Jste docela odvážní na odborném serveru tvrdit, že používaní bankovníctvi na jednom, opakuji jednom zařízení bezpečnější než kombinace desktopu + ověřovací sms tj dvou koncových zařízení.
Nejde o počet zařízení, ale o počet faktorů. Už to tu několikrát zaznělo, ale holt pro BFU je tohle dost obtížně pochopitelné.
Pokud se faktory sejdou v jednom zařízení, a je jedno zda dva či dvacet je pořád potíž pokud je to jedno zařízení kompromitováno. Pokud se dva faktory sejdou odděleně ve dvou různých zařízenich a pak až uživatel je "spojí" tak je to násobně bezpečnější. Ale to je pro zabedněnce dost těžko pochopitelné. A je mě jedno, že two faktor toto umožnuje, je to zhovadilost.
Zjevně tu máme dva tábory. Jeden tábor neuvádí žádné konkrétní příklady útoků, omezuje se na obecné „když to selže“ a za nejpádnější argument považuje označit ostatní za zabedněnce nebo tvrdit, že blábolí. Tento tábor tvrdí, že nezáleží na počtu a síle faktorů, ale na počtu zařízení.
Pak tu máme druhý tábor, do kterého patří odborníci na bezpečnost, ať už „obecní“ nebo z bank a z orgánů bankovního dohledu. Dále do tohoto tábora patří také diskutující L.. a _Tomáš_ (čímž je nevylučuji z předchozí skupiny odborníků, nevím, zda tam patří nebo ne), do tohoto tábora patřím i já (a nejsem odborník na bezpečnost). Tento tábor tvrdí, že záleží na počtu nezávislých faktorů a jejich síle a nezáleží na počtu zařízení. (Například proto, že není jasné, co je vlastně zařízení.)
Každý si může vybrat, kterému táboru bude fandit.
Jako pomůcka může sloužit takový drobný příklad. Zadáte příkaz k úhradě na počítači, a ten příkaz na počítači potvrdíte 4 hesly: zadáte své heslo k bankovnictví; zadáte jednorázové heslo, které vám přijde SMS (přijde identifikátor platby a jednorázové heslo, nebude tam číslo účtu nebo částka); zadáte jednorázové heslo, které vám nadiktuje automat, který vám zavolá na jiné číslo (které máte v jiném mobilu) – opět nadiktuje jen identifikátor platby a jednorázové heslo; a zadáte další heslo ze seznamu jednorázových hesel, který jste dostal vytištěný při poslední návštěvě banky a postupně si z nich hesla odškrtáváte. Takže tam zadáte čtyři různá hesla ze čtyřech různých zařízení – a stejně vám to bude houby platné, protože útočník, který ovládá váš počítač, přesměruje vaši platbu na svůj účet. Prostě jen vymění číslo účtu, které se odešle do banky.
Poslední příspěvky
