Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: karel 12. 12. 2016, 10:31:10
-
Prosim opravte mne v uvaze o bepzecnosti pristupu do internetoveho bankovnictvi.
Z principu muze byt muj pocitac nakazen malwarem a tedy ovladan treti stranou bez toho abych to ja ci antivirus vedel (Zero day). Utocnik si tedy s mym pocitacem v zasade muse delat co chce tzn. treba:
-podvrhnout IP adresu webu me banky (zapis do host) -takze i pri kontrole URL je vse v poradku, ikdyz misto na web banky pristupuji na webovy server utocnika
-certifikat si pro svuj web muze vystavit sam a do meho operacniho systemu dat svou certifikacni autoritu jako duveryhodnou
Takze ja pri kontrole pristupu na korektni URL pres validni HTPPS jsem spokojeny, presto ze pristupuji na web utocnika?
Je ma uvaha spravna ?
-
Vicemene z podobnych duvodu se proto pouziva dvoufaktorova autorizace u plateb a casto i prihlasovani.
-
Z principu veci neexistuje bezpecne misto na zemi - jaderny vybuch, zaplavy, zemetreseni, vybuch supernovy, cerna dira - bezpecne misto je iluze.
Obdobne je to v IT - marketing nuti neustale vylepsovat sw - aby se prodavalo.
I kdyby existoval sw, na kterem si dali opravdu zalezet, necpali tam zbytecne cool veci - stejne bude obsahovat kritickou chybu - jen ji najit.
Ted si predstavte OS a prohlizec, ktery neustale meni, zaplatuje, meni a zaplatuje -s vysokou pravdepodobnost neobsahuje chybu, ale chyby.
Dvou faktorova autentizace je fajn, pokud nemate smartphone - ten ma obvykle stovky neopravenych chyb a vypouzivate k pristupu na net stejnou sit s PC. Pokud je PC neduveryhodne, tak smartphone je uz tim tuplem neduveryhodny.
Nejaky certifikat, je to posledni posledni v retezci chyb.
-
Bezpečnost je vždycky vyvážením rizika a nákladů (nejen finančních). Existují třeba offline zařízení pro generování kódů pro dvoufaktor nebo je možné tuhle úlohu přesunout do čipové karty připojené k počítači skrz čtečku s vlastní klávesnicí. Tohle úplně odbourává problém chytrého telefonu připojeného k internetu (nehledě na možnost jednoduchého odposlechu autorizačních SMS).
Ovšem uživatelé pokročilejší metody ochrany nechtějí. Jedna česká banka před lety tuhle formu autentizace kartou zavedla povinně a klienti začali hromadně utíkat, protože „to je složité a jinde to nemusí být“. Je ale možné, že to banky stále nabízejí, zeptal bych se na to.
-
...
Pokud pouzijes sms a (idealne uplne blbej) mobil, tak je pravdepodobnost pomerne nizka. Predpoklada samo, ze si tu SMS prectes a prekontrolujes aspon castku a cast cisla uctu. Magori ktery si do mobilu nainstalujou "tu uzasnou appku co z ni nemusim opisovat SMS" zbouraj i ten posledni kousek bezpecnosti.
BTW: Az ti bude browser nadavat, ze certifikat je expirovanej nebo revokovanej, a ty zavolas do banky, co ze se jako deje, tak ti se 100% jistotou reknou, ze to nemas resit.
-
Ne vždy. Minimálně mojí ženě se to před lety stalo v GE a nadiktovali jí okamžitě otisk klíče :-D.
-
neni bezpecne, cekam kdy redirect nebudou delat pres hosts ktery antiviry hlidaj proti zmene ale pres route
zakladem jsou 2 nezavisle kanaly, sms nejlepe na hloupy telefon
-
Vaše úvaha je správná. Ale právě proto se online bankovnictví zabezpečuje dalším kanálem nezávislým na počítači – alespoň zasláním nešifrované SMS s platebními údaji a potvrzovacím kódem, v lepším případě šifrovanou SMS nebo speciálním autentizačním zařízením. Samozřejmě to závisí na tom, že před tím, než ten ověřovací kód opíšete, zkontrolujete platební údaje – alespoň číslo účtu a částku. Útočník pak sice může na napadeném počítači platební údaje nepozorovaně změnit, ale vy ty změněné údaje uvidíte v té potvrzovací SMS a poznáte tak, že je něco špatně a platbu nemáte autorizovat.
Mimochodem, Raiffesienbank posílá v té potvrzovací SMS i začátek otisku klíče serveru, se kterým právě komunikujete, takže podvržené HTTPS můžete zjistit i podle toho. Akorát je škoda, že to nikde nepropagují a bankéř na pobočce ani nevěděl, co ten kód v SMS znamená, musel jsem si to zjistit sám.
-
dekuji vsem, bohuzel za potvrzenim ze dany scenar je mozny.... dvoufaktorovou autorizaci formou zabezpecen SMS mam , ale prijdu o ni, protoze mobilni operatori uz nemaji sim kartu ze SIM toolkitem.... a mne byse hodil vymenit operator. jinak dvoufaktorova autorizace kdyz mam minimalne email ucet v pocitaci a na mobilu stejny je problem. Jedinym bezpecnym resenim je tedy jak zminujete druhy hloupy mobil ci nejaky "kalkutor od banky"....
-
Další cestou může být dvoufaktorové přihlašování přes token, údajně to u nás už podporuje Reiffeisen. Jakékoliv čistě mobilní bankovnictví je podle mne sebevražda.
-
Mimochodem, Raiffesienbank
Až na to, že jejich banking se vůbec nezměnil od dob E-banky http://www.abclinuxu.cz/clanky/ruzne/elektronicke-bankovnictvi-ebanka (http://www.abclinuxu.cz/clanky/ruzne/elektronicke-bankovnictvi-ebanka)
-
Mimochodem, Raiffesienbank
Až na to, že jejich banking se vůbec nezměnil od dob E-banky http://www.abclinuxu.cz/clanky/ruzne/elektronicke-bankovnictvi-ebanka (http://www.abclinuxu.cz/clanky/ruzne/elektronicke-bankovnictvi-ebanka)
Což není na škodu, alespoň není responzivní nebo jinak snadno nepoužitelný.
Zpočátku mimochodem se ani jinak než pomocí hardwarové "kalkulačky" přihlásit nedalo.
Dneska myslím že aplikace na sim kartě chráněná 6-ti místným pinem nahradí.
A myslím že i jejich aplikace pro iOS je bezpečná.
-
dvoufaktorovou autorizaci formou zabezpecen SMS mam , ale prijdu o ni, protoze mobilni operatori uz nemaji sim kartu ze SIM toolkitem […] jinak dvoufaktorova autorizace kdyz mam minimalne email ucet v pocitaci a na mobilu stejny je problem.
I nešifrovaná SMS bezpečnost podstatně zvyšuje. Mobilní telefony mají podstatně lepší bezpečnostní model aplikací, než desktopové operační systémy (resp. mají vůbec nějaký, na rozdíl od počítačů). Aby někdo mohl upravit tu potvrzovací SMS v mobilu, musel by zneužít nějakou chybu přímo v operačním systému (ano, existují takové chyby), zatímco v PC stačí, aby si uživatel spustil nějaký záškodnický program, není k tomu potřeba chyba v systému.
Jedinym bezpecnym resenim je tedy jak zminujete druhy hloupy mobil ci nejaky "kalkutor od banky"....
RB stále možnost používat „kalkulátor“ nabízí: Osobní elektronický klíč (https://www.rb.cz/informacni-servis/doplnkove-informace-k-produktum/bezpecne-bankovnictvi/bezpecnost-internetoveho-bankovnictvi).
-
je, len nesmies pristupovat z androidu ;)
-
Aby někdo mohl upravit tu potvrzovací SMS v mobilu, musel by zneužít nějakou chybu přímo v operačním systému (ano, existují takové chyby)
Nebo prostě odsniffnout ze vzduchu a cracknout pomocí volně dostupných toolů, že.
Ale samozřejmě, je to mnohem, mnohem lepší než nic.
-
... nemaji sim kartu ze SIM toolkitem....
A to jako nac? SMS netreba sifrovat, podstatny je to, ze jde jinym kanalem na jiny zarizeni.
Až na to, že jejich banking se vůbec nezměnil od dob E-banky
Ale jo, uz uspesne zkurvili login a session maji kvuli tomu v adrese.
-
... nemaji sim kartu ze SIM toolkitem....
A to jako nac? SMS netreba sifrovat, podstatny je to, ze jde jinym kanalem na jiny zarizeni.
Tu SMS může někdo cestou odsniffnout.
-
... nemaji sim kartu ze SIM toolkitem....
A to jako nac? SMS netreba sifrovat, podstatny je to, ze jde jinym kanalem na jiny zarizeni.
To je jen obrana proti napadení PC. Existují ale i jiné vektory útoku – napadení mobilu nebo zachycení SMS v síti operátora nebo „ze vzduchu“. Proti oběma těmto vektorům brání šifrované SMS, kterou dešifruje applet na SIM kartě. Zrovna jako ochrana proti chybám v softwaru chytrých telefonů by to byla velmi dobrá volba – pokud by SIM toolkit na těchto telefonech fungoval rozumně a ne hůř, než na hloupých mobilech.
-
Tu SMS může někdo cestou odsniffnout.
Mno to muze ... a pak si jeste musi telepaticky precist tvuj pin.
Takze tech veci ktery musi aby uspesne napad tvoji transakci je docela dost na to, aby pravdepodobnost byla miziva.
Co by uzitecny byt mohlo by byla zmena ty sms, coz by se ovsem delalo jeste hur.
-
Tu SMS může někdo cestou odsniffnout.
Mno to muze ... a pak si jeste musi telepaticky precist tvuj pin.
Bavíme se o případu, kdy útoční ovládá uživatelův webový prohlížeč. Odposlechnout PIN zadaný do formuláře je jednodušší, než podstrčit do formuláře jiné číslo účtu tak, aby se o tom uživatel nedozvěděl.
Ano, i nešifrovaná SMS je jako druhý kanál výrazné zvýšení bezpečnosti a webové bankovnictví bez zabezpečení druhým kanálem bych nechtěl. Ale když používáte nešifrované SMS, jediné, co brání třeba mobilnímu operátorovi provést bankovní převod vaším jménem, je důvěryhodný prohlížeč a důvěryhodný certifikát serveru (přičemž zrovna vy pokud vím nedůvěřujete žádnému certifikátu). A když vám svůj prohlížeč vnucuje Seznam, proč by to nemohl dělat i O2, T-Mobile nebo Vodafone?
-
A když vám svůj prohlížeč vnucuje Seznam, proč by to nemohl dělat i O2, T-Mobile nebo Vodafone?
Nu a na mobilech se tomu říká nativní mobilní aplikace...
-
tohle je taky zneklidnujici, kdo si ma furt u limitu karty davat 0 na internetove platby kdyz sem tam potrebuje platit ...
https://www.root.cz/zpravicky/zlodejum-staci-par-sekund-aby-uhadli-udaje-na-karte-visa/
-
Ale když používáte nešifrované SMS, jediné, co brání třeba mobilnímu operátorovi
Podle mě větší riziko než nějaký zaměstnanec operátora je, že prostě útočník přijde dostatečně blízko, aby slyšel downlink BTS, na které je můj mobil přihlášený. Někteří operátoři už se snaží zapínat A5/3 (pokud to váš mobil podporuje, což bohužel rozhodně neplatí pro všechny mobily), ale minimálně nedávno bylo šifrování GSM dost bída.
-
prostě útočník přijde dostatečně blízko, aby slyšel downlink BTS, na které je můj mobil přihlášený
Útočníkovi ale nestačí přečíst si SMS pro vámi zadanou transakci. Útočník potřebuje nejprve váš příkaz k úhradě změnit, a teprve pak potřebuje získat potvrzovací kód pro tu svou zfalšovanou transakci.
-
prostě útočník přijde dostatečně blízko, aby slyšel downlink BTS, na které je můj mobil přihlášený
Útočníkovi ale nestačí přečíst si SMS pro vámi zadanou transakci. Útočník potřebuje nejprve váš příkaz k úhradě změnit, a teprve pak potřebuje získat potvrzovací kód pro tu svou zfalšovanou transakci.
Měl jsem za to, že mluvíme o situaci, kdy útočník naboural počítač, a tudíž zná heslo do internetbankingu a příkaz si tak může zadat libovolný.
Jediné, co oběti v ten okamžik může pomoct, je všimnout si, že jí přišla SMS s nějakou divnou transakcí a okamžitě kontaktovat banku ať se to pokusí ještě zastavit.
-
-podvrhnout IP adresu webu me banky (zapis do host) -takze i pri kontrole URL je vse v poradku, ikdyz misto na web banky pristupuji na webovy server utocnika
-certifikat si pro svuj web muze vystavit sam a do meho operacniho systemu dat svou certifikacni autoritu jako duveryhodnou
Takze ja pri kontrole pristupu na korektni URL pres validni HTPPS jsem spokojeny, presto ze pristupuji na web utocnika?
Tohle je zbytečně složitá cesta. Mnohem jednodušší spočívá v MitB, tedy instalaci zlomyslného rozšíření typu Adblock Super (https://www.root.cz/clanky/man-in-the-browser-aneb-jak-jsem-si-nechal-infikovat-prohlizec/), kterému dá uživatel v dobré víře oprávnění číst a měnit data na všech navštívených webech. Pak uživatel otevře adresu banky, načte se mu ze správné URL se správným certifikátem internetové bankovnictví, jen po přihlášení rozšíření jednak odešle přihlašovací údaje útočníkovi, jednak zobrazí autenticky vypadající výzvu bankovní instituce k instalaci speciální bankovní aplikace pro dvoufaktorovou autentizaci. Ještě nejlépe s výhružkou, že bez takovéto aplikace se už příště nepřihlásí. Uživatel si tedy nainstaluje aplikaci, jejímž hlavním smyslem je přeposílat autentizační SMSky útočníkovi.
Takovýto útok je možné provádět plošně a dlouhodobě, nejlépe tak, že zmíněné zlomyslné rozšíření bude plnit svůj původní účel a stane se mezi uživateli oblíbené. Teprve po analýze je možné injektovat cílené útoky na jednotlivé bankovní instituce.
-
Tohle je zbytečně složitá cesta. Mnohem jednodušší spočívá v MitB, tedy instalaci zlomyslného rozšíření typu Adblock Super (https://www.root.cz/clanky/man-in-the-browser-aneb-jak-jsem-si-nechal-infikovat-prohlizec/), kterému dá uživatel v dobré víře oprávnění číst a měnit data na všech navštívených webech. Pak uživatel otevře adresu banky, načte se mu ze správné URL se správným certifikátem internetové bankovnictví, jen po přihlášení rozšíření jednak odešle přihlašovací údaje útočníkovi, jednak zobrazí autenticky vypadající výzvu bankovní instituce k instalaci speciální bankovní aplikace pro dvoufaktorovou autentizaci. Ještě nejlépe s výhružkou, že bez takovéto aplikace se už příště nepřihlásí. Uživatel si tedy nainstaluje aplikaci, jejímž hlavním smyslem je přeposílat autentizační SMSky útočníkovi.
Takovýto útok je možné provádět plošně a dlouhodobě, nejlépe tak, že zmíněné zlomyslné rozšíření bude plnit svůj původní účel a stane se mezi uživateli oblíbené. Teprve po analýze je možné injektovat cílené útoky na jednotlivé bankovní instituce.
To ale stále z velké míry předpokládá jedno fyzické zařízení (třeba mobil). Pokud se použijí 2 nezávislá fyzická zařízení, je ovládnutí mnohem složitější. A i pokud se útočníkovi podaří ovládnout (na dálku) obě, stále je tam ten ruční přenos dat mezi nimi, který by při elementární kontrole měl útočníka odhalit.
-
Další cestou může být dvoufaktorové přihlašování přes token, údajně to u nás už podporuje Reiffeisen.
Hmm, opravte mne někdo jestli se pletu, ale potenciální problém s použitím tokenu je to, že na něm není vidět jakou transakci povoluje/potvrzuje. V hypotetickém případě tak malware provede mitm a předhodí tokenu pro podepsání něco jiného než si uživatel "odkliknul" na webu(tj, místo požadovaného zaplacení faktury z eshopu, vám přesunou všechny peníze jinam).
Naproti tomu v SMS je napsáno kolik a komu se má poslat. Ale zas to předpokládá že nemáte ten samý malware i v mobilu, to pak samozřejmně se nedá spolehnout ani na SMS.
Z mého pohledu je tak SMS o trošičku(ale ne velkou) lepší, protože je potřeba aby se mallware dostal na oba stroje.
Ale ve výsledku, pokud se na to nepoužívá "dumbfone" je to skoro jedno.
-
Hmm, opravte mne někdo jestli se pletu, ale potenciální problém s použitím tokenu je to, že na něm není vidět jakou transakci povoluje/potvrzuje. V hypotetickém případě tak malware provede mitm a předhodí tokenu pro podepsání něco jiného než si uživatel "odkliknul" na webu(tj, místo požadovaného zaplacení faktury z eshopu, vám přesunou všechny peníze jinam).
Chapu, kam tim miris, bohuzel ta myslenka ma zasadni nedostatek. Token je offline a dost hloupe zarizeni (na urovni obycejne kalkulacky). Pro vstup (PIN) generuje hash (jednorazovy kod) a tento kod musis rucne prepsat do bankovnictvi.
Pripadny utocnik i kdyby vygeneroval transakci, musel by uhadnout kod ktery server prijme a ten bez znalosti pinu a pouzite hashovaci funkce neuhadne.
-
Hmm, opravte mne někdo jestli se pletu, ale potenciální problém s použitím tokenu je to, že na něm není vidět jakou transakci povoluje/potvrzuje. V hypotetickém případě tak malware provede mitm a předhodí tokenu pro podepsání něco jiného než si uživatel "odkliknul" na webu(tj, místo požadovaného zaplacení faktury z eshopu, vám přesunou všechny peníze jinam).
Chapu, kam tim miris, bohuzel ta myslenka ma zasadni nedostatek. Token je offline a dost hloupe zarizeni (na urovni obycejne kalkulacky). Pro vstup (PIN) generuje hash (jednorazovy kod) a tento kod musis rucne prepsat do bankovnictvi.
Pripadny utocnik i kdyby vygeneroval transakci, musel by uhadnout kod ktery server prijme a ten bez znalosti pinu a pouzite hashovaci funkce neuhadne.
Pokud se pamatuji dobře, token v eBance byl generován z údajů o transakci (na "kalkulačce" se musela zadat částka, číslo účtu atd.).
-
Další cestou může být dvoufaktorové přihlašování přes token, údajně to u nás už podporuje Reiffeisen.
Hmm, opravte mne někdo jestli se pletu, ale potenciální problém s použitím tokenu je to, že na něm není vidět jakou transakci povoluje/potvrzuje.
Pletete se. Ten "token" od RB vypadá jako kalkulačka, vy tam zadáte číslo svého účtu, číslo protiúčtu, částku, měnu a specifický symbol, token k tomu přidá aktuální čas a z toho vygeneruje jednorázový kód, který zobrazí a vy ho přepíšete do online bankovnictví. Nevýhoda je, že token musíte mít u sebe a musíte tam všechny ty údaje zadat. Výhoda je, že nehrozí, že někdo odchytí SMS po cestě (což ještě řeší šifrovaná SMS), a také nehrozí, že ty platební údaje ze SMS nezkontrolujete. Je to tedy bezpečnější než SMS.
-
Pletete se. Ten "token" od RB vypadá jako kalkulačka, vy tam zadáte číslo svého účtu, číslo protiúčtu, částku, měnu a specifický symbol, token k tomu přidá aktuální čas a z toho vygeneruje jednorázový kód, který zobrazí a vy ho přepíšete do online bankovnictví. Nevýhoda je, že token musíte mít u sebe a musíte tam všechny ty údaje zadat. Výhoda je, že nehrozí, že někdo odchytí SMS po cestě (což ještě řeší šifrovaná SMS), a také nehrozí, že ty platební údaje ze SMS nezkontrolujete. Je to tedy bezpečnější než SMS.
Já jsem se zatím setkal jen s klasickými čipovými kartami a generátory číselných kódů jako RSA Secur ID.
Tohle vypadá jako věc, hodna prozkoumání.
Velmi děkuji za info.
-
Chapu, kam tim miris, bohuzel ta myslenka ma zasadni nedostatek. Token je offline a dost hloupe zarizeni (na urovni obycejne kalkulacky). Pro vstup (PIN) generuje hash (jednorazovy kod) a tento kod musis rucne prepsat do bankovnictvi.
Pripadny utocnik i kdyby vygeneroval transakci, musel by uhadnout kod ktery server prijme a ten bez znalosti pinu a pouzite hashovaci funkce neuhadne.
Mno nevim jestli ti úplně rozumím ale takto jak to popisujes jsem si to představoval původně než mně tu pánové opravili.
tj:
Zadám pin, vygeneruje se nějaké jednorázové heslo které se zada do web formulare. Tam to prevezme malware(v prohlížeči/PC), a misto transakce kterou mi ukazuje odesle transakci podvodnou. A je vymalováno.
(To je v podstatě stejné jako při použití SMS , tam ale musí být mallware jak na PC, tak na mobilu, což je o fous těžší a tudíž i o fous bezpečnější)
Alternativně s tokenem - ala čipová karta, mallware(v prohlížeči/PC) sice zobrazuje co uzivatel zadal ale pri odeslani k podpisu do tokenu/karty předhodí podvodnou transakci, to už uživatel nikde nemůže vidět protože ten token/čipová karta nemá žádný displej, takže jen zadá pin a tím to podpíše. Následně malware dokončí falešnou transakci. A je vymalováno.
Pokud jde ale o situaci tak jak ji popsali Filip Jirsák a Pako, kde jde o token v podobě extra krabičky s displejem/klávesnicí takže uživatel nezávisle na potenciálně zavirovaném PC vidí a/nebo zadává údaje o transakci. A z toho se teprve generuje jednorázový kód. Tak je to úpně jiná situace, a něco takového považuju za mnohem bezpečnější než SMS.
Možná bude čas na změnu banky :) , nějaké další typy kromně RB a eBank?
-
Chapu, kam tim miris, bohuzel ta myslenka ma zasadni nedostatek. Token je offline a dost hloupe zarizeni (na urovni obycejne kalkulacky). Pro vstup (PIN) generuje hash (jednorazovy kod) a tento kod musis rucne prepsat do bankovnictvi.
Pripadny utocnik i kdyby vygeneroval transakci, musel by uhadnout kod ktery server prijme a ten bez znalosti pinu a pouzite hashovaci funkce neuhadne.
Mno nevim jestli ti úplně rozumím ale takto jak to popisujes jsem si to představoval původně než mně tu pánové opravili.
tj:
Zadám pin, vygeneruje se nějaké jednorázové heslo které se zada do web formulare. Tam to prevezme malware(v prohlížeči/PC), a misto transakce kterou mi ukazuje odesle transakci podvodnou. A je vymalováno.
(To je v podstatě stejné jako při použití SMS , tam ale musí být mallware jak na PC, tak na mobilu, což je o fous těžší a tudíž i o fous bezpečnější)
Alternativně s tokenem - ala čipová karta, mallware(v prohlížeči/PC) sice zobrazuje co uzivatel zadal ale pri odeslani k podpisu do tokenu/karty předhodí podvodnou transakci, to už uživatel nikde nemůže vidět protože ten token/čipová karta nemá žádný displej, takže jen zadá pin a tím to podpíše. Následně malware dokončí falešnou transakci. A je vymalováno.
Pokud jde ale o situaci tak jak ji popsali Filip Jirsák a Pako, kde jde o token v podobě extra krabičky s displejem/klávesnicí takže uživatel nezávisle na potenciálně zavirovaném PC vidí a/nebo zadává údaje o transakci. A z toho se teprve generuje jednorázový kód. Tak je to úpně jiná situace, a něco takového považuju za mnohem bezpečnější než SMS.
Možná bude čas na změnu banky :) , nějaké další typy kromně RB a eBank?
Slamník. A jesli už ho máš plnej, můžeš si to schovat do mýho :D
-
eBanka = RB (eBanka byla koupena RB).
-
Pokud jde ale o situaci tak jak ji popsali Filip Jirsák a Pako, kde jde o token v podobě extra krabičky s displejem/klávesnicí takže uživatel nezávisle na potenciálně zavirovaném PC vidí a/nebo zadává údaje o transakci. A z toho se teprve generuje jednorázový kód. Tak je to úpně jiná situace, a něco takového považuju za mnohem bezpečnější než SMS.
No, bezpečné to sice je, ale na používání je to dost pruda, takže to jsou ochotní používat jen opravdoví paranoici a AFAIK takový kalkulátor nabízí jen ta RB která to zdědila od eBanky.
Ještě tu nepadl mobilní klíč. Je to mobilní aplikace, funguje podobně jako ten zmiňovaný kalkulátor, jen se do něj a z něj údaje nemusí přepisovat, protože je z banky dostane/odešle podepsané zabezpečeným kanálem. Takže stačí zkontrolovat že sedí a kliknutím potvrdit. Je to docela pohodlné, dokonce pohodlnější, než přepisování kódů ze SMS (je potřeba jen zadat PIN do mobilní aplikace). A bezpečnost je slušná - informace putují zabezpečeně a je to nezávislý kanál. Prakticky jediné slabší místo je v OS mobilu - pokud by v něm byla chyba a nějaký mallware dokázal překonat zabezpečení oddělení aplikací.
-
Je to sice chvályhodný, že se zamýšlíte nad zabezpečením bankovnictví, ale trochu mi to přijde jako cezení komára. Ten samý problém ("jak bezpečně autorizovat operaci") totiž existuje všudemožně jinde, např. u elektronického podpisu, pomocí kterýho můžu nejenom disponovat penězmi na bankovním účtu, ale udělat jakýkoliv právní úkon. Např. prodat barák. A "bezpečně autorizovat operaci" u něj prakticky nejde, protože typicky podepisuju třeba PDFko, který dost těžko můžu bajt po bajtu opsat do offline autentifikátoru, že :)
...a pokud vás uklidňuje, že žádný el. podpis nemáte, takže to nemusíte řešit, tak vězte, že k jeho založení stačí dva doklady totožnosti. Čili stačí ztratit peněženku, kde mám občanku a řidičák.
Let paranoia begin!
-
Jistě, paranoia je jeden z důvodů proč o tom přemýšlet :)
Já ale nad tím přemýšlím spíše pro zhodnocení poměru cena/výkon. Přeci jen je fyzický "token" pro používání trochu nepohodlný. A pokud jeho používání není výrazným přínosem k zabezpečení - v porovnání s ověřením přes SMS které mám teď. Tak není důvod na něj přecházet.
-
Ještě tu nepadl mobilní klíč.
To jsou ty šifrované SMS, o kterých tu byla řeč. Bezpečnost je slušná, problém je v tom, že to využívá technologii SIM Toolkit, se kterou se chytré telefony moc nekamarádí (sice to nějak funguje, ale obvykle hůř a pomaleji, než na starém hloupém telefonu), a hlavně to přestávají podporovat operátoři (celý dotaz začal právě tím, že tazatel bude mít SIM bez SIM Toolkitu).
-
Je to sice chvályhodný, že se zamýšlíte nad zabezpečením bankovnictví, ale trochu mi to přijde jako cezení komára. Ten samý problém ("jak bezpečně autorizovat operaci") totiž existuje všudemožně jinde, např. u elektronického podpisu, pomocí kterýho můžu nejenom disponovat penězmi na bankovním účtu, ale udělat jakýkoliv právní úkon. Např. prodat barák. A "bezpečně autorizovat operaci" u něj prakticky nejde, protože typicky podepisuju třeba PDFko, který dost těžko můžu bajt po bajtu opsat do offline autentifikátoru, že :)
Elektronický podpis můžu dělat na zařízení, jaké si zvolím, a klidně to zařízení může být trvale off-line. On-line bankovnictví můžu dělat jen s prostředky, které mi nabídne banka - a z definice to musím dělat primárně na zařízení, které je on-line.
-
Elektronický podpis můžu dělat na zařízení, jaké si zvolím, a klidně to zařízení může být trvale off-line.
Nerealny scenar. Kolik lidi ma specialni dedikovany pocitac jenom na el. podpis, zamceny v trezoru? Navic, ted si nejsem uplne jisty, jestli nahodou neexistuji aplikace, ktere vyzaduji online potvrzeni casu podpisu.
Krom toho, pointa je v tom, ze el. podpis na moje jmeno si nekdo muze zaridit pomerne snadno. Staci mu k tomu ty zminene dva doklady totoznosti. A pak muze podepisovat mym jmenem jak divej.
-
Ještě tu nepadl mobilní klíč.
To jsou ty šifrované SMS, o kterých tu byla řeč. Bezpečnost je slušná, problém je v tom, že to využívá technologii SIM Toolkit, se kterou se chytré telefony moc nekamarádí (sice to nějak funguje, ale obvykle hůř a pomaleji, než na starém hloupém telefonu), a hlavně to přestávají podporovat operátoři (celý dotaz začal právě tím, že tazatel bude mít SIM bez SIM Toolkitu).
Čím jsou podložené tyto informace? Já používám šifrované SMS přes SIM toolkit už hodně dlouho a problém jsem nikdy neměl žádný, ať už u starých telefonů (používal jsem různé Nokia - 3210, 6210, 6310i, ...) nebo u novějších telefonů s Androidem. SIM jsem taky vystřídal několik (pokaždé s nutností přeregistrování u RB) a všechny (včetně aktuální LTE SIM od O2) fungovaly naprosto bez potíží. Který operátor dodává SIM bez SIM toolkitu?
-
On-line bankovnictví můžu dělat jen s prostředky, které mi nabídne banka - a z definice to musím dělat primárně na zařízení, které je on-line.
Co to je za nesmyslnou definici? Offline OTP kalkulaček přeci existuje spousta!
-
Co to je za nesmyslnou definici?
Co se vám nezdá na definici, že „online bankovnictví“ je online?
Offline OTP kalkulaček přeci existuje spousta!
Jenže ty offline OTP „kalkulačky“ nezadávají příkaz k úhradě, pouze generují bezpečnostní kód. Příkaz k úhradě zadáváte online přes internetové bankovnictví.
-
Čím jsou podložené tyto informace? Já používám šifrované SMS přes SIM toolkit už hodně dlouho a problém jsem nikdy neměl žádný, ať už u starých telefonů (používal jsem různé Nokia - 3210, 6210, 6310i, ...) nebo u novějších telefonů s Androidem. SIM jsem taky vystřídal několik (pokaždé s nutností přeregistrování u RB) a všechny (včetně aktuální LTE SIM od O2) fungovaly naprosto bez potíží.
Já jsem s tím měl na různých telefonech s Androidem problémy opakovaně, a v bance mi říkali, že nejsem sám.
Který operátor dodává SIM bez SIM toolkitu?
Kvůli tomu vznikl tenhle dotaz:
dvoufaktorovou autorizaci formou zabezpecen SMS mam , ale prijdu o ni, protoze mobilni operatori uz nemaji sim kartu ze SIM toolkitem
-
Navic, ted si nejsem uplne jisty, jestli nahodou neexistuji aplikace, ktere vyzaduji online potvrzeni casu podpisu.
To je nesmysl, to by musel potvrzovat nějaký notář. K elektronickému podpisu s připojuje časové razítko, ale to vždycky říká, že daný dokument existoval nejpozději v okamžiku přidání razítka – vydavatel časového razítka nemá jak zjistit, jak dlouho před žádostí o razítko dokument vznikl (přičemž „dokumentem“ je v tomto případě elektronicky podepsaný dokument).
-
To je nesmysl, to by musel potvrzovat nějaký notář. K elektronickému podpisu s připojuje časové razítko, ale to vždycky říká, že daný dokument existoval nejpozději v okamžiku přidání razítka – vydavatel časového razítka nemá jak zjistit, jak dlouho před žádostí o razítko dokument vznikl (přičemž „dokumentem“ je v tomto případě elektronicky podepsaný dokument).
Ano, napsal jsem to nepřesně. Nepotvrzuje se čas podpisu, ale potvrzuje se, že daný dokument (např. podepsaná listina) v daný čas existovala. Navíc se potvrzuje jenom hash, který se dá přinejhorším na to offline zařízení i ručně opsat. Takže to byl kompletně špatný příklad.
Každopádně ale existují softwary, které mají proces podepisování zabudovaný přímo v sobě a dostat z nich ten dokument pro offline podepsání nepodporují. Protože offline počítač dedikovaný jenom pro podepisování prostě nikdo nemá.