Poslední příspěvky

1

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od mhepp kdy Dnes v 18:03:51 »

Jen k věci... Prošel jsem si web a nápovědu AirBank a vypadá to, že by bankovnictví mohlo zvládnout vše, co potřebuji a tak, jak potřebuji

Ještě to padlo Fio. To umožňuje demoúčet a vyzkoušení bankovnictví. Super, to zkusím později.

S tím agresivním odhlašovaním je to všude podobné. Rozumějte nahovno.

2

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od martyd420 kdy Dnes v 17:40:14 »

Prohlížeče dnes neumí ani bezpečně uchovávat session cookies, Google si to řeší hardcodování svých věcí do chromu, banky mají smůlu, tak si sezení ve webovém prohlížeči drží v javascript paměti jako proměnnou.

Tohle by mě zajímalo btw. Já žiju ve světě, kde session cookie uměla zmizet se zavřením tabu už před více než 15 lety. Jak se to stane v dnešní době, že se o session má starat javascript? Sleduju spíš opačný trend - session (a jiné důležité) cookies mají httpOnly flag a nejsou javascriptu z bezpečnostních důvodů vůbec dostupné.
Session cookie tady na rootu dokonce umí zmizet v průběhu psaní komentáře

// edit: Kouknul jsem na AirBank a potvrzuji - session cookie je httponly.

3

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od mhepp kdy Dnes v 17:20:55 »

Jen mě trochu zarazilo - teď nezávisle na KB+, jak jste psal, že mobil není bezpečný, můžete ho ztratit atp. Mě to naopak s tím sandboxováním aplikací, vestavěnou biometrií atp. přijde out-of-box výrazně bezpečnější než standardní PC třeba s certifikátem v souboru (jak to kdysi bývalo). A s tím ztracením, řekl bych že i kdybyste to řešil jen přes web a telefonem jen potvrzoval (takhle to preferují třeba mí rodiče), tak většina bank vám umožní nainstalovat a povolit tu ověřovací appku na víc zařízení - může to být třeba tablet, starší mobil v šuplíku (pokud nemá úplně nějaký prehistorický OS).
Takže nějaká forma zálohy, aby člověk při případné ztrátě nebo závadě toho primárního mobilu nemusel hned na pobočku, je také možná. Což tak jako tak podle mě dává smysl pořešit i pro případné ostatní ověřovací aplikace k různým jiným službám mimo bankovnictví, pokud je člověk používá.

Pokud mám možnost nainstalovat ověřovací appku na více zařízení, je to možné řešení, ačkoliv je to trochu rovnák na vohejbák - člověk musí udržovat více telefonů/tabletů. Ale stejně nějaký starší mám vždy v šuplíku...

Dvoufaktor mám všude vyřešený vícenásobnou zálohou. Ale nikde to není pomocí dvou telefonů/tabletů, jsou to prostě různé metody.

4

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Zopper kdy Dnes v 17:19:18 »

Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware. Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti. Někde se o tom už psalo, mám pocit že to byly účty nějaké BTC směnárny. Asi k tomu ale zatím nedochází v takové míře, že by vyžadovali druhý faktor. To by pak uživatelé prskali. Kdyby alespoň nějaká banka měla možnost platby zadané na mobilu potvrzovat na PC.

TLDR odpověď: schopný malware na mobilu je pro banku méně pravděpodobné riziko, než phishing.

Delší odpověď: Útok na aplikaci banky vyžaduje plnou kontrolu nad zařízením, přejít z jedné aplikace do druhé, která se (aspoň teoreticky) snaží obfuscovat a házet tomu klacky pod nohy, a pokud už někdo dokáže tohle, tak si stejně tak přečte i ty SMS. Ne že by to nešlo a nedělo se, ale je to složité.

Oproti tomu ty SMS se dají unést klidně z druhé strany světa jen tak, stačí mít přístup k člověku na správné pozici třeba u nějakého operátora v Africe (což pro organizované skupiny není problém), a získat přístupové údaje přes phisingovou stránku, která se dá krásně udělat na PC (nebyla nějaká falešná stránka banky kdysi v Seznam hledání nad tou pravou?). A tady ani kolikrát není potřeba nějak unášet sms, uživatel si to opíše sám, záleží na útoku. Ale zfalšovat mobilní aplikaci banky uprostřed prohlížeče, to bude vždycky vypadat podezřele. Plus uživatel nemusí zadávat žádnou adresu nikam, prostě klikne na ikonku.

Ergo, webové bankovnictví + SMS se s bezpečností mnohem víc spoléhá na uživatele, který si musí hlídat, jestli je na správné stránce, zatímco ta aplikace pokusy o phishing výrazně komplikuje a to odchycení SMS znemožňuje úplně. Aplikace jsou tedy menší riziko finanční ztráty a novinových článků o "útoku na banku", a o to jde především. Na uživatele kašle pes. 

5

Bazar / Re:Prodám sekundární homeoffice setup

« Poslední příspěvek od CPU kdy Dnes v 17:19:04 »

A jaká je cena?

6

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od martyd420 kdy Dnes v 17:12:41 »

Která banka ti umí zrušit předautorizované transakce na kartě? Snad žádná, on jim takové zásahy totiž zakazují podmínky kartových asociací a částečně i zákon o platebním styku. Daný subjekt by musel by na černé listině. Řešením je bohužel zrušit kartu.

mBank bez problému, ani nemusím kontaktovat banku - bloknu to sám v IB, případně použiju virtuální kartu, která to blokuje automaticky i když tam nechám nabitý zůstatek.  Stejně tak Revolut umí bloknout předplatné.
btw. nikdo jim takový zásah nezakazuje, řekl bych, že spíš naopak přikazuje. Banka je povinna jednat okamžitě, jakmile jsem ohlásil neoprávněné transakce a konkrétně Airbank opraqvdu nedělala nic až do zrušení karty.

Ty obrázky beru jako vtípek, nepamatuji si je a na pobočce s doklady to lze vždy přeskočit.

Ano, to je ono. Musím kvůli toho jet na pobočku a vybrat si nové obrázky z omalovánek, aby moje šestimístné heslo složené pouze z číslic bylo bezpečnější. Tohle od banky fakt nechci.
Co se týče toho javascriptu, to je asi plus mínus pravda, ale Airbank v tom opravdu patří k nejagresivnějším a práce s jejich bankovnictvím (když má trvat déle, než 5 minut) je opravdu hrůza.

7

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od mhepp kdy Dnes v 17:08:31 »

Tak klasika, Fio.
Aj ked "Propojení účtů z jiných bank." je taka neskutocna exotika ze pochybuje ze to niekde najdes.
A "Možnost načtení QR kódu ze souboru" mi pride tiez divne, kedze to je urcene pre mobily.

Fio ma sice aplikaciu ale nie je povinna, akurat ze ak si ju nahodis tak nemozes pouzivas sms kody ale MUSIS verifikovat cez aplikaciu.

Takze s tymi poziadavkmi asi ostan pri tej KB

Možnost načtení QR kódu právě byla ve starém bankovnictví od KB. Umělo si to vyzobnout QR kód a předvyplnit platbu. Super. Vzhledem k tomu, že QR kódy pro platbu jsou součást kdejaké faktury, proč to nevyužít...

Načíst QR kód umí i webový George, ale ten ho umí načíst jen přes kameru. Nádhera, když mám jen elektronickou fakturu (a změnit to neplánují).

Zůstat u KB... no... problém je v tom, že skoro vše (kromě základních věcí jako poslat peníze a trvalý příkaz) je v KB-- nedodělané nebo neplánované - například to propojení účtů. Takže proč jim dělat testera.

8

Bazar / Re:Prodám sekundární homeoffice setup

« Poslední příspěvek od LivingLegend kdy Dnes v 17:05:04 »

Tak kdyztak dej vedet, pookud by byla dobra cena tak bych asi vzal vse...

9

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od Michal Šmucr kdy Dnes v 16:33:54 »

Na KB+ jsem přešel koncem loňského roku, ale při svém (základním) způsobu používání mi tam nic neschází, používám to primárně na mobilu (web je jen fallback), notifikace dostávám z té mobilní appky, případně si je můžu zapnout e-mailem. Účty v ostatních bankách mě v KB+ moc nezajímají, jelikož mají případně své natvní appky, ale možná jsem to jen nepochopil. QRka chci načítat primárně přes mobil a jeho foťák, protože si takhle běžně posílám peníze s ostatními lidmi (co mají mobilní aplikace a vygenerují mi to QRko), platím s tím občas v hospodách atp.
Ale jasně, beru třeba máte i další specifické požadavky, a jestli vám na podpoře řekli, že to ještě není, nebo to bude trvat dlouho, tak hledáte alternativu.

Jen mě trochu zarazilo - teď nezávisle na KB+, jak jste psal, že mobil není bezpečný, můžete ho ztratit atp. Mě to naopak s tím sandboxováním aplikací, vestavěnou biometrií atp. přijde out-of-box výrazně bezpečnější než standardní PC třeba s certifikátem v souboru (jak to kdysi bývalo). A s tím ztracením, řekl bych že i kdybyste to řešil jen přes web a telefonem jen potvrzoval (takhle to preferují třeba mí rodiče), tak většina bank vám umožní nainstalovat a povolit tu ověřovací appku na víc zařízení - může to být třeba tablet, starší mobil v šuplíku (pokud nemá úplně nějaký prehistorický OS).
Takže nějaká forma zálohy, aby člověk při případné ztrátě nebo závadě toho primárního mobilu nemusel hned na pobočku, je také možná. Což tak jako tak podle mě dává smysl pořešit i pro případné ostatní ověřovací aplikace k různým jiným službám mimo bankovnictví, pokud je člověk používá.

10

Odkladiště / Re:Zkušenosti s internetovým bankovnictvím

« Poslední příspěvek od bmn kdy Dnes v 16:23:53 »

Operační systémy počítačů nejsou dostatečně bezpečné, aby splnily požadavky kladené na banky.

Je zajímavé, že SMS jako druhý faktor přestává stačit, ale mobilní aplikace s jedním faktorem stačí. Jde zadat a také potvrdit platbu na jednom zařízení. Přitom vychází studie o tom kolik aplikací ve storech je malware. Pochybné appce stačí uniknout ze sandboxu, k tomu privilege escalation a může si potvrzované bankovní transakce upravovat k libosti. Někde se o tom už psalo, mám pocit že to byly účty nějaké BTC směnárny. Asi k tomu ale zatím nedochází v takové míře, že by vyžadovali druhý faktor. To by pak uživatelé prskali. Kdyby alespoň nějaká banka měla možnost platby zadané na mobilu potvrzovat na PC.