Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky
Pobavilo. Na vině jsou spíše samotné prohlížeče a to jak fungují. Banky by mohli provozovat desktopovou aplikaci a splnili by veškeré nároky, ale její instalace je značně nepohodlná, vývoj příliš drahý a ještě by to nemuselo fungovat na všech počítači kvůli potřebě mít HW uložiště klíčů.
HW token jako Yubikey nestačí. Tam můžete mít uložený klíč, kterým budete něco podepisovat, můžete tam mít klíč pro jednorázová hesla. Ale pro bankovní transakce potřebujete, aby kód bl odovzen od čísla účtu (plus případně specifického symbolu), částky, měny případně dalších údajů (variabilní symbol).
Prosím, prosím, méně spekulací. I FIDO2 umožňuje challenge&reponse. Yubikey k tomu má pak appku, která vstup zobrazí. Mícháš dvě věci dohromady, někde potřebuješ mít uložený tajemství (teď se používá zabezpečná enclava uvnitř telefonu), pak aplikaci, která ti zobrazí výzvu a po tvém potvrzení jí skombinuje s tajemstvím a doručí bankce. Ty přepisovací kalkulačky jsou už historie.
Já bych k tomu jen dodal, že banky jsou odpovědné za případné zneužití, takže pokud jim bude stačit pouze jméno+heslo, může se stát, že v tom zahučí neskutečné peníze, tak se snaží. Kupodivu až tohle byl ten hlavní hnací motor, aby banky začaly něco dělat a nedrželi se alibistického "nikomu nesdělujte číslo karty a heslo k účtu, je to vaše vina".
Těch bank, které umožňují více aplikace je pořád dost málo a ještě míň těch, které umožňují je mít i v jiném režimu, než že jedna je aktivní a druhá se musí aktivovat přes tu první, protože notifikace na přihlášení chodí vždy jen na jednu.
Navigace zpět vpřed nefunkční
Které bance to funguje? Prohlížeče dnes neumí ani bezpečně uchovávat session cookies, Google si to řeší hardcodování svých věcí do chromu, banky mají smůlu, tak si sezení ve webovém prohlížeči drží v javascript paměti jako proměnnou. Dopředu/zpět by mohlo fungovat přes history api, nevím, proč to nepoužívají, obnovení stránky to ale zabije snad u všech bank.
Která banka ti umí zrušit předautorizované transakce na kartě? Snad žádná, on jim takové zásahy totiž zakazují podmínky kartových asociací a částečně i zákon o platebním styku. Daný subjekt by musel by na černé listině. Řešením je bohužel zrušit kartu.
Ty obrázky beru jako vtípek, nepamatuji si je a na pobočce s doklady to lze vždy přeskočit.
Poslední příspěvky
