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware.
Nevím, co je na tom zajímavého. Přístup k SMS může mít spousta lidí, mobilní aplikace je podstatně bezpečnější.
Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti.
Nebo útočníkovi stačí telepaticky v hlavě změnit to, co v aplikaci vidí. Ono jaksi nede jen o to, že napíšete „stačí jen“, také je potřeba vědět, jak obtížné to je. Teoreticky je možné prolomit všechno, včetně současných nejlepších šifer. Podstatné je, že to nikdo neumí prakticky.
Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře :)
Je to uložené v session storage, kam mají přístup jenom skripty z webové stránky z dané domény. Se zavřením tabu se to smaže. Že je to přístupné z JavaScriptu ničemu nevadí, protože JavaScript provádí všechny ostatní rizikové operace. Takže kdyby útočník měl možnost spouštět na daném webu JavaScript, stejně může napáchat spoustu škod (třeba vám zobrazí číslo účtu, které chcete vidět, ale zadané bude jeho číslo účtu). Pro to, aby útočník nemohl do webu vložit svůj vlastní JavaScript, existují zase jiné ochrany – CSP.
Cookies mají tu nevýhodu, že je odesílá prohlížeč automaticky s každým požadavkem. Pokud máte aplikaci na více poddoménách (třeba přihlášení na jedné poddoméně a aplikaci na jiné, protože to přihlášení je třeba společné pro více aplikací), musí ta cookie být nastavena tak, že je dostupná pro všechny poddomény. Pak stačí jedna aplikace na nějaké subdoméně, která bude mít nějakou díru, a útočník se k session cookie dostane. Ukládat tajemství do cookies je daleko rizikovější, než ukládat ho do session storage.
-
Nebudu zabředávat do diskuse nebezpečných desktopových prohlížečů a vyhypovaně ultrabezpečných mobilních aplikací, jak to líčí Jirsák. Takovéhle reklamní strašení používají i banky a další šiřitelé zla. Má to jeden háček, který jaksi zamlčují, když se vám ztratí telefon, tak jste s nějakou aplikací uplně v čoudu, pokud si nějak obskurně propojíte nějaká zařízení. a úplně se zamlčuje, že ty aplikace nechtějí chodit na rootovaných telefonech, protože jsou plné šmírování a hlídání a těžko se kontroluje, co mobilní aplikace dělá na rozdíl od konzole browseru. (druhá strana bude tvrdit že to tak je správně, že aplikace se aktivně brání nekalostem)
Ano, odhlašování na fóru je legendární, například se to stane i minutu potom, co v druhém refresnu stránku.
a Mohu přihodit zkušenost s moneta. Sice taky tlačí aplikaci (dokonce nešly termínované vklady na webu zrovna náhodou v létě, kdy byl úrokkolem 5%), přes ten desktopový prohlížeč je to taky jako když běží javascriptový reaktor, dokáže úplně zpomalit 4jádrový CPU.
Ale naštěstí pořád , neoficiálně, s autorizačními SMSkami funguje i pro ostatní než pro pozitivně diskriminované důchodce nad 65 let, akorát je to pain in hell, každé příhlášení přes webovou konzoli smazat varovné výhružné okénko, že autorizační SMS byly zrušeny v roce 2023 a když používáte ty autorizační SMS, tak vám ti zlí hackeři mohou se nabourat do účtu.
(právě díky příchozí SMS uvidím, kdyby někdo náhodou si našel mé login údaje)
Taky nejsem z SMSek nadšený, protože kód má kulervoucích osem číslic, snad víc má jen RB, 10. Přitom je to totální úlet, webpage nedovolí vložit víc než 100 pokusů kódu. bohatě stačí i 4místný jako kdysi měly banky. Kdyby třeba banky nabídly nějaký OTP způsob nezávislý na operačním systému, což není nějaká obskurní aplikace z nějakého nestažitelného než jinde google play nebo nějakého obchodu s jablky
Jediné co je potřeba, je aplikace na čtení SMS
-
Doporučuji kouknout na Fio. Upřímně nevím, jestli umí to propojení účtu a načítání údajů z QR kódu, ale obecně je ze všech bank, které používám nebo o kterých mám povědomí, nejpřátelštější, bez nějakých zákeřností nebo házení klacků pod nohy. K tomu (subjektivně) velmi přehledné webové bankovnictví, rovněž zákaznická podpora reaguje rychle a ochotně. Přesně tak si představuji, že má banka fungovat.
-
- Možnost načtení QR kódu ze souboru
Tak pardon, u AirBanky jsem možnost načtení QR kódu ze souboru ve webové aplikaci nenašel (to neznamená, že tam není, já to ale nenašel). Mobilní to samozřejmě má a anžto jinou nepoužívám, tak mi tohle nedocvaklo.
-
a bylo by to podstatně dražší, než nejlevnější mobily
A "nejlevnější mobil" není nějaký backdoornutý Android který dostal poslední aktualizaci rok před tím než jste si ho koupil? Dříve jste tu na tento argument psal, že mobil je jenom druhý faktor, tak je i taková věc v pohodě, ale od té doby se situace změnila: naprostá většina bank již mobil nepoužívá jako druhý faktor, ale jako jediný faktor (i.e., nemají zvlášť "jen autentizační aplikaci pro internetbanking" a plnohodnotné mobilní bankovnictví, ze kterého jde dělat všechno).
A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.
Já to chápu, nechce se mu copypastovat X políček. Používá nejspíš nějaké desktopové prostředí, kde je snadné, když má otevřenou třeba PDF fakturu, ten soubor "dropnout" do okna prohlížeče.
Tak klasika, Fio.
Už se taky kazí. Teď třeba poslední věc (na konci roku) zavedli, že už ti také mohou nutit předschválené půjčky online - AFAIK jediná banka která to ještě neměla. A od kamarádů slýchám, že ten jejich javový podepisovač už v podstatě přestali podporovat.
Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.
Nerozumím, můžete dát příklad útoku, který umožní kompromitaci bankovnictví v prohlížeči, ale ne desktopové aplikace?
Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí. Mícháš dvě věci dohromady, někde potřebuješ mít uložený tajemství (teď se používá zabezpečná enclava uvnitř telefonu), pak aplikaci, která ti zobrazí výzvu a po tvém potvrzení jí skombinuje s tajemstvím a doručí bankce. Ty přepisovací kalkulačky jsou už historie.
Já myslel, že se bavíme o vyhackovaném počítači, kde ti pak ta aplikace může zobrazovat cokoli.
-
A "nejlevnější mobil" není nějaký backdoornutý Android který dostal poslední aktualizaci rok před tím než jste si ho koupil? Dříve jste tu na tento argument psal, že mobil je jenom druhý faktor, tak je i taková věc v pohodě, ale od té doby se situace změnila: naprostá většina bank již mobil nepoužívá jako druhý faktor, ale jako jediný faktor (i.e., nemají zvlášť "jen autentizační aplikaci pro internetbanking" a plnohodnotné mobilní bankovnictví, ze kterého jde dělat všechno).
Pokud byste se opravdu bál, že Čína prodává backdoornuté mobily zaměřené na české bankovní aplikace (a neví se o tom), můžete ten mobil používat bez připojení k internetu. To potvrzování bankovních transakcí bude sice trochu méně pohodlné, ale riziko napadeného mobilu to řeší.
Mimochodem, nejlevnější noname mobil s Androidem na Alze je jakýsi Infinix Smart zlevněný na 1 790 Kč, základní cenu Alza uvádí 1 890 Kč. Nejlevnější značkový mobil s Androidem mají Motorola Moto E14 za 1 888 Kč. Takže druhé možné řešení vašeho problému je to, že si nekoupíte ten nejlevnější mobil ve slevě, ale připlatíte si stovku za normální značku.
-
Jestli si někdo myslí, že bankovní aplikace běžící na mobilu je v bezpečí před jinými aplikacemi, doporučuji se podívat na statistiky CVE Androidu/iOS, třeba tohle:
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
Představy, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, jsou úplně mimo. To, že se zatím masivně neútočí na aplikace našich malých bank neznamená, že se někdy někomu neoplatí tomu čas věnovat.
Ohledně kontroly rootu na telefonu, tak třeba aplikaci od Fio to nevadí, není třeba root maskovat. Pokud bych neměl možnost si zkontrolovat jaké data posílá v PCAPdroidu, tak ji nepoužívám (pouze jako druhý faktor samozřejmě).
-
Jestli si někdo myslí, že bankovní aplikace běžící na mobilu je v bezpečí před jinými aplikacemi, doporučuji se podívat na statistiky CVE Androidu/iOS, třeba tohle:
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
Představy, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, jsou úplně mimo. To, že se zatím masivně neútočí na aplikace našich malých bank neznamená, že se někdy někomu neoplatí tomu čas věnovat.
Ohledně kontroly rootu na telefonu, tak třeba aplikaci od Fio to nevadí, není třeba root maskovat. Pokud bych neměl možnost si zkontrolovat jaké data posílá v PCAPdroidu, tak ji nepoužívám (pouze jako druhý faktor samozřejmě).
Statistiky CVE ovšem vůbec nevypovídají o tom, jestli je jedna aplikace schopna napadnout jinou aplikaci. A to ani kdyby CVE vyjadřovalo skutečně to, jako co se prezentuje.
O představě, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, tu píšete jediný vy. Když se nevyplatí útočit na aplikace našich malých bank, na aplikace velkých zahraničních bank se přes chyby v softwaru útočí? Na které banky například?
Jaká data tedy aplikace Fio posílá? A jak víte, že vždy posílá jen to, co jste odpozoroval? Že si se svou případnou záškodnickou činností nepočká třeba měsíc od instalace? A v čem by ta záškodnická činnost bankovní aplikace spočívala?
-
[O představě, že všichni mají telefony stále podporované výrobcem a mají nainstalované poslední aktualizace, tu píšete jediný vy.
Vy jste tvrdil, že mobilní aplikace jsou tak bezpečné, že není potřeba druhý faktor. K tomu by minimálně byl potřeba bezpečný OS, ale to Android ani iOS není, jak ukazuje existence velkého množství závažných bezpečnostních chyb.
Když se nevyplatí útočit na aplikace našich malých bank, na aplikace velkých zahraničních bank se přes chyby v softwaru útočí? Na které banky například?
Třeba tady jsou nějaké vypsané:
https://www.tomsguide.com/news/dangerous-android-trojan-can-drain-your-bank-accounts-how-to-stay-safe
Jaká data tedy aplikace Fio posílá? A jak víte, že vždy posílá jen to, co jste odpozoroval? Že si se svou případnou záškodnickou činností nepočká třeba měsíc od instalace? A v čem by ta záškodnická činnost bankovní aplikace spočívala?
Narušení soukromí, třeba posíláním seznamu aktivit na telefonu, kontaktů, zpráv, jmen souborů na disku apod. Už si nevzpomínám co tam všechno bylo, ale nic podezřelého jsem tam neviděl, byly to velmi krátké zprávy. To mi stačilo na to, abych věřil Fio, že se nesnaží dolovat data ze všeho kde by to šlo a nahradil tou jejich aplikací SMS jako druhý faktor.
-
Vy jste tvrdil, že mobilní aplikace jsou tak bezpečné, že není potřeba druhý faktor.
Netvrdil. Například proto, že bankovní aplikace používají dva faktory – prokazujete jimi, že 1. něco máte (konkrétní mobil, ve kterém je uložený klíč) a že 2. někdo jste (otiskem prstu, skenem obličeje) nebo něco znáte (PIN).
K tomu by minimálně byl potřeba bezpečný OS, ale to Android ani iOS není, jak ukazuje existence velkého množství závažných bezpečnostních chyb.
Android i iOS jsou pro bankovnictví dostatečně bezpečné systémy. Ani existence závažných bezpečnostních chyb sama o sobě neznamená, že by ty systémy nebyly použitelné pro elektronické bankovnictví (např. pokud by systém umožnil bez vědomí uživatele aktivovat kameru, je to závažná bezpečnostní chyba, ale bankovnictví to nijak neohrozí). Statistika historických CVE navíc existenci velkého množství závažných bezpečnostních chyb neukazuje.
Třeba tady jsou nějaké vypsané:
https://www.tomsguide.com/news/dangerous-android-trojan-can-drain-your-bank-accounts-how-to-stay-safe
Nějak tam postrádám informaci o tom, jaké bezpečnostní chyby v systému ta aplikace zneužila. Naopak tam vidím zneužití funkce zobrazení překryvných oken, což je přesně to, před čím bankovní aplikace varují (a pak si tu někdo stěžuje, že nejdou používat na rootnotých telefonech – tohle je právě ten důvod).
Narušení soukromí, třeba posíláním seznamu aktivit na telefonu, kontaktů, zpráv, jmen souborů na disku apod.
Jak by se k těm datům aplikace dostala, když jí nedáte oprávnění? K čemu by bance takové informace byly?
Už si nevzpomínám co tam všechno bylo, ale nic podezřelého jsem tam neviděl, byly to velmi krátké zprávy. To mi stačilo na to, abych věřil Fio, že se nesnaží dolovat data ze všeho kde by to šlo a nahradil tou jejich aplikací SMS jako druhý faktor.
Takové práce to dalo a přitom taková blbost…
-
Jsem v KB od roku 2010, co jsem začal pracovat dnes tam mám i podnikatelský účet. Táta je u nich od revoluce. A můžu potvrdit, že současné mobilní bankovnictví i webové KB+ splňuje současný IT trend - co funguje, musí se slušně řečeno zmrvit.
Třeba nechápu, proč se musím přihlašovat pro vygenerování QR kódu. Prý pro načtení čísla účtu. To si jako ta aplikace neumí zapamatovat jedno číslo off-line? Pracuji v terénu a občas jsem v místech, kde nemám signál a klient třeba ano a nebo má svou wifi.
A je zajímavé, že jejich business banka stále používá webové rozhraní z 90. let, v podstatě to úplně první, které používali i na osobních účtech někdo do roku 2011.
Možná by nebylo od věci na to upozornit deník Blesk a TV Nova. Pak by se možná ledy hnuly.
-
Netvrdil. Například proto, že bankovní aplikace používají dva faktory – prokazujete jimi, že 1. něco máte (konkrétní mobil, ve kterém je uložený klíč) a že 2. někdo jste (otiskem prstu, skenem obličeje) nebo něco znáte (PIN).
ked uz spamujete, tak aspon inteligentne.
To co pisete je mozne uplne bez problemov aplikovat na bezny IB na pocitaci: mate nieco na com to bezi (identifikovane konkretne domace PC) a nieco co poznate (PIN).
Fakt chcete niekomu nahovorit, ze to je 2FA v uspokojivej podobe?
Cela bezpecnost appiek na telefone je zalozena na jedinej veci: dovere v OS na ktorom to bezi. (ktory vam povie, ze otlacok prsta je v poriadku a ze kluc v ulozisku nie je skopirovany).
-
ked uz spamujete, tak aspon inteligentne.
Příště si tohle blábolení nechte pro sebe. Na rozdíl od vás aspoň nepíšu o věcech, o kterých nic nevím.
To co pisete je mozne uplne bez problemov aplikovat na bezny IB na pocitaci: mate nieco na com to bezi (identifikovane konkretne domace PC) a nieco co poznate (PIN).
Fakt chcete niekomu nahovorit, ze to je 2FA v uspokojivej podobe?
Ne, nikomu to namluvit nechci. Také jsem nic takového nenapsal. Je to 2FA v neuspokojivé podobě, proto to také banky nepoužívají.
Cela bezpecnost appiek na telefone je zalozena na jedinej veci: dovere v OS na ktorom to bezi. (ktory vam povie, ze otlacok prsta je v poriadku a ze kluc v ulozisku nie je skopirovany).
Ne, důvěra v OS je podmínka nutná, nikoli postačující. Dále je potřeba například důvěryhodné úložiště klíčů, ze kterého nejde klíč získat s vynaložením rozumných nákladů. No a právě proto, že je potřeba důvěra v OS, obvykle se bankovní aplikace brání provozu na rootnutém systému, protože takovému systému důvěřovat nemohou.
-
To co pisete je mozne uplne bez problemov aplikovat na bezny IB na pocitaci: mate nieco na com to bezi (identifikovane konkretne domace PC) a nieco co poznate (PIN).
Chybí tam pár dalších prvků. Například TPM jako důvěryhodné úložiště, ze kterého si nemůže mýrnix týrnix zákeřná aplikace vytáhnout všechna tajemství a poslat je jinam. A když Microsoft trvá na tom, že pro Win11 je ten kus hardware podmínka nutná, právě kvůli takovýmto použitím, tak lidi frfňají. ::)
-
Microsoft trvá na spoustě blbostí. Pro něco může být TPM nutné, pro vlastní běh OS ani omylem, tudíž není jakýkoliv důvod jeho přítomnost vynucovat. Ale to jsme trošku OT.
-
Jediné co je potřeba, je aplikace na čtení SMS
;)
https://youtu.be/wVyu7NB7W6Y?feature=shared&t=1094
-
Doporučuji kouknout na Fio... obecně je ze všech bank, které používám nebo o kterých mám povědomí, nejpřátelštější, bez nějakých zákeřností nebo házení klacků pod nohy. K tomu (subjektivně) velmi přehledné webové bankovnictví, rovněž zákaznická podpora reaguje rychle a ochotně. Přesně tak si představuji, že má banka fungovat.
Potvrdzujem a doporučujem z vlastnej skúsenosti.
Využívam len základné bankové služby a postupne som za 25r prešiel cez niekoľko bánk: ČSOB (študentský účet), ČS, RB (zvýhodnený účet od zamestnávateľa), MBank, Air Bank, Fio, KB (len kvôli hypo u MPSS).
Prvé štyri som po zavádzaní rôznych poplatkov zrušil, od Air Banky som odišiel k Fio kvôli podnikateľskému účtu.
Od KB som utiekol hneď pri refinancovaní. Problémy s KB+ a nemožnosťou prihlásenia do elektronického bankovníctva boli pritom len vrchol ľadovca. Tá banka vôbec nefunguje ako taká. Omylom banky mi zrušili účet, z ktorého som platil hypo. Ani mi nepovedali dôvod a následne neboli dostatočne súčinní pri obnove. Na pobočke som musel posledný rok osobne stráviť niekoľko návštev a mnoho hodín svojho času, len aby mi opäť umožnili základné operácie (=splácať hypo). Posledná čerešnička bola, keď som po refinancovaní a zrušení účtu musel zaplatiť poplatok za výber zostatku na účte.
S Fio som veľmi spokojný.
Okrem iného používam aj QR platby, aspoň teda cez mobilnú aplikáciu. Autentikácia môže byť stále voliteľne aj cez esemesky.
A po refinancovaní mám u nich už aj hypo, pred pol rokom mi dorovnali vtedy najlepšiu ponuku, akú som dostal v inej banke.
-
Vy jste tvrdil, že mobilní aplikace jsou tak bezpečné, že není potřeba druhý faktor.
Netvrdil. Například proto, že bankovní aplikace používají dva faktory – prokazujete jimi, že 1. něco máte (konkrétní mobil, ve kterém je uložený klíč) a že 2. někdo jste (otiskem prstu, skenem obličeje) nebo něco znáte (PIN).
Takhle jsou ale oba přes jedno zařízení. Jedna bezpečnostní chyba stačí na to, aby si útočník převedl vaše peníze kam chce.
Android i iOS jsou pro bankovnictví dostatečně bezpečné systémy.
Ne, nejsou. Malware může získat root oprávnění a mít plnou kontrolu nad zařízením, třeba ukázat pozměněnou platbu v bankovní aplikaci. Ta se tomu obecně nemá jak bránit, její kod si útočník může libovolně měnit.
Zde máte popis konkrétního malware a přes jaké chyby umí získat roota:
https://www.lookout.com/threat-intelligence/article/lookout-discovers-global-rooting-malware-campaign
Určitě nechcete tvrdit, že všichni mají tyhle chyby už záplatované a žádné další nejsou. Pro představu jsem dával odkaz na CVE statistiky.
Banky dělají jen minimum nezbytné pro to, aby nepřišly o licenci. Skutečná bezpečnost je nezajímá, pracují s tím, jaké útoky se aktualně dějí. Klienti chtějí hlavně pohodlí. A útočníci nebudou ztrácet čas psaním root exploitů, když fungují mnohem jednodušší a levnější útoky. To ale neznamená, že bankovní aplikace jsou bezpečné. Jen to zatím není velký problém.
-
Takhle jsou ale oba přes jedno zařízení.
Na počtu zařízení nezáleží.
Jedna bezpečnostní chyba stačí na to, aby si útočník převedl vaše peníze kam chce.
Takhle ale bezpečnost nefunguje. Bezpečnost se posuzuje podle dvou kritérií – závažnost chyby a její pravděpodobnost. Je spousta jiných případů „jedné chyby“, které mohou položit bezpečnost celého internetového bankovnictví. Třeba prolomení asymetrické kryptografie. Jenže riziko je tak nízké, že s ním banky dokážou bez problémů žít. A to samé se týká té vaší hypotetické bezpečnostní chyby v Androidu/iOS.
Android i iOS jsou pro bankovnictví dostatečně bezpečné systémy.
Ne, nejsou. Malware může získat root oprávnění a mít plnou kontrolu nad zařízením, třeba ukázat pozměněnou platbu v bankovní aplikaci. Ta se tomu obecně nemá jak bránit, její kod si útočník může libovolně měnit.
No, jsou. Shodují se na tom banky i odborníci na počítačovou bezpečnost. Vaše názory jsou irelevantní, když o počítačové bezpečnosti nic nevíte.
Pro představu jsem dával odkaz na CVE statistiky.
Ano, já jsem si na základě toho odkazu udělal představu, že o bezpečnosti nic nevíte.
Banky dělají jen minimum nezbytné pro to, aby nepřišly o licenci. Skutečná bezpečnost je nezajímá, pracují s tím, jaké útoky se aktualně dějí. Klienti chtějí hlavně pohodlí. A útočníci nebudou ztrácet čas psaním root exploitů, když fungují mnohem jednodušší a levnější útoky. To ale neznamená, že bankovní aplikace jsou bezpečné. Jen to zatím není velký problém.
Bankovní aplikace jsou natolik bezpečné, aby klienti používaly služby banky a zároveň to banku nestálo víc, než kdyby aplikace víc zabezpečila. Což je v pořádku. Vy si taky domů nebudete pořizovat trezor za 100 000 Kč, abyste do něj pak uložil 10 000 Kč.
-
Fio je za me jednoduche a docela primocare. Mame tam nekolik uctu soukromych i firemnich a zatim to nikdo neproklina.
Ovsem u Unicreditu, kde mam hypo, se na stav konta chodim radsi jednou rocne ptat do banky, protoze to bankovnictvi je HRUZA. To neprehanim, fakt chodim na pobocku.
-
Třeba prolomení asymetrické kryptografie. Jenže riziko je tak nízké, že s ním banky dokážou bez problémů žít. A to samé se týká té vaší hypotetické bezpečnostní chyby v Androidu/iOS.
Ehm, historicky se bezpečnostní chyby umožňující získání roota stávají mnohořádově častěji než prolomení běžně používané asymetrické kryptografie. Že se toho masivně nezneužívá neznamená, že to nejde. Jen jsou jednodušší způsoby jak krást peníze.
Ano, já jsem si na základě toho odkazu udělal představu, že o bezpečnosti nic nevíte.
Naprosto vůbec nic? No tak to bych si asi měl začít hledat novou práci, ach jo. :D
-
No a právě proto, že je potřeba důvěra v OS, obvykle se bankovní aplikace brání provozu na rootnutém systému, protože takovému systému důvěřovat nemohou.
Já zase nemůžu důvěřovat proprietárnímu softwaru a zařízení, které může na dálku ovládat někdo další (Google, Apple, tajné služby atd.).
-
A když Microsoft trvá na tom, že pro Win11 je ten kus hardware podmínka nutná, právě kvůli takovýmto použitím, tak lidi frfňají. ::)
Já tedy o používání jejich OS nestojím, takže vlastně čím horší ten jejich systém bude, tím líp. Nicméně: kdyby ta motivace byla taková, jak píšeš, tak to TPM může být klidně nepovinné - jen pro lidi, kteří ho potřebují - není důvod ostatním bránit v používání OS na počítači bez TPM - můžou tam třeba hrát hry nebo používat aplikace, které TPM nepotřebují (těch je většina). Je to asi jako si vynucovat přítomnost kamery nebo mikrofonu, i když uživatel tyto funkce nepotřebuje nebo jsou pro něj vyloženě nežádoucí.
-
Na počtu zařízení nezáleží.
Já bych řekl, že záleží. Jak na počtu zařízení, tak komunikačních kanálů. Napadnout počítač a mobil dá útočníkovi víc práce než napadnout jen počítač nebo jen mobil. Stejně tak s těmi komunikačními kanály - můžeme se sice vysmívat chatrnému zabezpečení SMS nebo psát o tom, že útočník může mít komplice u operátora... ale pořád je složitější prolomit dva komunikační kanály než jeden.
-
Ehm, historicky se bezpečnostní chyby umožňující získání roota stávají mnohořádově častěji než prolomení běžně používané asymetrické kryptografie.
To je úplně jedno, že je to častěji. Podstatné jsou dvě věci – závažnost chyby a její pravděpodobnost.
Že se toho masivně nezneužívá neznamená, že to nejde. Jen jsou jednodušší způsoby jak krást peníze.
To je to podstatné.
Naprosto vůbec nic? No tak to bych si asi měl začít hledat novou práci, ach jo. :D
Nevíte ty nejzákladnější věci. Že bezpečnost=nebezpečnost se neposuzuje podle počtu chyb, ale podle jejich závažnosti a pravděpodobnosti. Že bezpečné není jen to, co je absolutně neprolomitelné (což není nic), ale to, kde náklady na prolomení jsou vyšší než to, co bych prolomením získal.
Já zase nemůžu důvěřovat proprietárnímu softwaru a zařízení, které může na dálku ovládat někdo další (Google, Apple, tajné služby atd.).
Takže nemůžeš důvěřovat ničemu. Jinak bezpečnost bankovnictví (mobilního, internetového nebo fyzického na pobočce) není proto, aby chránila tebe, ale aby chránila banku. To, že tím banka chrání i tebe, je jenom proto, že aby banka chránila sebe, musí do určité míry chránit i své klienty. A nechci nějak podceňovat, kolik máš na účtě v bance, ale nemyslím si, že by si Google nebo Apple nějak pomohl, kdyby ti účet vybílil.
Já bych řekl, že záleží. Jak na počtu zařízení, tak komunikačních kanálů. Napadnout počítač a mobil dá útočníkovi víc práce než napadnout jen počítač nebo jen mobil. Stejně tak s těmi komunikačními kanály - můžeme se sice vysmívat chatrnému zabezpečení SMS nebo psát o tom, že útočník může mít komplice u operátora... ale pořád je složitější prolomit dva komunikační kanály než jeden.
Ne, nezáleží. U vícefaktorové autentizace záleží ne počtu faktorů a jejich bezpečnosti. Ostatně, co bys vlastně počítal jako zařízení? Když OTP vygeneruju na mobilu a zadám ho do počítače, jsou to dvě zařízení nebo jedno? A pokud jedno, tak které – počítač nebo mobil?
-
Ještě bych doplnil, že tahle diskuse má dvě roviny: 1) samotná bezpečnost, 2) svoboda a soukromí.
Nelíbí se mi představa, že by fungování člověka ve společnosti bylo podmíněno podepsáním smlouvy s jednou ze dvou korporací (Google, Apple), souhlasem s jejich podmínkami a používáním zařízení, které je černá skříňka plně pod jejich vzdálenou kontrolou. Uživatel (nebo nezávislá autorita, které uživatel důvěřuje) nemá šanci ovlivnit ani zjistit, co se uvnitř toho zařízení děje.
Pokud něco nejde dělat s respektováním svobody, soukromí a konkurence na trhu, tak je lepší to nedělat vůbec nebo to dělat nějakou jinou, třeba méně pohodlnou cestou. Rozhodně to nemá být něco de facto povinného pro všechny občany.
-
Na počtu zařízení nezáleží.
Já bych řekl, že záleží. Jak na počtu zařízení, tak komunikačních kanálů. Napadnout počítač a mobil dá útočníkovi víc práce než napadnout jen počítač nebo jen mobil. Stejně tak s těmi komunikačními kanály - můžeme se sice vysmívat chatrnému zabezpečení SMS nebo psát o tom, že útočník může mít komplice u operátora... ale pořád je složitější prolomit dva komunikační kanály než jeden.
Naprosto souhlasím s p. Kučerou. Toto by se mělo vytesat do kamene a ten postavit do vchodu banky tak, aby o něj její vedení pravidelně klopýtalo při příchodu a odchodu z práce.
Nejdřív mě ve Spořitelně přesvědčili abych používal George klíč, a pak když ho za půl roku zrušili, tak se hodně divili že se chci vrátit zpět k SMS.
Pokud přijdu o MT (závada, krádež, spadne mi do záchodu,...), tak zprovoznit náhradní SIM kartu pro volání + SMS je otázka 1-2 hodin, ovšem bankovní aplikace, ... kdo ví ..., a také - i když to může jít snadno zrovna teď - bude tomu tak i za rok?
Na mé argumenty o dvou různými zařízeních pokud možno s různými technologiemi (PC pro zadávání plateb a MT pro autorizaci) koukali jak na zjevení. Ale na druhou stranu se to dá pochopit - pokud většina jejich klientů má na účtu nevelkou částku. asi se jim nevyplatí investovat do vyššího zabezpečení.
Ale upravit tu jejich mobilní aplikaci tak, aby se s ní dalo pouze autorizovat platby a nic jiného - to by snad tak těžké být nemuselo.
-
Naprosto souhlasím s p. Kučerou. Toto by se mělo vytesat do kamene a ten postavit do vchodu banky tak, aby o něj její vedení pravidelně klopýtalo při příchodu a odchodu z práce.
Nejdřív mě ve Spořitelně přesvědčili abych používal George klíč, a pak když ho za půl roku zrušili, tak se hodně divili že se chci vrátit zpět k SMS.
Pokud přijdu o MT (závada, krádež, spadne mi do záchodu,...), tak zprovoznit náhradní SIM kartu pro volání + SMS je otázka 1-2 hodin, ovšem bankovní aplikace, ... kdo ví ..., a také - i když to může jít snadno zrovna teď - bude tomu tak i za rok?
Na mé argumenty o dvou různými zařízeních pokud možno s různými technologiemi (PC pro zadávání plateb a MT pro autorizaci) koukali jak na zjevení. Ale na druhou stranu se to dá pochopit - pokud většina jejich klientů má na účtu nevelkou částku. asi se jim nevyplatí investovat do vyššího zabezpečení.
Ale upravit tu jejich mobilní aplikaci tak, aby se s ní dalo pouze autorizovat platby a nic jiného - to by snad tak těžké být nemuselo.
Mobilní bankovnictví je řádově bezpečnější, než posílání nešifrované SMS. Myslí si to bezpečnostní odborníci, myslí si to banky, myslí si to bankovní dohled. To, že si laik Libor myslí opak (bůhví proč, žádné argumenty neuvádí), na tom nic nemění.
-
Naprosto souhlasím s p. Kučerou. Toto by se mělo vytesat do kamene a ten postavit do vchodu banky tak, aby o něj její vedení pravidelně klopýtalo při příchodu a odchodu z práce.
+1, chtěl jsem napsat něco velmi podobného, včetně toho tesání do kamene.
-
Ještě bych doplnil, že tahle diskuse má dvě roviny: 1) samotná bezpečnost, 2) svoboda a soukromí.
Pokud vám jde o soukromí, tak je (smysluplná) autorizace přes SMS zcela nevhodná, protože při ní chodí detaily vašich bankovních transakcí nešifrovaně přes mobilní síť.
Fakt by mě zajímalo, kolik budou mít ty speciální HW autentikátory, co teď CZ banky chystají, zákazníků. Podle tohohle fóra to vypadají, že jim lidé utrhají ruce, ale mě něco říká že to spíš bude mít problém nezajít na úbytě.
-
Mobilní bankovnictví je řádově bezpečnější, ...
Za tohle tvrzeni by se melo zavirat ... na dozivoti.
Je to totiz presne naopak, bankovnicvi v mobilu neni zabezpeceno naprosto nijak. Kdokoli ten mobil zcizi(nebo hackne), ma zcela neomezeny a nicim nezajisteny pristup.
Fakt by mě zajímalo, kolik budou mít ty speciální HW autentikátory,...
Ve firemnim sektoru urcite znacny. Ony totiz jestli firmy typicky o neco nestoji, tak je to to, ze se jim jejich ucetni prihlasuji k firemnim uctum soukromym mobilem. Zdravime KB a CSOB ... (mozna nekdo dalsi potvrdi i dalsi pripady)
A pokud bys to nahodou nepochopil, tyhle ustavy(choromyslnych) nechapou(nedokazou to, protoze jejich celkove IQ je -∞) ze soukroma osoba je nekdo jiny nez zamestnanec, a to ze se nekdo prijlasuje mobilem k soukromemu uctu neznamena, ze by mu melo byt dovoleno se stejne prihlasit k dalsim uctum na ktere ma dispozicni prava.
BTW: Ad SMS jednak neni pravda ze by to bylo nesifrovane, ale ta sifra je davno prolomena. Existovaly casy, kdy se bezne pouzival SIM Toolkit ... jenze to se zase nikda nanaucil pouzivat droid.
-
Mobilní bankovnictví je řádově bezpečnější, ...
Za tohle tvrzeni by se melo zavirat ... na dozivoti.
Je to totiz presne naopak, bankovnicvi v mobilu neni zabezpeceno naprosto nijak. Kdokoli ten mobil zcizi(nebo hackne), ma zcela neomezeny a nicim nezajisteny pristup.
Fakt by mě zajímalo, kolik budou mít ty speciální HW autentikátory,...
Ve firemnim sektoru urcite znacny. Ony totiz jestli firmy typicky o neco nestoji, tak je to to, ze se jim jejich ucetni prihlasuji k firemnim uctum soukromym mobilem. Zdravime KB a CSOB ... (mozna nekdo dalsi potvrdi i dalsi pripady)
A pokud bys to nahodou nepochopil, tyhle ustavy(choromyslnych) nechapou(nedokazou to, protoze jejich celkove IQ je -∞) ze soukroma osoba je nekdo jiny nez zamestnanec, a to ze se nekdo prijlasuje mobilem k soukromemu uctu neznamena, ze by mu melo byt dovoleno se stejne prihlasit k dalsim uctum na ktere ma dispozicni prava.
BTW: Ad SMS jednak neni pravda ze by to bylo nesifrovane, ale ta sifra je davno prolomena. Existovaly casy, kdy se bezne pouzival SIM Toolkit ... jenze to se zase nikda nanaucil pouzivat droid.
já ti nevím.
Když ti někdo hekne nebo ukradne počítač, jsi na tom stejně. Posuzovat míru bezpečnosti tak, že si rovnou skočíš do stavu, že bezpečnost je prolomena je vtipné. Netuším, jak můžeš tvrdit, že bankovnictví v mobilu není zabezpečeno nijak.
K těm sms, v 2G/3G legacy sítích se sms přenáší v nešifrovaně, pouze se kóduje. V LTE se k posílání sms používá buď IMS (tam je šifrování neúčinné) nebo diameter (tam není). V 5G se také používá IMS, ale již to je nedílnou součástí a není potřeba to dodělávat jako plugin, stačí znát imsi a sms si přečteš, když se hodně snažíš. VoLTE je asi pro sms nejbezpečnější cesta.
Drtivá většina sms se v ČR přenese nešifrovaně v 2G síti (3G síť už skoro není), ČTÚ nařizuje provoz 2G sítě do roku 2028.
-
Když ti někdo hekne nebo ukradne počítač, jsi na tom stejně.
To zas úplně ne. Pokud oběť nemá heslo do bankovnictví uložený v prohlížeči, tak je ten počítač úplně k ničemu (je to stejný jako se tam hlásit z kterýhokoliv jinýho počítače), a pokud jo, tak sice nemusí lámat heslo, ale pořád ještě musí unášet SMS.
-
ked uz spamujete, tak aspon inteligentne.
Příště si tohle blábolení nechte pro sebe. Na rozdíl od vás aspoň nepíšu o věcech, o kterých nic nevím.
zanesvarili ste uplne zbytocne diskusiu uplne nesuvisiacou temou. Zakladatel vlakna sa nezapodieval porovnavanim fiktivneho nebezpecenstva takeho verzus makoveho.
"Prosím, nevysvětlujte mi, že bankovnictví v mobilu je super a že je chci. "
Ne, nikomu to namluvit nechci. Také jsem nic takového nenapsal. Je to 2FA v neuspokojivé podobě, proto to také banky nepoužívají.
....
to na co som reagoval bolo, ze vam staci uznat jedine zariadenie s vybranymi magickymi vlastnostami za 2FA. To, ze si k tomu dodate hrst magickych poziadaviek typu "bezpecne ulozisko" z toho nerobi druhy faktor.
Mobilní bankovnictví je řádově bezpečnější, než posílání nešifrované SMS. Myslí si to bezpečnostní odborníci, myslí si to banky, myslí si to bankovní dohled.
Nie, uradnici si myslia ze SMS je prezitok a tlacia na banky aby to nepouzivali, tot vsjo.
Porovnavat aplikaciu s komunikacnym kanalom a hovorit nieco o zabezpeceni je cisty nezmysel.
SMS je doplnok aplikacie s nejakymi moznostami a nejakym stupnom bezpecnosti.
-
Je to totiz presne naopak, bankovnicvi v mobilu neni zabezpeceno naprosto nijak. Kdokoli ten mobil zcizi(nebo hackne), ma zcela neomezeny a nicim nezajisteny pristup.
Hele, popros někoho ze svého okolí kdo mobilní bankovnictví má a nech si ho ukázat. Evidentně jsi ho nikdy neviděl a píšeš naprosté nesmysly.
Ony totiz jestli firmy typicky o neco nestoji, tak je to to, ze se jim jejich ucetni prihlasuji k firemnim uctum soukromym mobilem.
A proč ty firmy jednoduše nedají účetním firemní mobily?
BTW: Ad SMS jednak neni pravda ze by to bylo nesifrovane, ale ta sifra je davno prolomena. Existovaly casy, kdy se bezne pouzival SIM Toolkit ... jenze to se zase nikda nanaucil pouzivat droid.
SMS jako taková je nešifrovaná. To, že některé kanály, kterými se SMS přenáší, šifrované jsou na tom nic nemění. Zprávy v SIM toolkitu byly šifrované end-to-end. Jenže ten měl tu nevýhodu, že člověk musel fyzicky dojít s mobilem do banky a tam banka svoji aplikaci nahrála. A chytré telefony jeho funkce nahradily, takže udržovat ho dál nemělo smysl.
-
Všem co tu obhajují mobilní bankovní aplikace. Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.
Chápu, že se řeší BFU, ale tady bych čekal jinou úroveň. To že se dá SMS ukrást a podvrhnout neřeší to, že útok na jedno zařízení, opakuji jedno zařízení je snadnější navíc často hromadný než zkoušet účit na dvě konkrétní zařízení, opakuji dvě konkrétní zařízení zárověn abysme získali přístup ke konkrétnímu účtu.
K tazateli, já mám u RB stále ještě ověření přes SMS, možná i proto tam nemám odpad typu bank id, ale i tak mě banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit. Takže RB bych se také vyhnul, navíc SMS ověření nebude dle dnešních standartů takže věci jako propojení účtu tam imho nerozjedete. KB+ mám a jsem spokojen až na zmiznuté dobijení twistu.
Trošku se zapomíná i na bezpečnost fyzickou, už tu pár případů bylo ale divím se, že to není častěji. Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.
p.s. prosím pana Filipa, nereagujte na mě, vždy jsou to reakce velmi zcestné a bez argumetnů :-)
-
Fio je za me jednoduche a docela primocare. Mame tam nekolik uctu soukromych i firemnich a zatim to nikdo neproklina.
Ovsem u Unicreditu, kde mam hypo, se na stav konta chodim radsi jednou rocne ptat do banky, protoze to bankovnictvi je HRUZA. To neprehanim, fakt chodim na pobocku.
Mám to stejně, Fio je v pohodě, jak appka, tak webové bankovnictví.
Unicredit (mám taky kvůli hypo) je jeden velký UI fail.
Sice nechodím na pobočku, ale pokud tam chci udělat cokoliv složitějšího, než se podívat na zůstatek,
tak je to nejmíň na 20 minut, jeden Lexaurin a sprostý telefonát na info linku, kde to musí udělat za mě,
protože to v tom bankovnictví (v prohlížeči - jejich appku nepoužívám) nejde.
-
já ti nevím.
Když ti někdo hekne nebo ukradne počítač, jsi na tom stejně.
To teda rozhodne nejsem. Protoze i kdyby si zjistil muj login vcetne hesla, tak bez toho telefonu co na nej prijde ta sms je mu to uplne k prdu.
-
Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.
Nejde o počet zařízení, ale o počet faktorů. Už to tu několikrát zaznělo, ale holt pro BFU je tohle dost obtížně pochopitelné.
Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.
A kolik takových případů se odehrálo v ČR, řekněme, za poslední rok?
Nie, uradnici si myslia ze SMS je prezitok a tlacia na banky aby to nepouzivali, tot vsjo.
Ne, to tlačí bezpečnostní odborníci kteří, na rozdíl od kecků tady, mají mimo jiné k dispozici statistiky jak úspěšné jsou v praxi útoky na SMS a jak na bankovní aplikaci.
-
...
Jinak receno, blabolis zcela mimo o vecech o kterych nemas ani paru ... ty fyrmy narozdil od tebe o bezpecnosti neco vedi, a vedi za zadny mobil neni bezpecny.
Presne takovy tatary jako ses ty a Jirsak by bylo treba zavirat!
Mimochodem, overeni lze provest klidne taky zcela nesifrovanym telefonim hovorem. I to je o 3 rady bezpecnejsi nez bankovnictvi v mobilu.
Protoze tupci jako ses ty a Jirsak nedokazou ani do nejdelsi smrti pochopit, ze primarne jde o to, ze je to jiny a zcela nezavisly kanal.
Apropos, i metoda jednorazovych overovacich kodu je radove bezpecnejsi, to ty vubec netusis co je vid? To se takhle clovek treba i osobne stavil na pobocce, tam mu vytiskly papir, a na tom byla tabulka s cisly. Kazde slo pouzit jen jednou a jen v ramci daneho obdobi (treba mesic). Uz vidim jak haxor haxuje ten papir v supleti.
-
Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.
Nejde o počet zařízení, ale o počet faktorů. Už to tu několikrát zaznělo, ale holt pro BFU je tohle dost obtížně pochopitelné.
Pokud se faktory sejdou v jednom zařízení, a je jedno zda dva či dvacet je pořád potíž pokud je to jedno zařízení kompromitováno. Pokud se dva faktory sejdou odděleně ve dvou různých zařízenich a pak až uživatel je "spojí" tak je to násobně bezpečnější. Ale to je pro zabedněnce dost těžko pochopitelné. A je mě jedno, že two faktor toto umožnuje, je to zhovadilost.
-
IRL, nikdo se nebude patlat s hackováním mobilů, když celý chain exploitů stojí kolik? $2mil. minimálně.
A když alternativa je najmout pár idiotů do callcentra a pomocí phishingu donutit lidi kupovat crypto, kupóny atd.
Koukněte se na youtube, kde hackují indický scam callcentra a ukazují kolik si vydělají.
Kolikrát tam mají řádově stovky tisíc USD TÝDNĚ.
Minimálně do té doby, dokud nebude nasycení uživatelské základny bank. appek, dostatečně velké.
Ale i potom mě to přijde, že jsou profitabilnější cíle.
-
Více zařízení výrazně zlepšuje bezpečnost, ale spousta lidí už má jen telefon. Myslím, že to je to, co se banky snaží hlavně řešit, kromě ceny posílání SMS. V případě, že se uživatel přihlašuje z prohlížeče a na tom samém mobilu taky přijímá SMS s potvrzovacím kódem, tak můžeme přechod na mobilní aplikaci jako zlepšení. Ty možnosti bych setřídil podle bezpečnosti takto:
- prohlížeč na mobilu a SMS přijatá na stejném mobilu
- mobilní aplikace, která zadává i potvrzuje platbu
- prohlížeč na počítači a SMS přijatá na mobilu
- prohlížeč na počítači a potvrzení v mobilní aplikaci
-
Shodou okolností podobné téma mobilního bankovnictví a jeho bezpečnosti je ve filmu Udělali byste to taky https://www.csfd.cz/film/1350176-udelali-byste-to-taky/prehled/.
3 lupiči unesou bokem autobus, posbírají všem mobily, majitelé ochotně řeknou piny, účty celého autobusu během chvilky vyluxovány. Proč to dělat v malém, když lze být efektivnější. Jsem zvědav, kdy to někdo vezme jako inspiraci.
Jinak nejsem nepřítelem mobilního bankovnictví, popravdě používám hlavně to.
-
Všem co tu obhajují mobilní bankovní aplikace. Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.
Chápu, že se řeší BFU, ale tady bych čekal jinou úroveň. To že se dá SMS ukrást a podvrhnout neřeší to, že útok na jedno zařízení, opakuji jedno zařízení je snadnější navíc často hromadný než zkoušet účit na dvě konkrétní zařízení, opakuji dvě konkrétní zařízení zárověn abysme získali přístup ke konkrétnímu účtu.
K tazateli, já mám u RB stále ještě ověření přes SMS, možná i proto tam nemám odpad typu bank id, ale i tak mě banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit. Takže RB bych se také vyhnul, navíc SMS ověření nebude dle dnešních standartů takže věci jako propojení účtu tam imho nerozjedete. KB+ mám a jsem spokojen až na zmiznuté dobijení twistu.
Trošku se zapomíná i na bezpečnost fyzickou, už tu pár případů bylo ale divím se, že to není častěji. Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.
p.s. prosím pana Filipa, nereagujte na mě, vždy jsou to reakce velmi zcestné a bez argumetnů :-)
Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.
Používání počítačů opadá, spousta lidí má už jen ten telefon. Realita je taková, že spoustě lidem zůstává pouze ten telefon. Fyzická bezpečnost a donucení útočníka, abys mu potvrdil transakci trvá, ale je asi jedno, jestli tě bude vydírat a donutí jít do banky nebo ti vezme ruku a potvrdí otiskem. Báze je pořád stejná, to se tímhle nemění, je potřeba fyzická přítomnost a k něčemu tě donutit, jestli to je podepsání směnky, zdělení hesla k účtu či potvrzení na tom nic nemění.
To teda rozhodne nejsem. Protoze i kdyby si zjistil muj login vcetne hesla, tak bez toho telefonu co na nej prijde ta sms je mu to uplne k prdu.
Bohužel, počítač rád všechny ty loginy ponechává v paměti (než se zadané heslo smaže z operační paměti, může to trvat dost dlouho). Jak píšu výše, když máš napadené jedno zařízení, není zase taková výjimka, kdy máš napadené i druhé, poznat to nemusí jít snadno.
Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.
U sms je také zásadní problém v tom, že musíš sám kontrolovat, že obsah transakce, kterou potvrzuješ odpovídá tomu, co jsi zadal na webu. Opět jsou tady zdokumentované útoky, kdy plugin v prohlížeči měnil obsah příkazu, který jsi z prohlížeče poslal, ty jsi to potvrdil přes sms, ale peníze v jiné výši šly na jiné číslo účtu. Opět se dělo i u nás. Aplikace ti potřebné údaje k ověření poskytne přehledněji než spousty čísel v sms, které přirozeně přehlížíme. Krom toho u mobilní aplikace nelze tak snadno manipulovat s obsahem a tím co se posílá, tomu aktivně mobilní OS brání, což desktopový OS nedělá naprosto vůbec a neexistuje tam žádný chráněný režim.
-
Shodou okolností podobné téma mobilního bankovnictví a jeho bezpečnosti je ve filmu Udělali byste to taky https://www.csfd.cz/film/1350176-udelali-byste-to-taky/prehled/.
3 lupiči unesou bokem autobus, posbírají všem mobily, majitelé ochotně řeknou piny, účty celého autobusu během chvilky vyluxovány. Proč to dělat v malém, když lze být efektivnější. Jsem zvědav, kdy to někdo vezme jako inspiraci.
Jinak nejsem nepřítelem mobilního bankovnictví, popravdě používám hlavně to.
Bežná praxe v US, South America.
Teď naposled v Brazílii nebo kde? Nějakou slavnou ženskou s rodinou sebral gang před restaurací a museli si zaplatit vlastní výkupný, aby je pustili.
-
Apky bank používám jen v pasivním režimu a jako autentikátor.
Všechny aktivní operace zadávám přes IB na desktopu.
KB:
Měl jsem ještě v době autentizace čipovou kartou. Dnes by se mi líbil FIDO token.
Moh jsem si vybrat číslo účtu.
První IB mělo hromadu funkcí, KB+ je proti tomu zoufalství.
Přihlášení barevným QR kódem nahradilo přihlášení animovaným QR kódem.
AIR:
V IB hromada funkcí, ale problém je najít.
Používám jejich AvToMaty s kartama jiných bank.
Nechal jsem jen kvůli BankID.
FIO:
Používám od dob, kdy to byla ještě záložna.
K úročenýmu fio kontu může být platební karta.
Celkem jednoduché a použitelné IB. Umí turboplatby.
Apku jde používat v pasivnim rezimu nebo jen jako autentikator.
Fallback na SMS - jde se prihlasit bez apky, ale muze to zneuzit utocnik.
Neustále se měnící podminky, o kterých je informováno v pátek v noci, s platností od soboty.
Škoda, že nepodporují FIDO token, na přímý dotaz mě přesvědčovali, jak jsou SMS bezpečné.
UniCredit:
Nejhorší bankovnictví co jsem viděl. Apka umí offline autentizaci vyfocením QR.
Když dojdou peníze na BU, platby kartou se zaúčtují ze spořicího.
Rajfka:
Nejhorší kurzy pro placení v zahraničí: Kradou 3-4% z transakce.
Nepřehledné IB vnucující nové produkty.
Ukulele Branka:
Zajímavé kurzy pro placení kartou v cizí měně, možná někdy vyzkouším.
IB jsem neviděl.
Spořka:
Měla přehledné bankovnictví s hromadou funkcí. Zrušil jsem s příchodem Džordžína.
BAWAG/LBBW:
Měli 4-faktorovu autentizaci:
OTP kalkulátor + čip karta + PIN + návod jak to všechno použít dohromady.
Revolut:
Obsluha jen přes apku.
Používám jen jako směnárnu a na placení v zahraničí.
V případě zblokovaní účtu je zůstatek nedobytný.
mBank:
Nepřehledné přeplácané punkovnictví s polskou logikou.
Apku je vhodne mit na dvou zarizenich jako zalohu, bez ni se neda prihlasit, ani aktivovat na dalsim zarizeni.
Pořád volají a vnucují úvěry.
Moneta:
Schizofrenní IB, starý a nový xicht paralelně, něco tam, něco jinde.
Creditas:
Banka co vyrostla ze záložny.
IB použitelné, umí připojit cizí banky.
Má hotovostní pokladnu.
Nabízí i EUR účet + EUR kartu.
Maxbanka:
Po tom co to koupil creditas jdou úroky dolů, platby váznou, plno chyb.
Čekám sloučení IB s creditas.
Úročený EUR účet.
Trinity:
Malá banka s mentalitou záložny.
Stále se měnící obchodní podmínky
Jednoduché IB, ale na běžné placení bych to nechtěl.
SBERBANK:
Autentizace RSA tokenem, účet se zrušil sám i s bankou.
-
Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.
Nejde o počet zařízení, ale o počet faktorů. Už to tu několikrát zaznělo, ale holt pro BFU je tohle dost obtížně pochopitelné.
Pokud se faktory sejdou v jednom zařízení, a je jedno zda dva či dvacet je pořád potíž pokud je to jedno zařízení kompromitováno. Pokud se dva faktory sejdou odděleně ve dvou různých zařízenich a pak až uživatel je "spojí" tak je to násobně bezpečnější. Ale to je pro zabedněnce dost těžko pochopitelné. A je mě jedno, že two faktor toto umožnuje, je to zhovadilost.
Zjevně tu máme dva tábory. Jeden tábor neuvádí žádné konkrétní příklady útoků, omezuje se na obecné „když to selže“ a za nejpádnější argument považuje označit ostatní za zabedněnce nebo tvrdit, že blábolí. Tento tábor tvrdí, že nezáleží na počtu a síle faktorů, ale na počtu zařízení.
Pak tu máme druhý tábor, do kterého patří odborníci na bezpečnost, ať už „obecní“ nebo z bank a z orgánů bankovního dohledu. Dále do tohoto tábora patří také diskutující L.. a _Tomáš_ (čímž je nevylučuji z předchozí skupiny odborníků, nevím, zda tam patří nebo ne), do tohoto tábora patřím i já (a nejsem odborník na bezpečnost). Tento tábor tvrdí, že záleží na počtu nezávislých faktorů a jejich síle a nezáleží na počtu zařízení. (Například proto, že není jasné, co je vlastně zařízení.)
Každý si může vybrat, kterému táboru bude fandit.
Jako pomůcka může sloužit takový drobný příklad. Zadáte příkaz k úhradě na počítači, a ten příkaz na počítači potvrdíte 4 hesly: zadáte své heslo k bankovnictví; zadáte jednorázové heslo, které vám přijde SMS (přijde identifikátor platby a jednorázové heslo, nebude tam číslo účtu nebo částka); zadáte jednorázové heslo, které vám nadiktuje automat, který vám zavolá na jiné číslo (které máte v jiném mobilu) – opět nadiktuje jen identifikátor platby a jednorázové heslo; a zadáte další heslo ze seznamu jednorázových hesel, který jste dostal vytištěný při poslední návštěvě banky a postupně si z nich hesla odškrtáváte. Takže tam zadáte čtyři různá hesla ze čtyřech různých zařízení – a stejně vám to bude houby platné, protože útočník, který ovládá váš počítač, přesměruje vaši platbu na svůj účet. Prostě jen vymění číslo účtu, které se odešle do banky.
-
Více zařízení výrazně zlepšuje bezpečnost, ale spousta lidí už má jen telefon. Myslím, že to je to, co se banky snaží hlavně řešit, kromě ceny posílání SMS. V případě, že se uživatel přihlašuje z prohlížeče a na tom samém mobilu taky přijímá SMS s potvrzovacím kódem, tak můžeme přechod na mobilní aplikaci jako zlepšení. Ty možnosti bych setřídil podle bezpečnosti takto:
- prohlížeč na mobilu a SMS přijatá na stejném mobilu
- mobilní aplikace, která zadává i potvrzuje platbu
- prohlížeč na počítači a SMS přijatá na mobilu
- prohlížeč na počítači a potvrzení v mobilní aplikaci
- prohlížeč na počítači a potvrzení v mobilní aplikaci, která umožňuje pouze ověření
ČSOB má dvě aplikace do mobilu. Jednou se dostanete do mobilního bankovnictví a druhá (Smart klíč) je na ověření jak mobilního bankovnictví tak i bankovnictví přes prohlížeč.
-
ČSOB má dvě aplikace do mobilu. Jednou se dostanete do mobilního bankovnictví a druhá (Smart klíč) je na ověření jak mobilního bankovnictví tak i bankovnictví přes prohlížeč.
Pravděpodobně to bude jen dočasné, kdy ta aplikace pro ověřování vznikla z nutnosti řešit bezpečnost, zatímco mobilní bankovnictví jako poskytnutí služby, kterou má spousta bank okolo a zákazníci to chtějí. Raiffeisenbank to také původně měla ve dvou aplikacích, ale pak to logicky sloučili do jedné – protože to drtivá většina klientů chce, je to pro ně jednodušší na ovládání, a i pro banku je jednodušší vydávat jednu aplikaci a ne dvě.
-
banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit.
Tohle je daleko větší zlo než co se tady řeší ve zbytku diskuse. Umožňuje to totiž že člověk přijde o mnohem víc, než kolik má na účtu a může mít dost velký problém ty peníze vydělat a dluh splatit.
Další zrůdnost je třeba to, jak různí „bankovní experti“ propagují platební brány integrované do webu prodejce. Nechme teď stranou, že platební karty jsou zhovadilost samy o sobě (tak jak jsou navržené, v podstatě je to ekvivalent toho, že dáš pokladní v obchodě svoji peněženku s tím, ať si z ní vybere, kolik uzná za vhodné). Když je brána na samostatné stránce/doméně, tak uživatel může důvěřovat pár platebním branám nebo bankám, které zná, a umožňuje mu to nakupovat i v nedůvěryhodných obchodech - např. koupí věc v neznámém obchodě za pětistovku a maximální škoda, kterou riskuje, je ta pětistovka. Ale když je ta brána integrovaná do webu obchodu, tak musíš důvěřovat každému tomu obchodu, že ti nevyluxuje kartu, nezapamatuje si tvoje údaje, neposkytne je někomu dalšímu atd.
-
Jako pomůcka může sloužit takový drobný příklad. Zadáte příkaz k úhradě na počítači, a ten příkaz na počítači potvrdíte 4 hesly: zadáte své heslo k bankovnictví; zadáte jednorázové heslo, které vám přijde SMS (přijde identifikátor platby a jednorázové heslo, nebude tam číslo účtu nebo částka);
Mě ale v potvrzovací SMS s kodem chodí číslo proti účtu a částka, takže kde je problém?
-
Mě ale v potvrzovací SMS s kodem chodí číslo proti účtu a částka, takže kde je problém?
Aha, takže vyššího zabezpečení nedosáhnete vyšším počtem zařízení (jak jste tvrdil), ale bezpečnějšími faktory. Nebo větším počtem faktorů, to ale z vaší odpovědi neplyne.
Mimochodem, ještě lepšího zabezpečení byste dosáhl, kdyby vám to nechodilo jako SMS, ale zobrazovalo by se to přehledně v aplikaci. Protože přehledné zobrazení v aplikaci by vás více motivovalo k tomu, abyste ty údaje opravdu zkontroloval a zmenšilo by to pravděpodobnost přehlédnutí nějaké nesrovnalosti.
-
Já jsem svoji odpověď dostal. Děkuji všem, kteří odpověděli na moji otázku. Zejména Jirsákovi, který mi vysvětlil, že to co chci, vlastně nechci.
https://www.youtube.com/watch?v=r-ZiI3iVgpM
-
KB jsou experti na slovo vzatí, horší projekt než KB+ jsem dlouho v bankovním světě nezažil, to znám i ČSOB.
Dříve nebo později budou muset veškeré banky přejít na bezpenější způsob přihlašování, tj. aplikaci nasadí postupně všechny, ty lepší budou mít k dispozici alternativu v podobě nějakého HW token (připravuje Air, RB a GM).
Zkus se podívat na Airbanku nebo Rajfku, umí vše, co jsi sem napsal. Pravděpodobně to ale umí i ostatní menší banky.
Budeš ale bojovat s tím oznámením o pohybu na email/sms, tohle postupně banky ruší.
Mliko po brade?
Nejhorsi projekt ktery KB mela bylo jejich IE only+ActiveX+dve verze Javy peklo. Odstrasujici pripad nemajici u obdoby.
V mboha firmach byly jen dedikovane pocitace na ten jejich dort pejska a kocicky.
-
Mě ale v potvrzovací SMS s kodem chodí číslo proti účtu a částka, takže kde je problém?
Aha, takže vyššího zabezpečení nedosáhnete vyšším počtem zařízení (jak jste tvrdil), ale bezpečnějšími faktory. Nebo větším počtem faktorů, to ale z vaší odpovědi neplyne.
Mimochodem, ještě lepšího zabezpečení byste dosáhl, kdyby vám to nechodilo jako SMS, ale zobrazovalo by se to přehledně v aplikaci. Protože přehledné zobrazení v aplikaci by vás více motivovalo k tomu, abyste ty údaje opravdu zkontroloval a zmenšilo by to pravděpodobnost přehlédnutí nějaké nesrovnalosti.
Proto jsem v počátku psal, že o vaši reakci nestojím. Neobsahuje často argumenty, je jen urážlivá.
Jak jsem psal v úvodu, řešil jsem odborné lidi, nikoli BFU. Pokud si někdo nečte potvrzovací sms je to blbec. Samotné technické řešení jednoho jediného zařízení ve kterém se sejde více faktorů je méně bezpečné než když se faktory sejdou odděleně a člověk je musí spojit. Potvrzovací SMS s infomací co je potvrzováno není vyšší level zabezpečení, je to prostě standart. Každé elektronické zařízení je nutno z principu považovat za děravé, žádný software není na 100% dokonalý a radeji si chybu udělám já než aby to udělalo zařízení za mě, ano odlišuju se od BFU, jak jsem psal, ty jsem neřešil.
Nemá smysl se bavit s někým kdo neumí číst a případně vše prekrucuje, bavte se.
Máte každopádně můj obdiv za to, že se takto veřejně ztrapňujete. Osobně bych vás na žadné pozici nezaměstnal :)
-
Banky mají povinnosti dané legislativou ohledně zabezpečení transakcí. Pokud jsou vaše požadavky v rozporu s touto legislativou, máte smůlu. Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky. Proto tammusí být další faktor, kterým operace zadané na počítači potvrdíte. Nejlepším řešením jsou aplikace pro mobilní telefony, protože mohou být dostatečně bezpečné, zároveň snadno použitelné pro uživatele a drtivá většina uživatelů má chytrý mobil.
HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol). Takže byste musel mít speciální HW klíč s klávesnicí a displejem, kam byste tyhle údaje mohl zadat. S tím kdysi dávno začínala v ČR eBanka. Jenže něco takového dnes nedává žádný smysl – uživatelsky by to bylo daleko horší, než použití mobilu, a bylo by to podstatně dražší, než nejlevnější mobily.
SMS už dávno nejsou považované ze bezpečné. Některé banky je možná stále nabízejí, ale je to pro banku náklad a riziko navíc, takže takovou službu pravděpodobně bude poskytovat pár bank, které obslouží těch pár podivínů, ale nevyplatí se to provozovat každé bance.
Banky nemají předepsané, jak přesně musí transakce zabezpečit. Posuzuje se celkové riziko, které banka významně sníží tím, když platbu autorizujete v mobilní aplikaci. Takže autorizaci SMS může banka také povolit, ale pak musí to snížení rizika dohnat někde jinde. Mimochodem, proto také některé platby nemusí vyžadovat potvrzení, případně některé platby stačí v mobilu potvrdit otiskem prstu a jiné musíte potvrdit PINem. Záleží to na tom, jak moc je ta platba bankou vyhodnocena jako riziková a o kolik tedy potřebuje snížit riziko potvrzením v mobilní aplikaci.
Pokud se bojíte, že přijdete o mobil a tím i o přístup k bankovnictví, spárujte si s bankovnictví víc zařízení. Třeba mobil a tablet. Pokud to KB neumožňuje a je to pro vás důležité, nezbyde než změnit banku.
V cesku bych SMS Všem co tu obhajují mobilní bankovní aplikace. Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.
Chápu, že se řeší BFU, ale tady bych čekal jinou úroveň. To že se dá SMS ukrást a podvrhnout neřeší to, že útok na jedno zařízení, opakuji jedno zařízení je snadnější navíc často hromadný než zkoušet účit na dvě konkrétní zařízení, opakuji dvě konkrétní zařízení zárověn abysme získali přístup ke konkrétnímu účtu.
K tazateli, já mám u RB stále ještě ověření přes SMS, možná i proto tam nemám odpad typu bank id, ale i tak mě banka stále nabízí předschválenou půjčku na 700tisíc. Nechtěj zrušit. Takže RB bych se také vyhnul, navíc SMS ověření nebude dle dnešních standartů takže věci jako propojení účtu tam imho nerozjedete. KB+ mám a jsem spokojen až na zmiznuté dobijení twistu.
Trošku se zapomíná i na bezpečnost fyzickou, už tu pár případů bylo ale divím se, že to není častěji. Jdete si v noci po ulici hezky v klidu a jste přepaden, dáte peníze, dáte přístup k bance, pošlete peníze, půjčíte si více, pošlete dále, vše na účet bílého koně. Skoro jako ze scifi, ale reálně proveditelné.
p.s. prosím pana Filipa, nereagujte na mě, vždy jsou to reakce velmi zcestné a bez argumetnů :-)
Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.
Používání počítačů opadá, spousta lidí má už jen ten telefon. Realita je taková, že spoustě lidem zůstává pouze ten telefon. Fyzická bezpečnost a donucení útočníka, abys mu potvrdil transakci trvá, ale je asi jedno, jestli tě bude vydírat a donutí jít do banky nebo ti vezme ruku a potvrdí otiskem. Báze je pořád stejná, to se tímhle nemění, je potřeba fyzická přítomnost a k něčemu tě donutit, jestli to je podepsání směnky, zdělení hesla k účtu či potvrzení na tom nic nemění.
To teda rozhodne nejsem. Protoze i kdyby si zjistil muj login vcetne hesla, tak bez toho telefonu co na nej prijde ta sms je mu to uplne k prdu.
Bohužel, počítač rád všechny ty loginy ponechává v paměti (než se zadané heslo smaže z operační paměti, může to trvat dost dlouho). Jak píšu výše, když máš napadené jedno zařízení, není zase taková výjimka, kdy máš napadené i druhé, poznat to nemusí jít snadno.
Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.
U sms je také zásadní problém v tom, že musíš sám kontrolovat, že obsah transakce, kterou potvrzuješ odpovídá tomu, co jsi zadal na webu. Opět jsou tady zdokumentované útoky, kdy plugin v prohlížeči měnil obsah příkazu, který jsi z prohlížeče poslal, ty jsi to potvrdil přes sms, ale peníze v jiné výši šly na jiné číslo účtu. Opět se dělo i u nás. Aplikace ti potřebné údaje k ověření poskytne přehledněji než spousty čísel v sms, které přirozeně přehlížíme. Krom toho u mobilní aplikace nelze tak snadno manipulovat s obsahem a tím co se posílá, tomu aktivně mobilní OS brání, což desktopový OS nedělá naprosto vůbec a neexistuje tam žádný chráněný režim.
Muzete mi jako technikovi rici co si predstavujete pod pojmem odposlouchava GSM? Pro zjednoduseni geopolitiky v kontextu CR?
To chce vedet hodne o tom kde se uzivatel nachazi, ze pouziva pouze GSM v nejakych pripadech a spojit si ho v miste s danou sluzbou a uctem. To nemusi byt vubec trivialni. Znat klice nebo naborit i A5/3 ( u posledni generace). Ty SMSky nelezou zrovna uplne nesifrovane.
Mnohem jednodussi jsou utoky na SS7 kde si pekne poctete bez sifrovani ( pravdepodobne mimo CR).
GSM vas vsak za tri roky uz trapit v CR nejspis nebude.
Mnohem jednodussi je trojan v mobilu nebo gumova hadice.
Zajimave pak mohou byt utoky v roamingu v nejake dire po meteoritu.
-
ano odlišuju se od BFU, jak jsem psal
BFU píše, že není BFU - LOL :D
Nejerudovanější příspěvek napsal _Tomáš_ takže je zjevné, že on se v problematice tady z vás nejvíce orientuje. A vzhledem k tomu, že Anonymní Anonym píše pravý opak, tak si člověk snadno udělá obrázek, kdo se tady opravdu ztrapňuje.
-
Mliko po brade?
Nejhorsi projekt ktery KB mela bylo jejich IE only+ActiveX+dve verze Javy peklo. Odstrasujici pripad nemajici u obdoby.
V mboha firmach byly jen dedikovane pocitace na ten jejich dort pejska a kocicky.
Profibanka má pořád závislost na ActiveX ;). Hodnotíš jen UI, původní moje banka si peklo s activeX udělala hlavně proto, že si usmysleli, že budou cool a bude vše podepisovat certifikáty i v prohlížeči, jen to prohlížeče prostě neuměli, šlo to nahradit HW, který dělal ty podpisy. Kam to dospělo víme, ale backend byl spolehlivý, funkce fungovaly, frontendu se dalo věřit, odezvy rychlé, vše plně distribuované, backupované, vše s strong consistency, nestalo se ti, že po půlnoci stáhneš prázdný výpis včerejších transakcí, protože to tam ještě nedoteklo. Dnes? Celý frontend je eventual consistency, SPoF v podobě airflow a single elastic clusteru, přes který tečou veškerá data v json/avro, rekonciliace dat jsou na denním pořádku, protože nějaká schema evolution pro frontend je v počátku. Vše lepené a hotfixované, o nějakém promyšleném designu si můžeme nechat jen zdát, zatím.
Muzete mi jako technikovi rici co si predstavujete pod pojmem odposlouchava GSM? Pro zjednoduseni geopolitiky v kontextu CR?
To chce vedet hodne o tom kde se uzivatel nachazi, ze pouziva pouze GSM v nejakych pripadech a spojit si ho v miste s danou sluzbou a uctem. To nemusi byt vubec trivialni. Znat klice nebo naborit i A5/3 ( u posledni generace). Ty SMSky nelezou zrovna uplne nesifrovane.
Mnohem jednodussi jsou utoky na SS7 kde si pekne poctete bez sifrovani ( pravdepodobne mimo CR).
GSM vas vsak za tri roky uz trapit v CR nejspis nebude.
Mnohem jednodussi je trojan v mobilu nebo gumova hadice.
Zajimave pak mohou byt utoky v roamingu v nejake dire po meteoritu.
Pro A5/0-2 to umíš udělat realtime pasivně (A5/2 měla u nás uměle přidaný padding a ponechala 64b klíče), krabička na to stojí miliony a koupíš jí na "trhu" docela běžně. Pro A5/3 kdo ví, nabídky na černém trhu existují, ale víc o tom nevím, Kasumi s 128b klíčem je pořád asi velké sousto. Je to 10 let co se objevili krabičky pro luštění A5/1 v reálném čase s rainbow table, protože utekla sůl, kterou používá. U nás se A5/3 objevila až s UMTS, ještě nedávno se v GSM nepoužívala, vidím masivní používání až s přechodem na open RAN (nemám ale teď v ruce čísla, kdy došlo k přechodu na A5/3 a do jaké míry, útok o kterém jsem mluvil se stal v roce 2018 v síti TMO).
Nebo máš lepší info jak je na tom A5/3 v GSM u našich operátorů? Vím, že to je v open RANu, ten ale není nasazený ještě všude. Ano, v řadě zemí je právě ještě SS7 běžně používaný, tam ty útoky, které jsem popsal jsou dost časté.
Ano, trojan na Adroidu (iOS je proti nim solidně odolný nikoliv ale nepřekonatelný, jen se to asi nevyplácí masivně dělat) je velmi častý způsob jak se obchází zabezpečení, sms nejsou v telefonu nijak rozumně chráněné a až v posledních verzích lze vyžadovat pro aplikace samotné určitou míru ochrany od OS.
-
Jsou tady případy, kdy tohle útočník naprosto odbourá. Stačí když má pod kontrolou nějakou wifi (např. někde jí nechá zdarma otevřenou, v centru, u letiště) a stejně tak odposlouchává GSM. Pak stačí jen čekat až někdo bude chtít si z účtu poslat peníze, najednou má oba kanály. Tyhle útoky se zaznamenaly i u nás v ČR, docela časté jsou třeba v JAR a na spoustě míst. Mobilní aplikace tenhle typ útoku efektivně eliminuje.
Jak přesně ten útočník odposlechne a změní TLS komunikaci mezi serverem a prohlížečem? To už by ten počítač nebo prohlížeč musel být předem napadený, nebo jde jen o to, že neznalý uživatel slepě potvrdí podvrhnutý certifikát, což by mobilní aplikace vůbec nenabízela?
-
Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.
Tak toto může skutečně napsat KARDINÁLNÍ IMBECIL.
1) Nejvíce rozšířené útoky jsou bezesporu za pomocí sociálního inženýringu kdy chyba je vždy mezi klávesnicí a židlí. Viz stovky kauz kdy uživatel skočil na špek manipulátorovi přes telefon a nainstaloval si program pro vzdálenou správu.
2) Kompromitace jsou odlišných zařízení v realitě SE prakticky nedá provést a to z technického hlediska protože STEJNÝ PROGRAM na různém operačním systému NEFUNGUJE(program vyvinutý na Windows prostě na Androidu nespustíš) a tudíž když kompromituješ jednoho zařízení na síti běžící např. na Windows tak z něj se ti skoro nepodaří zkompromitovat např. telefon běžící na Androidu nebo jablíčku.
- tato varianta útoku je prakticky i pro nadprůměrně zdatného IT odborníka skoro neproveditelná(příprava je specifická podle cíle a zabere spoustu času s nejistým výsledkem). A představa že něco takového dokážeš "REMOTE" je dneska skoro sci-fi. Není to nemožné ale je to neskutečně obtížné a mohou to dokázat tak odborníci pracující pro nejvýkonější tajné služby (USA, Rusko, Čína, apod..)
- to je milionkrát jednoduší vyvinout trojana(klient-server app) pro Android/Jablíčko/apod.. který poběží na pozadí a bude vše logovat a který ti umožní spustit a ovládat jinou app. Nebo vtrhnout někomu do baráku, zastřelit mu dítě nebo manželku a 9tkou u hlavy ho donutit aby poslal všechny peníze na nějaký pay-pal/kryptoburzu/apod. a vše vyprat přes kryptoburzy..
-
Praxe, ty útoky se dějí v praxi a funguje docela plošně. Napadený počítač jde ruku v ruce s napadeným telefonem, nebo obráceně, šíří se po stejné síti, která dovolí veškerý provoz. Odchytit sms aplikací na Androidu umí každá druhá aplikace. Kompromitace osobního počítače a telefonu zároveň se ukazuje jako poměrně častá. Bankovní aplikace se může částečně bránit proti MitM.
Tak toto může skutečně napsat KARDINÁLNÍ IMBECIL.
1) Nejvíce rozšířené útoky jsou bezesporu za pomocí sociálního inženýringu kdy chyba je vždy mezi klávesnicí a židlí. Viz stovky kauz kdy uživatel skočil na špek manipulátorovi přes telefon a nainstaloval si program pro vzdálenou správu.
2) Kompromitace jsou odlišných zařízení v realitě SE prakticky nedá provést a to z technického hlediska protože STEJNÝ PROGRAM na různém operačním systému NEFUNGUJE(program vyvinutý na Windows prostě na Androidu nespustíš) a tudíž když kompromituješ jednoho zařízení na síti běžící např. na Windows tak z něj se ti skoro nepodaří zkompromitovat např. telefon běžící na Androidu nebo jablíčku.
- tato varianta útoku je prakticky i pro nadprůměrně zdatného IT odborníka skoro neproveditelná(příprava je specifická podle cíle a zabere spoustu času s nejistým výsledkem). A představa že něco takového dokážeš "REMOTE" je dneska skoro sci-fi. Není to nemožné ale je to neskutečně obtížné a mohou to dokázat tak odborníci pracující pro nejvýkonější tajné služby (USA, Rusko, Čína, apod..)
- to je milionkrát jednoduší vyvinout trojana(klient-server app) pro Android/Jablíčko/apod.. který poběží na pozadí a bude vše logovat a který ti umožní spustit a ovládat jinou app. Nebo vtrhnout někomu do baráku, zastřelit mu dítě nebo manželku a 9tkou u hlavy ho donutit aby poslal všechny peníze na nějaký pay-pal/kryptoburzu/apod. a vše vyprat přes kryptoburzy..
to si nemůžeš odpustit urážky?
Vždyť dnes prakticky útočník není autorem aplikace, jen si jí pronajme, pronajímají se nejen aplikace (trojany, viry, ransonware, nazývejme to jakkoliv), ale i konkrétní exploitované zařízení. C&C servery, exploity podle typů zařízení v síti, payloadu podle OS, během chvilku se ti to trojan automaticky rozprostřed po řadě různých zařízení a teprve pak zavolá domů, že čeká na příkazy. Tohle je typ útoků, který nejčastěji vidím ve firmách. Někdy tam prostě čeká měsíce na příkazy.
Útočníci dnes nemají velké znalosti, mají plnohodnotnou administraci pro ovládání trojanů, nejsou autoři kódu a ani nemusí být nijak zdatní, SW kupují na trhu.
Polymorfní programy, které spustíš napříč OS existují, ale ona ta aplikace takový být nemusí, prostě si stáhne payload podle detekce. Tak přesně proběhl i útok na ŘSD před pár lety, nákaza z jednoho zařízení a postihla celou infrastruktur s různými technologiemi.
-
Jenze vis soudruhu, napadat vice zarizeni nejakyho hej nebo pockej je predevsim sranda velice nakladna, tudiz se to nevyplati.
Napadnout mu jedno zarizeni (ten neaktualizovany deravy mobil) je radove trivialnejsi.
Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu. Kdyz ti slohnu srajtofli, prijdes o mozna par tisicovek.
-
Jak přesně ten útočník odposlechne a změní TLS komunikaci mezi serverem a prohlížečem? To už by ten počítač nebo prohlížeč musel být předem napadený, nebo jde jen o to, že neznalý uživatel slepě potvrdí podvrhnutý certifikát, což by mobilní aplikace vůbec nenabízela?
Co jsem viděl, není to vůbec sofistikované. Únos DNS, pokus o přesměrování v http, MiTM pro web banky, uživatel si to odklikne, ona i úspěšnost 2 % může být dost značná. Vždyť i vzdělaný kolegové z IT oboru běžně odkliknou chybu certifikátu, protože to vidí pořád. Captive portál je dobrá cesta, jak dělat MitM, můžeš se maskovat jako stránka, kterou navštěvuje uživatel, uživatelé jsou nepozorní (logicky). O2 a jeho akce s unášením http provozu jen učí lidi, že to je vlastně běžné a přesně u toho můžeme vidět, jak vlastně to je úspěšné, že uživatelé vůbec netuší co se děje a že to je špatně.
Stejně tak se hodně používají pluginy do prohlížeče (asi spíše ve světě, u nás takových útoků jsem viděl minimum), pokud se ti na síť přihlásí někdo, u koho máš pod kontrolou plugin, jsi na dobré cestě.
Na veřejné wifi nechodíš do bankovnictví, protože se nudíš nebo si chceš zvednout náladu svým zůstatkem, ale protože potřebuješ rychle něco vyřešit, v takovém případě jsi ochotný více rizkovat a být nepozorný. Mysli na to, že taková wifi může fungovat týdny, měsíce bez povšimnutí a vůbec není snadné jí odhalit a ještě najít vlastníka.
Ano, mobilní bankovní aplikace používají vlastní cert pinning a validují si, že certifikát ve správné cestě, nedovolní komunikaci (aspoň co jsem zkoušel u velké pětky). V prohlížeči máš dost omezené možnosti jak něco vynutit (HPKP nám umřel), Google is IP adresy a certifikáty pro své služby kvůli tomu schoval přímo do zdrojového kódu prohlížeče, opravdu systémové řešení. Microsoft ve Windows zase pro některé své interní služby ignoruje nastavení VPN, DNS a komunikuje přímo, opět super řešení, když to nenabízí i aplikacím.
-
Díky za informace. Z toho by mohl být velmi zajímavý članek.
-
Vždyť i vzdělaný kolegové z IT oboru běžně odkliknou chybu certifikátu, protože to vidí pořád..
Nevím, mluv za sebe nebo za tvoje "vzdělaný" kolegy.
Já a lidi co znám máme nastaveno vynucovaní https ve všech prohlížečích. Pomocí GPO a v celé firmě, kde se objevím a vidím že to nemají, tak je to jedna z prvních věcí co tam tlačím.
Pokud to hodí chybu, heh nebo pokud stránka jede jenom na http, tak mám v hlavě hned alarm a řeším co se děje.
A řeší se to opravou webu, komunikací proč nemají zapnuté https atd. odklikávání je zakázano.
Pokud se nevyřeší, tak se ten web prostě nepoužívá.
-
Další zrůdnost je třeba to, jak různí „bankovní experti“ propagují platební brány integrované do webu prodejce. ... např. koupí věc v neznámém obchodě za pětistovku a maximální škoda, kterou riskuje, je ta pětistovka. Ale když je ta brána integrovaná do webu obchodu, tak musíš důvěřovat každému tomu obchodu, že ti nevyluxuje kartu, nezapamatuje si tvoje údaje, neposkytne je někomu dalšímu atd.
Blast from the past, ty mi chceš říct že platíš v roce 24/25 ještě svojí hlavní platební kartou, že nepoužíváš virtuální karty při placení na webu (eg.: Revolut) ?
-
Další zrůdnost je třeba to, jak různí „bankovní experti“ propagují platební brány integrované do webu prodejce. ... např. koupí věc v neznámém obchodě za pětistovku a maximální škoda, kterou riskuje, je ta pětistovka. Ale když je ta brána integrovaná do webu obchodu, tak musíš důvěřovat každému tomu obchodu, že ti nevyluxuje kartu, nezapamatuje si tvoje údaje, neposkytne je někomu dalšímu atd.
Blast from the past, ty mi chceš říct že platíš v roce 24/25 ještě svojí hlavní platební kartou, že nepoužíváš virtuální karty při placení na webu (eg.: Revolut) ?
Používám kartu, kde mám většinu času nastavené nulové limity a jen když jdu platit, tak je zvednu na příslušnou částku. Takže pro mne to relativně bezpečné je. Ale mám pocit, že většina lidí tohle nedělá.
-
Proto jsem v počátku psal, že o vaši reakci nestojím. Neobsahuje často argumenty, je jen urážlivá.
To jste si popletl. Urážlivé jsou příspěvky uživatelů Trident Vasco, technomaniak, jirsk – a od vás. Já jsem nic urážlivého nepsal, a uvádím argumenty.
Jak jsem psal v úvodu, řešil jsem odborné lidi, nikoli BFU.
To jste se ovšem polně minul se zadáním. Bankám totiž nestačí zabezpečit bankovnictví pro pár odborníků. Banky je potřebují zabezpečit pro všechny své klienty – tedy i pro ty, kteří si myslí, že jsou odborníci, ale nejsou, i pro tu většinu, která počítačové bezpečnosti nerozumí a přiznává si to.
Samotné technické řešení jednoho jediného zařízení ve kterém se sejde více faktorů je méně bezpečné než když se faktory sejdou odděleně a člověk je musí spojit.
To není pravda. Ukázal jsem vám příklad, kdy jste měl 5 zařízení, a bylo to stejně nebezpečné, jako kdyby to bylo jedno zařízení. Nezáleží na počtu zařízení, záleží na počtu a síle faktorů.
Potvrzovací SMS s infomací co je potvrzováno není vyšší level zabezpečení, je to prostě standart.
Já jsem neřešil, zda je to standard nebo nadstandard. Porovnával jsem dvě různé úrovně zabezpečení.
Každé elektronické zařízení je nutno z principu považovat za děravé, žádný software není na 100% dokonalý
To neplatí je o elektronických zařízeních, ale o všem. O nelektronických zařízeních, o papíru a tužce, o lidech.
A hlavně je to tvrzení bezpečnostně naprosto nerelevantní. Bezpečnost totiž není ano/ne, není to digitální veličina, nýbrž je to veličina spojitá.
a radeji si chybu udělám já než aby to udělalo zařízení za mě
To je ovšem přístup, který bezpečnost snižuje.
ano odlišuju se od BFU, jak jsem psal, ty jsem neřešil.
Ano, z hlediska bezpečnosti jste na tom hůř než BFU. BFU aspoň používá ta bezpečnostní opatření, která mu nějaký odborník připravil a vhodně mu je podstrčil – třeba v bance mu nainstalují mobilní bankovnictví. Vy nemáte lepší informace o bezpečnosti než BFU, jenom navíc věříte nějakým nesmyslům, které vás vedou k tomu, že bezpečnost aktivně bojkotujete.
Máte každopádně můj obdiv za to, že se takto veřejně ztrapňujete. Osobně bych vás na žadné pozici nezaměstnal :)
Lidé, kteří aspoň něco tuší o bezpečnosti, vědí, který tábor v této diskusi je který. Ostatně i ten, kdo si podívá, na které straně výrazně převažují argumenty a na které nadávky, v tom má jasno.
Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu.
Viděl jste někdy nějaké mobilní bankovnictví? A viděl jste vůbec někdy nějaký chytrý mobil? Protože do bankovnictví se nedostanete bez přihlášení alespoň otiskem prstu, skenem obličeje nebo zadáním PINu. A obvykle je něčím takovým chráněn i přístup do samotného mobilu. Takže to, že někomu fyzicky seberete mobil, fakt neznamená, že byste se dostal do banky.
-
Další zrůdnost je třeba to, jak různí „bankovní experti“ propagují platební brány integrované do webu prodejce. ... např. koupí věc v neznámém obchodě za pětistovku a maximální škoda, kterou riskuje, je ta pětistovka. Ale když je ta brána integrovaná do webu obchodu, tak musíš důvěřovat každému tomu obchodu, že ti nevyluxuje kartu, nezapamatuje si tvoje údaje, neposkytne je někomu dalšímu atd.
Blast from the past, ty mi chceš říct že platíš v roce 24/25 ještě svojí hlavní platební kartou, že nepoužíváš virtuální karty při placení na webu (eg.: Revolut) ?
Používám kartu, kde mám většinu času nastavené nulové limity a jen když jdu platit, tak je zvednu na příslušnou částku. Takže pro mne to relativně bezpečné je. Ale mám pocit, že většina lidí tohle nedělá.
Souhlas. Nejhorší jsou všemožní frikulíni, kteří mají hloupé řeči typu "blast from the past".
-
Ja treba na uctech nic nemam a potrebne castky prevadim ze sporicich podle potreby prave pres mobilni bankovnictvy. Ze zporaku se daji posilat penize jen na vlastni ucet cili nemuzou jen tak nekam odletet jednim prikazem pryc 🙂.
Po kapsach nosim par stovek pro pripad nouze coz pokreje jidlo/tankovani a jine potreby kdyz toto selze.
Hrozba jsou ty predschvaleny uvery … ale slysel jsem legendu ze se jich da zbavit nedanim souhlasu pro marketingove kanpane
Podle moji zname co dela v bankovnictvi nejvic chybuji lide co posilaji penize kamsi a poste nic nectou a pak ziskaji subscription nebo sluzby co ani nechteli.
Nebo se kradou cisla pres e-simky jinym uzivatelum, pak se odcizi bankovni aplikace a utocnik ma pristup k uctu tak jako by byl majitel.
-
Vždyť i vzdělaný kolegové z IT oboru běžně odkliknou chybu certifikátu, protože to vidí pořád..
Nevím, mluv za sebe nebo za tvoje "vzdělaný" kolegy.
Já a lidi co znám máme nastaveno vynucovaní https ve všech prohlížečích. Pomocí GPO a v celé firmě, kde se objevím a vidím že to nemají, tak je to jedna z prvních věcí co tam tlačím.
Pokud to hodí chybu, heh nebo pokud stránka jede jenom na http, tak mám v hlavě hned alarm a řeším co se děje.
A řeší se to opravou webu, komunikací proč nemají zapnuté https atd. odklikávání je zakázano.
Pokud se nevyřeší, tak se ten web prostě nepoužívá.
Jasně, každý je superstar a nikdy neporuší pravidla, GPO se používá zpravidla na firemních počítačích, že, to asi není cílovka. Pravidelné testování ve firmách mluví jasně, vždy se někdo nachytá a mohu ti garantovat, že občas udělají chybu i ti, kteří o sobě tvrdí, jak jsou strašně obezřetní. Všichni občas uděláme chybu či něco opomeneme.
Plošné útoky ale necílí na ty, kteří jsou opatrní, ale právě na ty, kteří opatrní nejsou (a je jedno jestli to je kvůli jejich znalostem, vnitřního rozpoložení, manipulaci atd.).
Ono být dnes obezřetný začíná být sakra těžké, vždyť mobilní prohlížeče pro jistotu mi schovávají dost efektivně adresu webu, na kterém jsem, různé web view to odstraňují úplně, služby jako paypal, které se buď otevírají v okně bez url nebo v iframe ve mě budí také důvěru. Viděl jsem na Androidu zobrazený captive portál, který věrohodně kopíroval webové stránky české spořitelny, nešlo tak snadno rozeznat, že jsem vlastně jinde, dokonce to mělo i svůj vlastní adresní řádek se správnou url.
Nechci ale obhajovat mobilní aplikace, to také není růžové.
Ja treba na uctech nic nemam a potrebne castky prevadim ze sporicich podle potreby prave pres mobilni bankovnictvy. Ze zporaku se daji posilat penize jen na vlastni ucet cili nemuzou jen tak nekam odletet jednim prikazem pryc 🙂.
Po kapsach nosim par stovek pro pripad nouze coz pokreje jidlo/tankovani a jine potreby kdyz toto selze.
Hrozba jsou ty predschvaleny uvery … ale slysel jsem legendu ze se jich da zbavit nedanim souhlasu pro marketingove kanpane
Podle moji zname co dela v bankovnictvi nejvic chybuji lide co posilaji penize kamsi a poste nic nectou a pak ziskaji subscription nebo sluzby co ani nechteli.
Nebo se kradou cisla pres e-simky jinym uzivatelum, pak se odcizi bankovni aplikace a utocnik ma pristup k uctu tak jako by byl majitel.
Útočník pak můžeš si na tebe vzít úvěr, nulový zůstatek neznamená, že jsi v bezpečí. Některé banky dokocne umí bez problémů jít platbou i do mínusu (nebudu RB jmenovat).
-
a radeji si chybu udělám já než aby to udělalo zařízení za mě
To je ovšem přístup, který bezpečnost snižuje.
ano odlišuju se od BFU, jak jsem psal, ty jsem neřešil.
Ano, z hlediska bezpečnosti jste na tom hůř než BFU. BFU aspoň používá ta bezpečnostní opatření, která mu nějaký odborník připravil a vhodně mu je podstrčil – třeba v bance mu nainstalují mobilní bankovnictví. Vy nemáte lepší informace o bezpečnosti než BFU, jenom navíc věříte nějakým nesmyslům, které vás vedou k tomu, že bezpečnost aktivně bojkotujete.
Nemluve o tom, ze sme porad u toho, ze ti ten mobil fyzicky seberu.
Viděl jste někdy nějaké mobilní bankovnictví? A viděl jste vůbec někdy nějaký chytrý mobil? Protože do bankovnictví se nedostanete bez přihlášení alespoň otiskem prstu, skenem obličeje nebo zadáním PINu. A obvykle je něčím takovým chráněn i přístup do samotného mobilu. Takže to, že někomu fyzicky seberete mobil, fakt neznamená, že byste se dostal do banky.
Toje zase jirsákův argument ad vytržením
A viděl jste snad internetové bankovnictví? Otisk prstu se dá získat ze skleničky a možná se nějaký otisk najde na telefonu samotném, sken obličeje se dá zfalšovat vytištěním na karton
nedá se říct že jedno je bezpečnější než druhé, vždy platí za nějakých okolností (zda nosím "ten PIN" do smartphone bankovnictví nebo login údaje do internet.banking vyrytý do zadní stěny telefonu ) nebo zda telefon má primitivní čtečku skenu obličeje která se dá ošálit přilepením vytisklé fotky na obličej nebo že otisk prstu není bezpečnost(ní zvyšující )prvek ale (bezpečnost) zjednodušující prvek, funguje, pokud zloděj najde telefon kdesi na zemi a nedokáže zjistit otisk prstu
takhle tunelově argumentovat se dá do nekonečna.
Máte každopádně můj obdiv za to, že se takto veřejně ztrapňujete. Osobně bych vás na žadné pozici nezaměstnal :)
Lidé, kteří aspoň něco tuší o bezpečnosti, vědí, který tábor v této diskusi je který. Ostatně i ten, kdo si podívá, na které straně výrazně převažují argumenty a na které nadávky, v tom má jasno.
[/quote]
odborník dokáže věci pochopit, že věci závisí na mnoha faktorech a dalším způsobu použití a ne jen slepě papouškovat reklamní tvrzení, že smrt-phone banking je bezpečnější protože je novější
rozdíl mezi smartphone bankingem a internetovým bankovnictvím je ten, že v případě smartphone bankingu je bankovnictví nedílně vázáno na ten daný kus smartphonu a, kdežto internetové bankovnictví na žádné zařízení vázané není (nebo ano, pokud se bere v úvahu to, ve kterém je simka pro potvrzovací SMS)
-
A viděl jste snad internetové bankovnictví? Otisk prstu se dá získat ze skleničky a možná se nějaký otisk najde na telefonu samotném
Jo, a zkoušel jste to? Bude vás to stát míň, než kolik je limit platby potvrzené otiskem prstu?
nedá se říct že jedno je bezpečnější než druhé, vždy platí za nějakých okolností (zda nosím "ten PIN" do smartphone bankovnictví nebo login údaje do internet.banking vyrytý do zadní stěny telefonu ) nebo zda telefon má primitivní čtečku skenu obličeje která se dá ošálit přilepením vytisklé fotky na obličej nebo že otisk prstu není bezpečnost(ní zvyšující )prvek ale (bezpečnost) zjednodušující prvek, funguje, pokud zloděj najde telefon kdesi na zemi a nedokáže zjistit otisk prstu
Bezpečnější než kód poslaný SMS je to vždy. Ono mimochodem tu bezpečnost také hodně ovlivňuje chování uživatelů. Takže to, aby neměl uživatel vyrytý bankovní PIN na zádech telefonu, má banka do značné míry v ruce – tak, že umožní klientovi obsluhovat bankovnictví tak, aniž by potřeboval mít PIN vyrytý na telefonu.
Mimochodem, když banka povolí autorizaci platby pomocí SMS, co by udělala spousta lidí? No otevřou si internetové bankovnictví v prohlížeči v mobilu, tam zadají transakci, nechají si na ten samý mobil poslat SMS a tou platbu potvrdí. Co pak udělá útočník? Pošle uživateli odkaz na nějaký super prohlížeč, který mu bude úplně sám blokovat veškerou reklamu. Uživatel tomu prohlížeči pak povolí čtení SMS, a útočník má všechno, co potřebuje. A uživatel se bude hrozně divit, vždyť přece používal ten hrozně bezpečný prohlížeč.
odborník dokáže věci pochopit, že věci závisí na mnoha faktorech a dalším způsobu použití
Strefujete se do špatného. Já jsem oponoval tvrzení, že je důležitý počet zařízení. A tvrdil jsem, že důležitý je počet faktorů a jejich bezpečnost.
ne jen slepě papouškovat reklamní tvrzení, že smrt-phone banking je bezpečnější protože je novější
Kde tady někdo něco takového tvrdil?
rozdíl mezi smartphone bankingem a internetovým bankovnictvím je ten, že v případě smartphone bankingu je bankovnictví nedílně vázáno na ten daný kus smartphonu a, kdežto internetové bankovnictví na žádné zařízení vázané není
Hm, jako bych tohle v této diskusi už četl. Teda, vlastně, já jsem to v této diskusi už psal.
Možná příště, až se mnou zase budete chtít polemizovat, zkuste napsat něco, co jsem nepsal. Zatím se vám to povedlo v jediném případě – bohužel zrovna tehdy, když jste parafrázoval něco, co jsem údajně měl napsat.
-
@Ħαℓ₸℮ℵ ␏⫢ ⦚ a spol.: Proč tady pořád krmíte trola, resp. hrajete šachy s holubem (https://www.root.cz/zpravicky/narodni-centrum-kybernetickych-operaci-vyzyva-poskytovatele-k-blokaci-dalsich-webu/1089209/)?
-
@Ħαℓ₸℮ℵ ␏⫢ ⦚ a spol.: Proč tady pořád krmíte trola, resp. hrajete šachy s holubem (https://www.root.cz/zpravicky/narodni-centrum-kybernetickych-operaci-vyzyva-poskytovatele-k-blokaci-dalsich-webu/1089209/)?
Mně už došla trpělivost a problém jsem za dvě minuty s chatgpt vyřešil skriptem (https://gist.github.com/Vantomas/dfb354ca913c66b3243b469af51a30ee) do Greasemonkey. Škoda, že jsem si u toho na šachy s holubem nevzpomněl :D
-
Toje zase jirsákův argument ad vytržením
A viděl jste snad internetové bankovnictví? Otisk prstu se dá získat ze skleničky a možná se nějaký otisk najde na telefonu samotném, sken obličeje se dá zfalšovat vytištěním na karton
nedá se říct že jedno je bezpečnější než druhé, vždy platí za nějakých okolností (zda nosím "ten PIN" do smartphone bankovnictví nebo login údaje do internet.banking vyrytý do zadní stěny telefonu ) nebo zda telefon má primitivní čtečku skenu obličeje která se dá ošálit přilepením vytisklé fotky na obličej nebo že otisk prstu není bezpečnost(ní zvyšující )prvek ale (bezpečnost) zjednodušující prvek, funguje, pokud zloděj najde telefon kdesi na zemi a nedokáže zjistit otisk prstu
Pozor! Ono se sice mluví o otisku prstu, ale telefony nepoužívají otisk prstu jak známe z daktyloskopie (či televizních detektivek). Snímají se jednotlivé body a u nich se zaznamenává elektrická vodivost (či odpor), to vůbec nekoriguje s papilárami z otisků na skleničce. Telefon má pak v sobě uložený otisk (hash) toho záznamů pro různé dílčí sektory, při přiložení prstu se zjišťuje, jestli většina sektorů odpovídá (hodně zjednodušeně řečeno). Nelze sebrat otisk prstu ze sklenice a použít na odemčení telefonu. Nelze z telefonu vyexportovat otisk prstu a ten dále použít. V počátku to byly jednotky bodů (např. senzory u prvních notebooků), první mobily měly desítky bodů, dnes se zaznamenává stovky či tisíce bodů. Lze ten senzor oblafnout nějakým modelem vodivostní mapy prstu vytištěným na 3D tiskárně, ale nikde jsem nic takového nečetl a ani si nedokážu představit, jak by se získal vzor.
Ty 2D skeny obličejů jsou šílené, otevírání přes fotky je od začátku velice problematické, ne všechny současné telefony umí snímat 3D a ještě ideálně i v jiných vlnových délkách než viditelné světlo. Od otisku se odchází ne kvůli bezpečnosti, ale kvůli tomu, že se to výrobců nehodí do vzhledu, otisk je problematický pro některé lidi a prostředí (pokud mám suchou a popraskanou kůži, nefunguje to, to je problém těch manuálně pracujících a naší starší populace, stejně tak se výrazně mění snímání podle vlhkosti a ne vždy si můžeme utřít prst - proto třeba za deště nebo v hodně suchém prostředí ty otisky fungují na štíru).
-
Jenom explicitně doplním jeden detail – přesně tak, jak to popisujete, tu bezpečnost vnímají např. banky a je zapracována v různých bezpečnostních aplikacích (autentizační aplikace, mobilní bankovnictví apod.). Tj. bezpečnost se bere (dnešní implementace v mobilech): sken obličeje < otisk prstu < PIN.
Uživatel obvykle používá buď sken obličeje nebo otisk prstu, takže se s tím nesetká, ale jsou situace, kdy sken obličeje není postačující ale otisk prstu stačí.
-
...
To je zajimavy ze na vetsinu ctecek otisku staci ten otisk vytisknou na papir ... asi to funguje ponekud jinak nez tvrdis. Protoze to co popisujes by ani fungovat nemohlo, protoze vodivost se narozdil od otisku meni setrvale a neustale v zavislosti na hromade dalsich aspektu.
Takze pokud se nebavime o snimani krevniho reciste, coz zadnej telefon neumi, tak je to uplne obycejnek scanner, presne v ty podobe v jaky ho najdes treba v kopirce, jen trochu mensi. a nacita a zpracovava to ... obrazek.
A takovych obrazku ke zkopirovani najdes na kazdym telefonu desitky.
Na nejsofistikovanejsi snimace otisku je treba vyrobit gelovy odlitek. Ale takovy v telefonech nejsou ani byt nemuzou, protoze sou vsechno mozny jen ne maly.
Edit:
Mimochodem, totok muze pouzivat leda ubervelekokot.
https://www.lupa.cz/aktuality/zaplate-v-e-shopu-bankovni-aplikaci-cesi-zdarma-vydali-software-pro-nahradu-visy-a-mastercard/
Oni soudruzi nejak zapomeli, ze pri platbe kartou ma kazdy pravo tu platbu minimalne rok stornovat a banka to storno udelat musi. Zatimco pri platbe prevodem (coz je presne toto) na zadne storno narok nema.
-
Několikrát tu bylo zmíněné, že SMS už banky nepodporují.
Zatím to podporuje většina bank (možná všechny).
Na požádání je možné používat SMS jako dvoufaktor minimálně u
Česká spořitelna
ČSOB
Airbank
Reiffeisen
Zcela SMS zrušila nejspíše jen
Moneta
(ale je to bez záruky, nutné si ověřit aktuální stav)
Je ještě pořád dost velká základna uživatelů co buď nemá smartphone a nebo nechce autorizační aplikace používat.
A banka samozřejmě nechce ani o tyto klienty přijít.
-
Několikrát tu bylo zmíněné, že SMS už banky nepodporují.
Zatím to podporuje většina bank (možná všechny).
Na požádání je možné používat SMS jako dvoufaktor minimálně u
Česká spořitelna
ČSOB
Airbank
Reiffeisen
Zcela SMS zrušila nejspíše jen
Moneta
(ale je to bez záruky, nutné si ověřit aktuální stav)
Je ještě pořád dost velká základna uživatelů co buď nemá smartphone a nebo nechce autorizační aplikace používat.
A banka samozřejmě nechce ani o tyto klienty přijít.
U ČSOB zavedli od 1. září, že bude potvrzování transakcí v Internetovém bankovnictví SMSkou zpoplatněno částkou 2,50 Kč dle aktuálního sazebníku. Zrušil jsem tam účet, a bance teda bylo fuk, že o klienta přišla.
-
ze pri platbe kartou ma kazdy pravo tu platbu minimalne rok stornovat a banka to storno udelat musi.
Zdroj??? Předpokládám, že jedna bába povídala nebo fake news.
-
Několikrát tu bylo zmíněné, že SMS už banky nepodporují.
Zatím to podporuje většina bank (možná všechny).
Na požádání je možné používat SMS jako dvoufaktor minimálně u
Česká spořitelna
ČSOB
Airbank
Reiffeisen
Zcela SMS zrušila nejspíše jen
Moneta
(ale je to bez záruky, nutné si ověřit aktuální stav)
Je ještě pořád dost velká základna uživatelů co buď nemá smartphone a nebo nechce autorizační aplikace používat.
A banka samozřejmě nechce ani o tyto klienty přijít.
U ČSOB zavedli od 1. září, že bude potvrzování transakcí v Internetovém bankovnictví SMSkou zpoplatněno částkou 2,50 Kč dle aktuálního sazebníku. Zrušil jsem tam účet, a bance teda bylo fuk, že o klienta přišla.
A dal jsi jim předem na srozuměnou, proč tam účet hodláš zrušit? Docela si dovedu představit, že by ti v takovém případě ten poplatek možná i odpustili, kdyby věděli, proč chceš odejít. Myslím, že zákaznická zpětná vazba je vždycky důležitá, nejen u bank - jedině tak se dá něco změnit k lepšímu.
-
Několikrát tu bylo zmíněné, že SMS už banky nepodporují.
Zatím to podporuje většina bank (možná všechny).
Na požádání je možné používat SMS jako dvoufaktor minimálně u
Česká spořitelna
ČSOB
Airbank
Reiffeisen
Zcela SMS zrušila nejspíše jen
Moneta
(ale je to bez záruky, nutné si ověřit aktuální stav)
Je ještě pořád dost velká základna uživatelů co buď nemá smartphone a nebo nechce autorizační aplikace používat.
A banka samozřejmě nechce ani o tyto klienty přijít.
U ČSOB zavedli od 1. září, že bude potvrzování transakcí v Internetovém bankovnictví SMSkou zpoplatněno částkou 2,50 Kč dle aktuálního sazebníku. Zrušil jsem tam účet, a bance teda bylo fuk, že o klienta přišla.
A dal jsi jim předem na srozuměnou, proč tam účet hodláš zrušit? Docela si dovedu představit, že by ti v takovém případě ten poplatek možná i odpustili, kdyby věděli, proč chceš odejít. Myslím, že zákaznická zpětná vazba je vždycky důležitá, nejen u bank - jedině tak se dá něco změnit k lepšímu.
Samozřejmě. Jako důvod, mimo jiné napsali "S rozesíláním SMS jsou ovšem spojené náklady, které v poslední době narostly natolik, že jsme byli nuceni je promítnout i do našeho sazebníku." Což jsem jim označil jen za pokus vydělat, neboť ceny SMS skrz bránu se v takových hodnotách nepohybují, obzvláště pro banky. Opravdové ceny mi samozřejmě nesdělili, "protože se jedná o citlivé obchodní informace."
Na sdělení, že tedy zruším účet mi řekli, že musím dorazit na pobočku. Tak jsem tam dorazil. Tam paní na přepážce jen tak zminila, že jsou schopni nastavit poplatky i individuálně ;D
Co mi připadá zajímavé, že mohli správně předpokládat, že si v rámci své životní etapy budu brát hypotéku, ale oni raději kvůli dvěma kačkám přijdou o párset tisíc až miliony.
-
@hmmmw: Super. Až je pošle k šípku víc lidí (jako že pošle), třeba se jim rozsvítí. Zase z druhé strany je fakt, že korporáty občas uvažují poněkud specificky, takže se třeba pletu. Ale určitě je třeba tu vazbu dávat a nenechat jim to projít jen tak.
-
@hmmmw: Super. Až je pošle k šípku víc lidí (jako že pošle), třeba se jim rozsvítí. Zase z druhé strany je fakt, že korporáty občas uvažují poněkud specificky, takže se třeba pletu. Ale určitě je třeba tu vazbu dávat a nenechat jim to projít jen tak.
Vazne si myslis ze akykolvek korporat, vratane bank, riesi feedback od jedneho cloveka? Tie rozne formulare tam nikto necita, nejaky robot to skategorizuje a to je vsetko. To iste ked to tam za teba vyplni ta pani na pobocke, ktora tiez len vyplni nejaky formular na zrusenie uctu s kolonkou dovod zrusenia, ktora mozno zostane prazda alebo tam napise to co z teba vypadne.
Korporaty riesia az pri pravidelnych vyrocnych/stvrt rocnych spravach ze zrazu maju o x/xx percent menej zakaznikov (resp stagnuju, lebo pocet prichadzajucich sa rovna odchadzajucim). Vtedy sa vedia pozriet na feedback, dovtedy sa k tomu stavaju stylom "collect now, (maybe) process later".
-
@hmmmw: Super. Až je pošle k šípku víc lidí (jako že pošle), třeba se jim rozsvítí. Zase z druhé strany je fakt, že korporáty občas uvažují poněkud specificky, takže se třeba pletu. Ale určitě je třeba tu vazbu dávat a nenechat jim to projít jen tak.
Vazne si myslis ze akykolvek korporat, vratane bank, riesi feedback od jedneho cloveka? Tie rozne formulare tam nikto necita, nejaky robot to skategorizuje a to je vsetko. To iste ked to tam za teba vyplni ta pani na pobocke, ktora tiez len vyplni nejaky formular na zrusenie uctu s kolonkou dovod zrusenia, ktora mozno zostane prazda alebo tam napise to co z teba vypadne.
Korporaty riesia az pri pravidelnych vyrocnych/stvrt rocnych spravach ze zrazu maju o x/xx percent menej zakaznikov (resp stagnuju, lebo pocet prichadzajucich sa rovna odchadzajucim). Vtedy sa vedia pozriet na feedback, dovtedy sa k tomu stavaju stylom "collect now, (maybe) process later".
Já si myslím, že jednoho člověka v rámci procesů na pobočce řeší. Jen musí být ten člověk zajímvý. Mě tam holt pouze chodila výplata a žádné produkty jsem nevyužíval. Že by třeba jednou u nichy bylo hypo, rozpoznat nedokázali nebo jim to nepřišlo zajímavé.
Stejně tak to funguje u operátora, kdy umí řešit i odcházejícího jednotlivce, a snaží se jej udržet.
-
Já si myslím, že jednoho člověka v rámci procesů na pobočce řeší. Jen musí být ten člověk zajímvý. Mě tam holt pouze chodila výplata a žádné produkty jsem nevyužíval. Že by třeba jednou u nichy bylo hypo, rozpoznat nedokázali nebo jim to nepřišlo zajímavé.
Takže jsi byl nezajímavý (moc z tebe nemají) a bylo u tebe zvýšené riziko nákladů na řešení vykradeného účtu, protože trváš na používání méně bezpečné autentizace. Jinak náklady na SMS ve velkém (pro banku) jsou cca 1,- za kus bez DPH.
Že si MOŽNÁ budeš chtít vzít hypotéku a MOŽNÁ si ji vezmeš v téhle bance není moc argument.
-
Já si myslím, že jednoho člověka v rámci procesů na pobočce řeší. Jen musí být ten člověk zajímvý. Mě tam holt pouze chodila výplata a žádné produkty jsem nevyužíval. Že by třeba jednou u nichy bylo hypo, rozpoznat nedokázali nebo jim to nepřišlo zajímavé.
Takže jsi byl nezajímavý (moc z tebe nemají) a bylo u tebe zvýšené riziko nákladů na řešení vykradeného účtu, protože trváš na používání méně bezpečné autentizace. Jinak náklady na SMS ve velkém (pro banku) jsou cca 1,- za kus bez DPH.
Že si MOŽNÁ budeš chtít vzít hypotéku a MOŽNÁ si ji vezmeš v téhle bance není moc argument.
Mě je jejich risk management ukradený, hypo brát budu, u nich ani za nejlepších podmínek. Nemají zájem, já taky ne, bank jsou mraky, ČSOB je jedna z těch špatných.
Naše firma posílá SMSek méně a jsou levnější. Přesto, na tvé kalkulaci vydělají na každé SMS kačku padesát, to mi nepřipadá jako špatné, když jich denně nejspíše posílají desetitisíce, to je za měsíc půl mega...
-
To je vtipné, Moneta první faktor posílá do důchodu - na přihlašovací homepage internetbankingu je možné si aktivovat přihlášení QR kódem, (který se musí sjet aplikací), to znamená, že kdo si tohle přivodí, bude chráněn druhým (vlastnictví smartphonu) a třetím faktorem (otisk prstu, který nelze střežit)
(samozřejmě tomu ,kdo si to povolí a pravděpodobně jen na označených"počítačích" ,asi to nepřežije cookies)
-
To mi zní jako passkey/passwordless (https://fidoalliance.org/passkeys/) (FIDO standard) a tam se to neukládá do cookies, to jde do systémového úložiště. Nebo ten QR kód jde skenovat jen jejich aplikací a snaží se o nějakou vlastní implementaci na koleně?
-
To je vtipné, Moneta první faktor posílá do důchodu - na přihlašovací homepage internetbankingu je možné si aktivovat přihlášení QR kódem, (který se musí sjet aplikací), to znamená, že kdo si tohle přivodí, bude chráněn druhým (vlastnictví smartphonu) a třetím faktorem (otisk prstu, který nelze střežit)
ČSOB tohle má u Internetového bankovnictví taky. Nevím jak moc je to bezpečné, když se nezadává heslo. Přemýšlel jsem jak to asi funguje, protože mě to celkem překvapilo - přeci jen je to divné, přihlašovat se bez hesla - asi je v tom QR kódu nějaký session-id toho přihlášení, který se tím QR kódem načte do jejich mobilní aplikace, která byla již spárována s konkrétním bankovním účtem, takže ví koho přihlásit.
-
Ad ČSOB a přihlášení přes QR kód, očividně jsem už dlouho nepoužil tu banku přes prohlížeč. ;D
K tomu, jak to funguje: Detaily nám banky neřeknou, ale hodně zjednodušeně a analogicky řečeno, tyhle způsoby přihlašování (obvykle) fungují jako kdyby to bylo uložené heslo s vynuceným ověřením na povolené domény, ke kterým ty, jako uživatel, nemáš přístup. Technicky pak jde o kombinaci privátních a veřejných klíčů místo hesel. Takže se ti prostě nemůže stát, že bys to heslo zadal do falešného formuláře při phishingu, prože když heslo nemáš, nemáš co vyzradit.
Server ukáže QR kód nebo pošle požadavek přímo do potvrzovací aplikace, a ten požadavek je zašifrovaný tak, že jen tvoje aplikace se svým privátním klíčem ho dokáže rozšifrovat. Ty musíš projevit souhlasnou aktivitu (naskenovat, odkliknout), aplikace ověří, že pro tuto doménu má opravdu uložené klíče, vytvoří odpověď, zase podepsanou/zašifrovanou tím svým privátním klíčem, a pošle ji sama na předem určený server. To mimo jiné znamená, že server nikdy nezná to skutečné "heslo", to se nikam nepošle. Ty jen serveru prokážeš, že ty ho znáš.
Tyhle bankovní aplikace nejspíš mají nějaké odchylky - například součástí požadavku je informace o tom, co přesně potvrzuješ, a můžou tam teoreticky být nějaké oboustranné podpisy (ve standardním passkey se ověření serveru deleguje na ověření ssl certifikátu pro komunikaci s tím serverem).
Passkey taky brání MITM útokům, nejen phishingu, protože to ověření certifikátu probíhá už na začátku (tj. pokud nejsi opravdu na správné stránce se správným ssl certifikátem, nepůjde se přihlásit), zatímco u tohohle skenování QR kódu mě nenapadá, jak by se tomu mitm útoku branilo - aplikace neví, kde jsi ten kód naskenoval. Ale pořád je tam oproti heslu ta výhoda, že jak sezení vyprší, musí celý útok proběhnout znova, nejde zneužít odchycené heslo a ukrást SMSku.
-
Přihlašování pomocí QR kódu má už dlouho i Airbank, stačí naskenovat QR a potvrdit.
Tento způsob přihlášení má i Discord.
A u České spořitelny taky není třeba zadat heslo, stačí jen klientské číslo a datum narození a následně potvrdit v George. Heslo není potřeba.
-
Prosimvás, já jsem své odpovědi dostal už dávno, další diskuze mimo téma netřeba.
Všem, kteří poradili konkrétní banku a zkušenosti velice děkuji. Těm ostatním ne. Aby bylo jasno.
-
Ahoj,
dnes jsem přes neustálé nléhání banky KB přešel na novou aplikaci 'Nová éra KB'
něco tak strašného jsem ještě neviděl.
Uživatelský interface je jedná velká katastrofa.
Nepřehledné, zbytečně nevyužité místo nutící skrolovat a všude se proklikávat, žádný cookpit na homepage s rychlým přehledem všech mých produktů jako to měla původní verze.
Sekce pojištění, proč krucifix musím v každém pojištění pro zjištění výše platby prokliknout dovnitř?!
Platba je zobrazena malá, šedá a při sníženém jasu monitoru velmi špatně viditelná!
V pojištění mé dcery jsem jako pojištěný uvedený já namísto mé dcery!
Doslova se bojím odhalovat další děsy této nové aplikace.