Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: 256256 01. 04. 2023, 20:13:48
-
Zdravím,
mám dotaz od člena rodiny, který používá e-banking (MojeBanka) od Komerční banky. Vypadá to, že při přihlašování bezpečnostním heslem (ostaní varianty jsou aplikace KB Klíč online, KB Klíč offline a Osobní certifikát na čipové kartě), teď banka požaduje zadání telefonního čísla (napřed klientské číslo, potom telefonní číslo a když jsou v pořádku, heslo). A není jediný v okolí, komu to teď tak funguje. (Ostatně na webu Komerčky si to může vyzkoušet kdokoliv, jako pokus o login projdou třeba nějaká čísla.)
Je to normální???
Vždyť na to telefonní číslo potom chodí potvrzovací smsky, takže to vypadá úplně stejně jako nějaký MitM scam a jako dvoufaktorová autorizace to trochu postrádá smysl (ale nejsem expert na moderní trendy v bezpečnosti...). V nápovědě (FAQ) na webu o zadávání telefonního čísla nic není.
Děkuji za vysvětlení, případně další názory.
-
Co Vám na tento dotaz, když jste se jí ptal, odpověděla samotná banka?
-
Za prvé, také si myslím, že je to dotaz především na banku. Za druhé, nevím, co si představujete pod termínem „MitM scam“. (Víc, co znamená zkratka MitM i co znamená slovo scam, právě proto se ptám, co si pod tím představujete vy.) Podle zpráv na webu KB aktuálně probíhá nějaká kampaň s falešnými stránkami KB, takže je možné, že KB aktivovala další úroveň zabezpečení.
Proti podvodným webům se uživatel brání především tím, že když má otevřený přihlašovací formulář, zkontroluje si, jestli doména zobrazená v adresním řádku prohlížeče je ta správná, a jestli je tam zámeček označující zabezpečené spojení. Pokud ano, zadává ty údaje bance. Pokud ne, nemá tam zadávat nic, i kdyby to po něm chtělo jenom login a nic jiného.
-
To zadané telefonní číslo se porovnává s číslem uloženým v bance. Není to tak, že by na zadané číslo pak chodily SMSky:) ;)
-
To zadané telefonní číslo se porovnává s číslem uloženým v bance. Není to tak, že by na zadané číslo pak chodily SMSky:) ;)
Pokud mate duveru kam to zadavate, tak to mozne je. Ale prave podvodne stranky by se snazili z cloveka vylakat co nejvice fakturu.. proto chapu i paniku zakladatele vlakna.
-
To zadané telefonní číslo se porovnává s číslem uloženým v bance. Není to tak, že by na zadané číslo pak chodily SMSky:) ;)
Pokud mate duveru kam to zadavate, tak to mozne je. Ale prave podvodne stranky by se snazili z cloveka vylakat co nejvice fakturu.. proto chapu i paniku zakladatele vlakna.
Za prvé, také si myslím, že je to dotaz především na banku. Za druhé, nevím, co si představujete pod termínem „MitM scam“. (Víc, co znamená zkratka MitM i co znamená slovo scam, právě proto se ptám, co si pod tím představujete vy.) Podle zpráv na webu KB aktuálně probíhá nějaká kampaň s falešnými stránkami KB, takže je možné, že KB aktivovala další úroveň zabezpečení.
Myslím to víceméně tak, jak to pochopil RDa citovaný nad vámi (akorát mu asi telefon opravil "fakta" na "faktury"). Vypadá to jako "útok" podle šablony na vysávání dat, aby se potom útočník mohl vydávat za banku. Banka prostě uživatele nutní provést něco, co se dá čekat u podvodných stránek (žádá neobvyklé informace navíc), a před čím jsou uživatelé varováni. I když to může být jen jejich snaha doplnit autentizaci něčím dalším kromě hesla pro dočasné (?) zvýšení bezpečnosti.
Prakticky si to pořešíme přímo s bankou. Sem jsem ten dotaz myslel spíš tak, jestli vám připadá v pořádku tyhle údaje požadovat a jak moc je takový požadavek v rozporu s tím, jak se uživatelům vtlouká do hlav, že mají být opatrní a nic navíc nikam nezadávat. Nemám tušení, jak je dneska běžné a časté (zvlášť přes HTTPS) podvrhnout část stránky nebo k ní něco přidat (a tipuju, že řádově složitější, než v nějakém phishing mejlu poslat "falešný" odkaz, který by si uživatel mohl v adresním řádku zkontrolovat).
-
Ověření telefonního čísla je vyžadováno i při prvním přihlášení (na daném počítači/účtu) přes KB klíč.
V tomhle zásadní problém nevidím. Jestli to snižuje odolnost uživatelů proti podvrhu... těžko říct, jediná obrana je stejně jen poctivá kontrola adresního řádku s platným zámečkem...
Mnohem víc mě vadilo, když zrušili možnost hlásit se přes osobní certifikát + SMS, to byla poctivá dvoufaktorová (i když skoro třífaktorová) autentizace. U KB klíče mi ten nezávislý kanál prostě chybí.
-
Nejbezpečnější je potvrzovat přihlášení přes appku v telefonu pomocí otisku prstu. To se žádnému útočníkovi s falešnými stránkami banky zatím napodobit nepodařilo. Nějaké prehistorické SMS z dob tlačítkových telefonů už měly banky dávno poslat k ledu. Kdo chce internetové bankovnictví, holt musí jít s dobou a pořídit odpovídající foun. Těch pár ostatních (=zanedbatelný počet) ať si udělá pěknou procházku na pobočku k okýnku :P
-
Jen přečíst smluvní podmínky, pravidla soukromí a další právní náležitosti, s kterými musím souhlasit, abych se k té bankovní aplikaci na tom úžasném smartphonu dostal, mi zabere tolik času, že je snad opravdu výhodnější chodit na tu pobočku.
-
komerčka je srandovní. Taky ji zatím mám. "Nejlepší" mi přijde, že ona po přihlášení (a ověření SMS kvůli dvoufaktoru) pak už někdy vůbec SMS nevyžaduje na potvrzení platby (jen zadání hesla)
Nevím jak to mají "inteligentně" nastaveno (známé účty/limit částky), ale přijde mi, že pokud se pak dělá další platba, tak to už nechce SMS nikdy ikdyž jde o vyšší částku
Dokázal bych is představit mírně složitější vir s keyloggerem, co by čekal až člověk provede platbu s potvrzením po SMS a v zápětí provedl další platbu sám.
Dost by mě pak zajímala argumentace banky, kdyby po ní člověk chtěl takto uniklé peníze zpátky. Však já sakra platbu dvoufaktorově nepotvrdil...
Přijde mi dost absurdní, že teda člověk je zvyklý potvrzovat platby po SMS, dává mu to i určitý "klid" a najednou po zadání hesla se mu už objeví že platba odeslána a hotovo...
-
Myslím to víceméně tak, jak to pochopil RDa citovaný nad vámi (akorát mu asi telefon opravil "fakta" na "faktury"). Vypadá to jako "útok" podle šablony na vysávání dat, aby se potom útočník mohl vydávat za banku. Banka prostě uživatele nutní provést něco, co se dá čekat u podvodných stránek (žádá neobvyklé informace navíc), a před čím jsou uživatelé varováni. I když to může být jen jejich snaha doplnit autentizaci něčím dalším kromě hesla pro dočasné (?) zvýšení bezpečnosti.
Prakticky si to pořešíme přímo s bankou. Sem jsem ten dotaz myslel spíš tak, jestli vám připadá v pořádku tyhle údaje požadovat a jak moc je takový požadavek v rozporu s tím, jak se uživatelům vtlouká do hlav, že mají být opatrní a nic navíc nikam nezadávat. Nemám tušení, jak je dneska běžné a časté (zvlášť přes HTTPS) podvrhnout část stránky nebo k ní něco přidat (a tipuju, že řádově složitější, než v nějakém phishing mejlu poslat "falešný" odkaz, který by si uživatel mohl v adresním řádku zkontrolovat).
Jestli to vypadá nebo nevypadá jako útok nevíme, protože to jediné, co rozhoduje o tom, zda to je nebo není útok – tedy doménové jméno a to, zda je potvrzené důvěryhodným certifikátem – jsme se zatím nedozvěděli.
Každopádně je to ale zajímavý test, jestli byste útoku podlehl – a tím testem jste neprošel. Protože útok nepoznáte podle toho, jak stránky vypadají, ani podle toho, co po vás ty stránky chtějí. Útok rozeznáte právě jen kontrolou domény.
Uživatelům se netlouká do hlavy, že nemají nikam zadávat nic navíc. Vtlouká se jim do hlavy, že údaje mají zadávat jenom tehdy, když mají ověřeno, že je zadávají na správný web.
-
komerčka je srandovní. Taky ji zatím mám. "Nejlepší" mi přijde, že ona po přihlášení (a ověření SMS kvůli dvoufaktoru) pak už někdy vůbec SMS nevyžaduje na potvrzení platby (jen zadání hesla)
Takhle to mají všechny banky. Vyhodnocují rizika u každé platby zvlášť a podle toho také přizpůsobují požadavky na ověření. Kdyby na všechny platby aplikovaly ta nejpřísnější pravidla, banky by nikdo nepoužíval. (A ne, to, že potvrdíte platbu v mobilní aplikaci, není ta nejpřísnější možná kontrola.) To, že u té druhé platby není potřeba potvrzení, není závislé jen na době od první platby. Závisí to nejspíš také na částce, možná na tom, zda už jste na ten účet dříve platil, případně jestli cílový účet banka zná a jakou má reputaci.
-
Jestli to vypadá nebo nevypadá jako útok nevíme, protože to jediné, co rozhoduje o tom, zda to je nebo není útok – tedy doménové jméno a to, zda je potvrzené důvěryhodným certifikátem – jsme se zatím nedozvěděli.
Doménové jméno je v pořádku. Ono to je v tom prvním postu tak nějak implicitně řečeno, ale chápu, že ta moje formulace vypadá, že jsme to nezkontrolovali. V tomhle byl třeba ten už zmíněný osobní certifikát lepší, protože jeho změna byla "velká událost."
Navíc v tomhle případě byl ten zmatek ještě umocněný tím, že osobní bankéř v bance uživatele přesvědčil ke změně loginu na mejlovou adresu (gmail; přesné podmínky a vysvětlení nevím). Uživatel se bránil, ale autoritě autority se neubránil :-) Takže z pohledu uživatele to vypadá 2x divně... Napřed při přihlášení zadá mejlovou adresu, potom sám zadává telefonní číslo, na které mu přijdou potvrzovací smsky, a potom zadává heslo. Z laického pohledu teď mají stránky všechny údaje, aby se před uživatelem mohly vydávat za banku.
Ale tím jsem ten dotaz nechtěl komplikovat, protože to bylo provedené osobně v bance (a uživatel o té změně věděl), login se dá v aplikaci pro bankovnictví změnit a zbytečně by to odvádělo pozornost jinam.
-
Každopádně je to ale zajímavý test, jestli byste útoku podlehl – a tím testem jste neprošel. Protože útok nepoznáte podle toho, jak stránky vypadají, ani podle toho, co po vás ty stránky chtějí. Útok rozeznáte právě jen kontrolou domény.
Tím si právě nejsem moc jistý. To opravdu není možné, aby mi někdo (případně s mojí "dopomocí", zvlášť jestli třeba čtu poštu v Gmailu) propašoval do prohlížeče nějaký add-on nebo něco takového, co se pověsí na kód stránky banky (i když se k ní připojuji přes HTTPS) a doplní k ní dotaz na další údaje?
-
Co já vím, tak Komerčka vyžaduje nejprve zadání uživatelského jména. Hned pod tím je souhlas se zapamatováním údajů pomocí cookies. Následně chce telefonní číslo a pak ověření pomocí klíče...
Takže, patrně, když nedáš souhlas s cookies, musíš při dalším prihlášení projít toto celé znovu. Když souhlas dáš a cookies nevymažeš, může být ten krok příště přeskočen.
Předpokládám, že na infolince dotaz zodpoví bez nejmenších problémů.
-
Doménové jméno je v pořádku. Ono to je v tom prvním postu tak nějak implicitně řečeno, ale chápu, že ta moje formulace vypadá, že jsme to nezkontrolovali.
Tohle jsou ale ty dvě nejdůležitější věci – jestli je to správná doména a jestli má důvěryhodný certifikát. To není něco, co můžete nechat jen tak implicitně. To je věc, kterou musíte napsat jako první, pokud to chcete nějak řešit. A ne „jméno je v pořádku“, ale zkopírovat to, co máte v adresním řádku prohlížeče.
Z laického pohledu teď mají stránky všechny údaje, aby se před uživatelem mohly vydávat za banku.
To je právě ale chybná úvaha. Musíte počítat s tím, že útočník má vždy všechny údaje, aby se mohl vydávat za banku. Kombinaci e-mailu a telefonu zná kde kdo.
Tím si právě nejsem moc jistý. To opravdu není možné, aby mi někdo (případně s mojí "dopomocí", zvlášť jestli třeba čtu poštu v Gmailu) propašoval do prohlížeče nějaký add-on nebo něco takového, co se pověsí na kód stránky banky (i když se k ní připojuji přes HTTPS) a doplní k ní dotaz na další údaje?
Je to možné, ale to je pak vaše chyba, že instalujete do prohlížeče rozšíření, o kterých nevíte, co dělají. Je to to samé, jako instalovat si do počítače neznámý software.
A protože tohle je problematická část (zejména u toho softwaru, pro instalaci nějakých rozšíření nevidím u neprofesionálního uživatele důvod), používá se dvoufaktorové ověřování. Tj. když provádíte platbu, přijdou vám na jiné zařízení údaje o platbě, které ověříte a teprve po ověření platbu schválíte.
Pořád to ale nijak nesouvisí s údaji, které po vás banka chce po přihlášení. Ty máte zadávat pouze do stránky, u které jste si ověřil, že je to ta správná stránka. A máte to dělat vždy, ať se hlásíte kamkoli. Ideální je používat na to správce hesel integrovaného s prohlížečem, který ty údaje vyplní za vás a vyplní je jenom do správné stránky.
Pokud by útočník měl pod kontrolou váš počítač nebo prohlížeč, protože jste nainstaloval jeho trojského koně, nepotřebuje váš mobil získávat zrovna z přihlašovacího formuláře k bance. A pokud by se útočník snažil získat přístup k vašemu bankovnímu účtu, vaše telefonní číslo k ničemu nepotřebuje. Potřebuje kód, který vám na telefon přijde (pokud používáte autorizaci přes SMS), ale telefonní číslo ho nezajímá.
-
Jen přečíst smluvní podmínky, pravidla soukromí a další právní náležitosti, s kterými musím souhlasit, abych se k té bankovní aplikaci na tom úžasném smartphonu dostal, mi zabere tolik času, že je snad opravdu výhodnější chodit na tu pobočku.
To se týká i samotného vedení účtu a celého netového bankovnictví bez ohledu na to, jestli je autorizace přes SMS nebo přes aplikaci v mobilu. Takže buď si nechat podmínky posoudit nějakým právně-finančním expertem, anebo se vrátit ke slamníku...
-
Tak číst smlouvu s bankou, když si u ni zřizuji účet je asi normální. Ale pokud mě banka ještě nutí používat jeden ze dvou těch správných mobilních OS, pochopitelně té správné verze, a aplikace lze stáhnout jen ze dvou tržišť, pouze po předchozí registraci, vše ve jménu bezpečnosti, tak ať se jdou bodnout.
Chápu, že většinová společnost obětuje svému pohodlí ledasco, ale já teda ne.
-
Tesat do kamene !!!
v druhé citaci jen mám ten důvod "mi zabere tolik času, že je snad opravdu výhodnější chodit" (ale ke stejnému závěru) jiný : rootnout mobil, instalovat různé moduly na skrytí magisku, instalovat náhradu google play(Aurora), nebo snad apk stáhnout ,, hledat náhradu za google play framework(micro g)dělat analýzu exodus.privacy, jaký balast má aplikace , na jaké domény se připojuje, co všechno posílá za data do všech směrů. Přes Xprivacy vytvořit co nejvíc izolovoné prostředí aby aplikace nemohla abusovat api systému android....
Ale pokud mě banka ještě nutí používat jeden ze dvou těch správných mobilních OS, pochopitelně té správné verze, a aplikace lze stáhnout jen ze dvou tržišť, pouze po předchozí registraci, vše ve jménu bezpečnosti, tak ať se jdou bodnout.
Chápu, že většinová společnost obětuje svému pohodlí ledasco, ale já teda ne.
Jen přečíst smluvní podmínky, pravidla soukromí a další právní náležitosti, s kterými musím souhlasit, abych se k té bankovní aplikaci na tom úžasném smartphonu dostal, mi zabere tolik času, že je snad opravdu výhodnější chodit na tu pobočku.
Tedy ... pokud se tu aplikace vůbec podaří nainstalovat na telefon s rootem
Tedy ... pokud se tu aplikace vůbec podaří nainstalovat na telefon bez google play services
Tedy ... pokud se tu aplikace vůbec podaří nainstalovat na telefon bez standardních google aplikací (což je něco jiného, jde jde o "gmatetelné ikonky")
Tedy ... pokud se tu aplikace vůbec podaří spustit
PS: Nedivil bych se kdyby ta (přestrojená webová) "aplikace" při každém spuštění stahovala 20 MB javascriptu.
Protože na takovou velikost se zvýšila velikost webové stránky internetového bankovnictví "po modernizaci". Předím měla 2MB.
BTW: kolikaznakové jsou potvrzovací kód u komerčky? Například ČSOB kdysi měla 4 to se dalo snést, pak jiná banka šesti, moneta má osmi, no už je k po*rání a Raif-haizlové dokonce deset!!!
-
Tak číst smlouvu s bankou, když si u ni zřizuji účet je asi normální. Ale pokud mě banka ještě nutí používat jeden ze dvou těch správných mobilních OS, pochopitelně té správné verze, a aplikace lze stáhnout jen ze dvou tržišť, pouze po předchozí registraci, vše ve jménu bezpečnosti, tak ať se jdou bodnout.
Chápu, že většinová společnost obětuje svému pohodlí ledasco, ale já teda ne.
Když tady jsou v podstatě jenom dva OS pro mobily a jeden OS pro PC/NB, tak co by asi tak měla banka dělat? Jo, může lidem rozdávat nějaké vlastní čipové karty + čtečky na bezpečné přihlášení (a sledovat jejich nadšení, jak budou sebou tahat další krámy), anebo prostě udělá to, co dělá teď a komu se to nelíbí, ať si (_!_) políbí a může klusat na pobočku nebo mít prašule doma v polštáři (v tom samozřejmě nikdo nikomu nebrání), každopádně vždy se vše primárně podřizuje většině a ne menšině, a tak to i zůstane.
-
Co já vím, tak Komerčka vyžaduje nejprve zadání uživatelského jména. Hned pod tím je souhlas se zapamatováním údajů pomocí cookies. Následně chce telefonní číslo a pak ověření pomocí klíče...
Takže, patrně, když nedáš souhlas s cookies, musíš při dalším prihlášení projít toto celé znovu. Když souhlas dáš a cookies nevymažeš, může být ten krok příště přeskočen.
Já předpokládám, že to tam (cca nedávno) přidali proto, aby když se někdo (dictionary) trefí do username, tak aby to hned neotavovalo majitele účtu SMSkou/appkou, takže jakási forma slabé předautentizace.
Tomu by odpovídalo, že "trusted" prohlížeč tohle už nedělá.
IMHO tím řešili v loňském roce docela rozšířené útoky.
-
Když tady jsou v podstatě jenom dva OS pro mobily a jeden OS pro PC/NB, tak co by asi tak měla banka dělat?
Tak ono je těch OS mnoho, jenže diskriminace menšin...
Autorizační SMS jsou platformově nezávislé, dokonce je můžete přijmout i na pevné lince. Pořád je tu spousta starších uživatelů, kteří preferují jednoduché mobily bez OS. Je v zájmu prakticky všech, aby starší spoluobčané nemuseli chodit s penězmi platit složenky na poštu, ale zároveň není moudré jim dát chytrý telefon, protože ten je u neznalého uživatele velkým bezpečnostním rizikem.
Zlatá Fio, která nejenže stále podporuje autorizaci pomocí SMS, ale dokonce si lze i zvolit délku autorizačního kódu.
Já předpokládám, že to tam (cca nedávno) přidali proto, aby když se někdo (dictionary) trefí do username, tak aby to hned neotavovalo majitele účtu SMSkou/appkou, takže jakási forma slabé předautentizace.
Dříve bylo normální posílat SMS až nakonec, třeba po zadání platného hesla, takže se nějaké hádání uživatelských jmen nekonalo. Pokud by snad někdo uhodl obojí, byla SMS majiteli v podstatě varováním, že se někdo snaží do jeho účtu dostat a má k tomu jméno i heslo.
Zjevně rovnák na ohýbák..
-
Dříve bylo normální posílat SMS až nakonec, třeba po zadání platného hesla
To by umožnilo hádání hesla. Druhý faktor by se měl vyžadovat bez ohledu na to, zda první faktor byl správně nebo ne.
-
Tak normální je mít na zadání hesla X pokusů. Navíc heslo můžete hádat, až když znáte přihlašovací jméno. A jména hádat nemůžete, protože normální systém vám neřekne, zda je špatně jméno nebo heslo.
-
Omezit zadání hesla na X pokusů není v prostředí internetu tak snadné, když každý pokus může jít od jiného počítače, a kdybyste pokaždé po X pokusech účet zamknul, vytvoříte tím ideální prostředí pro DoS na přihlašování.
Normální systém, který používá dvoufaktorovu autentizaci, vám neřekne ani to, zda je špatně jméno, heslo nebo druhý faktor. Protože kdyby vám to řekl, je obtížnost útoku rovná obtížnosti útoku na heslo + obtížnosti útoku na 2. faktor, zatímco když vám to neřekne, je obtížnost útoku násobkem obtížnosti útoku na heslo a útoku na druhý faktor.
Přihlašovací jméno není tajný údaj, často je to třeba e-mail, který nemusíte hádat. Takže jméno se do ochrany účtu nepočítá.
-
Omezit zadání hesla na X pokusů není v prostředí internetu tak snadné, když každý pokus může jít od jiného počítače, a kdybyste pokaždé po X pokusech účet zamknul, vytvoříte tím ideální prostředí pro DoS na přihlašování.
FIO presne tohle dela - jsem potreboval neco vyridit z telefonu mimo domov (nemam appku, kdyz jedu PC only) a nemohl jsem si vzpomenout na heslo (nemam hesla sdilene online), tak po asi patem pokusu se ucet zablokoval na nejakou dobu.
Takze pokud vite nekoho prihlasovaci login (email), jde mu znacne zneprijemnit zivot.
-
Ve Fio se mě při zřizování IB na uživatelské jméno ptali, tj. mohl jsem si ho zvolit. Pokud si tam dá někdo něco, co ostatní znají, třeba email, znepříjemňuje si život sám.
V jiné bance jsem zase jako jméno dostal nějakou náhodnou kombinaci písmen a čísel. Opět je to něco, co jen tak někdo jiný znát nebude.
-
FIO presne tohle dela - jsem potreboval neco vyridit z telefonu mimo domov (nemam appku, kdyz jedu PC only) a nemohl jsem si vzpomenout na heslo (nemam hesla sdilene online), tak po asi patem pokusu se ucet zablokoval na nejakou dobu.
Takze pokud vite nekoho prihlasovaci login (email), jde mu znacne zneprijemnit zivot.
Zablokoval jste si přístup z jednoho počítače. Z toho bych ještě neusuzoval na to, že útočník z opačného konce Země by vám dokázal stejným způsobem zablokovat přístup. To je právě to, o čem jsem psal – že je potřeba rozlišovat útoky z jednoho zařízení a distribuované útoky.
-
FIO presne tohle dela - jsem potreboval neco vyridit z telefonu mimo domov (nemam appku, kdyz jedu PC only) a nemohl jsem si vzpomenout na heslo (nemam hesla sdilene online), tak po asi patem pokusu se ucet zablokoval na nejakou dobu.
Takze pokud vite nekoho prihlasovaci login (email), jde mu znacne zneprijemnit zivot.
Zablokoval jste si přístup z jednoho počítače. Z toho bych ještě neusuzoval na to, že útočník z opačného konce Země by vám dokázal stejným způsobem zablokovat přístup. To je právě to, o čem jsem psal – že je potřeba rozlišovat útoky z jednoho zařízení a distribuované útoky.
Proc si zas vymyslite?
Blokace je zde na ucet, ne na IP adresu (prave z duvodu ze IP jde snadno menit - kdyz jste utocnik).
-
Přesně tak, blokace je na účet.
-
FIO presne tohle dela - jsem potreboval neco vyridit z telefonu mimo domov (nemam appku, kdyz jedu PC only) a nemohl jsem si vzpomenout na heslo (nemam hesla sdilene online), tak po asi patem pokusu se ucet zablokoval na nejakou dobu.
Takze pokud vite nekoho prihlasovaci login (email), jde mu znacne zneprijemnit zivot.
Zablokoval jste si přístup z jednoho počítače. Z toho bych ještě neusuzoval na to, že útočník z opačného konce Země by vám dokázal stejným způsobem zablokovat přístup. To je právě to, o čem jsem psal – že je potřeba rozlišovat útoky z jednoho zařízení a distribuované útoky.
Proc si zas vymyslite?
Blokace je zde na ucet, ne na IP adresu (prave z duvodu ze IP jde snadno menit - kdyz jste utocnik).
Klasický Jirsák. Tak ho nechte, ať si pindá, na to my jsme zvyklí. ;D
-
Blokace je zde na ucet, ne na IP adresu (prave z duvodu ze IP jde snadno menit - kdyz jste utocnik).
A to jste zjistil z jednoho počítače? Gratuluju, jak se vám to podařilo? Víte o tom, že banka k přihlašování přistupuje jinak, podle toho, odkud se přihlašujete? Že třeba při přihlášení odněkud z Asie po vás bude chtít vyšší stupeň ověření, zatímco když se hlásíte z počítače, odkud už jste se přihlašoval, bude po vás chtít nižší stupeň ověření?
Mimochodem, já jsem si nic nevymyslel. Já jsem napsal, že to tak může být. To vy tvrdíte s jistotou, jak to je – aniž byste měl šanci to ověřit.
-
Blokace je zde na ucet, ne na IP adresu (prave z duvodu ze IP jde snadno menit - kdyz jste utocnik).
A to jste zjistil z jednoho počítače? Gratuluju, jak se vám to podařilo? Víte o tom, že banka k přihlašování přistupuje jinak, podle toho, odkud se přihlašujete? Že třeba při přihlášení odněkud z Asie po vás bude chtít vyšší stupeň ověření, zatímco když se hlásíte z počítače, odkud už jste se přihlašoval, bude po vás chtít nižší stupeň ověření?
Mimochodem, já jsem si nic nevymyslel. Já jsem napsal, že to tak může být. To vy tvrdíte s jistotou, jak to je – aniž byste měl šanci to ověřit.
Jestli neco beres, tak to prestan brat. Jestli nic neberes, tak bys mel zacit.
Jsi zde opakovane upozornovan na to, ze si vymyslis jako male dite a nejsi schopen si to uvedomit.
Zde nema smysl rozvijet zadne co by kdyby a proc a odkud a kdo - protoze situace je velice jednoducha - pristup byl zablokovan cely.
O cemz slusne informovali vlastnika uctu emailem - ve kterem je presne 0% sance, ze by se dalo prihlasit z jine adresy pred uplynutim doby.
Nepotrebuji tedy overovat veci, ktere jsou mi sdeleny takto jasne, cerne na bilem.
Dočasné zablokování přístupu do Internetbankingu Fio banky
Vážená klientko / Vážený kliente,
píšeme Vám, protože jsme zaznamenali větší množství neúspěšných pokusů o přihlášení do Vašeho Internetbankingu.
V případě, že se do svého internetového bankovnictví nepokoušíte přihlásit Vy, neprodleně nás prosím kontaktujte.
Aktuálně máte přístup do internetového bankovnictví z bezpečnostních důvodů dočasně zablokován.
Po vypršení dočasné blokace se můžete pokusit o opětovné přihlášení. Na zadání správného hesla máte pět pokusů, zkontrolujte si prosím:
- zda máte aktivní českou či anglickou verzi klávesnice,
- zda pracujete ve správném režimu psaní velkých/malých písmen (klávesa "Caps Lock"),
- případně jestli máte zapnutou numerickou klávesnici (klávesa "Num Lock").
Pro zadání hesla je také možné použít grafickou klávesnici kliknutím na ikonku klávesnice hned vedle políčka pro zadání hesla.
Pokud jste heslo zcela zapomněli, můžete navštívit jakoukoliv pobočku Fio banky a požádat o vystavení nového hesla.
Přejeme Vám příjemný den.
Váš tým klientské podpory
Fio banka
Další pokus o přihlášení bude možný od:08.01.2023 20:52:10
-
Ohledně té blokace - jde to IMHO udělat i inteligentně - např. dát tři pokusy na napsání hesla. Pokud se člověk přihlásí, tak potvrzovací SMS. Pokud člověk neuspěje, tak poslat na mobil delší potvrzovací SMS, která po zadání umožní dalších X rozumných pokusů (10?). Teprve pak se účet na nějakou dobu blokne.
Tím se znemožní hádání hesla, i se tím odstraní to, že při náhodném překlepu v username se hned pošle SMS pravému uživateli. Zároveň se tím znemožní, aby člověk znající username úmyslně někomu blokoval přihlášení, max ho může otravovat těmi SMS.
-
Nemyslím si, že je rozumné počet pokusů na zadání hesla navyšovat. Umožňujete tak hádání hesla, byť podmíněné. Ze stejného důvodu nemá IB funkcionalitu "Zapomenuté heslo" pro změnu hesla pomocí emailu/SMS/atd. Nepamatujete si heslo? Tak se holt budete muset stavit na pobočce, ono vás to pro příště vyškolí.
Pokud někdo zná vaše uživatelské jméno a chce vám zablokovat přístup zadáním špatného hesla, tak je to stejné, jako když někdo ví kde bydlíte, a strčí vám sirky do zámku... Je to nepříjemné, ale to je asi tak vše.
-
O cemz slusne informovali vlastnika uctu emailem - ve kterem je presne 0% sance, ze by se dalo prihlasit z jine adresy pred uplynutim doby.
Ať hledám jak hledám, tuhle informaci ve vašem komentáři nevidím. A nevidím ji ani ve vaší reakci na můj komentář, kde jsem tvrdil, že to nemusí být tak, jak jste napsal. Stačilo slušně odpověď, že jste to nejdůležitější ve svém prvním komentáři zapomněl napsat a doplnit citaci e-mailu. Místo toho jste mi začal podsouvat něco, co jsem nenapsal.
Jsi zde opakovane upozornovan na to, ze si vymyslis jako male dite a nejsi schopen si to uvedomit.
Vaše opakovaná upozornění jsou celkem k ničemu, když se ukázalo, že ten, kdo si vymýšlí, jste vy. Já jsem napsal, že to nemusí být tak, jak jste to vy popsal. Je to výmysl? Ne, není, opravdu to tak být nemusí a jiné systémy mají omezení hádání hesel implementováno jinak. Za to vy jste napsal, že já tvrdím, že je to implementované jinak. A to není pravda, já jsem nic takového nenapsal. Takže kdo si tu vymýšlí? No vy.
-
Nemyslím si, že je rozumné počet pokusů na zadání hesla navyšovat.
Je to rozumné. Protože když po pár pokusech účet natvrdo zablokujete, je to pro útočníka velice efektivní způsob, jak udělat DoS na vlastníka účtu.
Pokud někdo zná vaše uživatelské jméno a chce vám zablokovat přístup zadáním špatného hesla, tak je to stejné, jako když někdo ví kde bydlíte, a strčí vám sirky do zámku... Je to nepříjemné, ale to je asi tak vše.
Není to jen nepříjemné. Může to znamenat, že něco zaplatíte pozdě a zaplatíte penále. Někdo je zvyklý zamykat platební kartu a odemykat ji jen pro konkrétní platby – takže nezaplatí kartou. A hlavně – tohle není o jednorázovém uzamčení. Útočník vám takhle může účet držet trvale zamknutý. Do té doby, než si změníte přístupové jméno – a to zase bude fungovat jen do té doby, dokud útočník nezjistí nové jméno.
-
O cemz slusne informovali vlastnika uctu emailem - ve kterem je presne 0% sance, ze by se dalo prihlasit z jine adresy pred uplynutim doby.
Ať hledám jak hledám, tuhle informaci ve vašem komentáři nevidím. A nevidím ji ani ve vaší reakci na můj komentář, kde jsem tvrdil, že to nemusí být tak, jak jste napsal. Stačilo slušně odpověď, že jste to nejdůležitější ve svém prvním komentáři zapomněl napsat a doplnit citaci e-mailu. Místo toho jste mi začal podsouvat něco, co jsem nenapsal.
Nepotrebuji fakta a osobni zkusenosti doplnovat dukazy - nejsme na Wikipedii. Napsal jsem jak to bylo a jak to je.
Vy jste ten, co rozviji ruzne teorie ze to tak nemusi byt, protoze rad postujete univerzalni odpovedi ve tvaru nekolika otazek, ktere vam poskytuji zadni vratka na dalsi zbytecne kecy. A tohle jsem rozporoval - ze si vymyslite, protoze zatimco ja ze sve zkusenosti vim jak to bylo, tak vy si muzete jenom vymyslet fantazijni scenare, odhadovat, tipovat, ci aplikovat teorii a buhvi co, ale realne postradate informaci o skutecnem stavu veci a zda se ze nemate ani zadnou konkretni zkusenost, o kterou by jste se podelil. Ale rad se podelite o fabulace na vsechny zpusoby, jen aby rec nestala, vid?
-
Nepamatujete si heslo? Tak se holt budete muset stavit na pobočce, ono vás to pro příště vyškolí.
Třeba v ČSOB se dá některé ověření řešit tím, že automat z banky zavolá na kontaktní telefonní číslo zákazníka a tím dojde k ověření. A samozřejmě obnovení a změnu hesla umí i Smart klíč nebo SMS klíč.
-
Nepotrebuji fakta a osobni zkusenosti doplnovat dukazy - nejsme na Wikipedii.
Pak ovšem vaše komentáře nemají moc velkou hodnotu, protože spousta lidí naštěstí nevěří nepodloženým tvrzením anonymů v diskusi. A někteří si vás už pamatují a vědí, že vašim nepodloženým tvrzením není radno věřit.
Napsal jsem jak to bylo a jak to je.
Ne, napsal jste, jak si myslíte, že to je.
Vy jste ten, co rozviji ruzne teorie ze to tak nemusi byt, protoze rad postujete univerzalni odpovedi ve tvaru nekolika otazek, ktere vam poskytuji zadni vratka na dalsi zbytecne kecy. A tohle jsem rozporoval - ze si vymyslite, protoze zatimco ja ze sve zkusenosti vim jak to bylo, tak vy si muzete jenom vymyslet fantazijni scenare, odhadovat, tipovat, ci aplikovat teorii a buhvi co, ale realne postradate informaci o skutecnem stavu veci a zda se ze nemate ani zadnou konkretni zkusenost, o kterou by jste se podelil. Ale rad se podelite o fabulace na vsechny zpusoby, jen aby rec nestala, vid?
Protože ono to tak být opravdu nemusí. Dokonce i v případě Fio banky to může být jinak u jiných účtů, nebo při přístupu z jiné země, nebo kdyby to chybné zadání hesla bylo z různých sítí.
Váš problém je, že z jednoho velmi omezeného pozorování děláte dalekosáhlé závěry, ke kterým v tom pozorování nemáte žádnou oporu. Když si přečtete ostatní komentáře v diskusi, s praktickými příklady, zjistíte, že banky už řeší bezpečnost dynamicky, tj. v různých situacích budete pozorovat různé chování a různé požadavky. Takže to, co rozporujete u mne, je ve skutečnosti chyba na vaší straně. To vy si vymýšlíte, to vy ignorujete zkušenosti ostatních, to vy jednu svou omezenou zkušenost generalizujete na celý svět.
-
???
Myslím, že RDa to napsal přesně tak, jak to do takovýho krátkýho příspěvku stačí a jasně tam řekl, že vychází z konkrétní zkušenosti. Jestli je to pro někoho kritické, stejně by si to měl ověřit v bance a nespoléhat se na anonymní prohlášení v diskuzi. Mě přesně totéž Česká spořitelna kdysi udělala taky a musel jsem prostě počkat (ale už je to dost dlouho zpátky, takže teď to můžou řešit jinak).
-
Tak dokud nám někdo přímo z banky neřekne, jak to interně funguje (a že neřekne), musíme se spolehnout na své vlastní zkušenosti podložené vlastními pozorováními. Počet pozorování a odpovídající metodika testování, která by uspokojila pana Jirsáka, je zcela jistě na jiné úrovni, než lze střílizlivě očekávat od diskusního fóra.
Je opravdu možné, že se přihlašování pro uživatele třeba z Nigérijské IP bude chovat jinak. To nás ale, jako běžné uživatele místní banky, asi úplně trápit nemusí.
-
Úplně stačí nedělat na základě jednoho pozorování nepodložené závěry, zejména když přispíváte do diskuse, kde jsou uvedena jiná pozorování. No a když už někdo ty nepodložené závěry udělá a jiný upozorní na to, že to tak být nemusí, dá se třeba mlčet a poučit se z toho. Ale vymýšlet si a dělat nepodložené závěry, a když na to někdo upozorní, tvrdit, že si vymýšlí on, to není dobrý způsob diskuse.