Zadaní telefonu při přihlášení do Komerčky

[Filip Jirsák]

Doménové jméno je v pořádku. Ono to je v tom prvním postu tak nějak implicitně řečeno, ale chápu, že ta moje formulace vypadá, že jsme to nezkontrolovali.

Tohle jsou ale ty dvě nejdůležitější věci – jestli je to správná doména a jestli má důvěryhodný certifikát. To není něco, co můžete nechat jen tak implicitně. To je věc, kterou musíte napsat jako první, pokud to chcete nějak řešit. A ne „jméno je v pořádku“, ale zkopírovat to, co máte v adresním řádku prohlížeče.

Z laického pohledu teď mají stránky všechny údaje, aby se před uživatelem mohly vydávat za banku.

To je právě ale chybná úvaha. Musíte počítat s tím, že útočník má vždy všechny údaje, aby se mohl vydávat za banku. Kombinaci e-mailu a telefonu zná kde kdo.

Tím si právě nejsem moc jistý. To opravdu není možné, aby mi někdo (případně s mojí "dopomocí", zvlášť jestli třeba čtu poštu v Gmailu) propašoval do prohlížeče nějaký add-on nebo něco takového, co se pověsí na kód stránky banky (i když se k ní připojuji přes HTTPS) a doplní k ní dotaz na další údaje?

Je to možné, ale to je pak vaše chyba, že instalujete do prohlížeče rozšíření, o kterých nevíte, co dělají. Je to to samé, jako instalovat si do počítače neznámý software.

A protože tohle je problematická část (zejména u toho softwaru, pro instalaci nějakých rozšíření nevidím u neprofesionálního uživatele důvod), používá se dvoufaktorové ověřování. Tj. když provádíte platbu, přijdou vám na jiné zařízení údaje o platbě, které ověříte a teprve po ověření platbu schválíte.

Pořád to ale nijak nesouvisí s údaji, které po vás banka chce po přihlášení. Ty máte zadávat pouze do stránky, u které jste si ověřil, že je to ta správná stránka. A máte to dělat vždy, ať se hlásíte kamkoli. Ideální je používat na to správce hesel integrovaného s prohlížečem, který ty údaje vyplní za vás a vyplní je jenom do správné stránky.

Pokud by útočník měl pod kontrolou váš počítač nebo prohlížeč, protože jste nainstaloval jeho trojského koně, nepotřebuje váš mobil získávat zrovna z přihlašovacího formuláře k bance. A pokud by se útočník snažil získat přístup k vašemu bankovnímu účtu, vaše telefonní číslo k ničemu nepotřebuje. Potřebuje kód, který vám na telefon přijde (pokud používáte autorizaci přes SMS), ale telefonní číslo ho nezajímá.

[Reklama]

[.]

Jen přečíst smluvní podmínky, pravidla soukromí a další právní náležitosti, s kterými musím souhlasit, abych se k té bankovní aplikaci na tom úžasném smartphonu dostal, mi zabere tolik času, že je snad opravdu výhodnější chodit na tu pobočku.

To se týká i samotného vedení účtu a celého netového bankovnictví bez ohledu na to, jestli je autorizace přes SMS nebo přes aplikaci v mobilu. Takže buď si nechat podmínky posoudit nějakým právně-finančním expertem, anebo se vrátit ke slamníku...

[🇺🇦 GPU]

Tak číst smlouvu s bankou, když si u ni zřizuji účet je asi normální. Ale pokud mě banka ještě nutí používat jeden ze dvou těch správných mobilních OS, pochopitelně té správné verze, a aplikace lze stáhnout jen ze dvou tržišť, pouze po předchozí registraci, vše ve jménu bezpečnosti, tak ať se jdou bodnout.

Chápu, že většinová společnost obětuje svému pohodlí ledasco, ale já teda ne.

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Tesat do kamene !!!
v druhé citaci  jen mám ten důvod   "mi zabere tolik času, že je snad opravdu výhodnější chodit" (ale ke stejnému závěru) jiný : rootnout mobil, instalovat různé moduly na skrytí magisku,  instalovat náhradu google play(Aurora), nebo snad apk stáhnout ,, hledat náhradu za google play framework(micro g)dělat analýzu exodus.privacy, jaký balast má aplikace , na jaké domény se připojuje, co všechno posílá za data do všech směrů. Přes Xprivacy vytvořit  co nejvíc izolovoné prostředí aby aplikace nemohla abusovat api systému android....

Ale pokud mě banka ještě nutí používat jeden ze dvou těch správných mobilních OS, pochopitelně té správné verze, a aplikace lze stáhnout jen ze dvou tržišť, pouze po předchozí registraci, vše ve jménu bezpečnosti, tak ať se jdou bodnout.
Chápu, že většinová společnost obětuje svému pohodlí ledasco, ale já teda ne.

Jen přečíst smluvní podmínky, pravidla soukromí a další právní náležitosti, s kterými musím souhlasit, abych se k té bankovní aplikaci na tom úžasném smartphonu dostal, mi zabere tolik času, že je snad opravdu výhodnější chodit na tu pobočku.

Tedy ... pokud se tu aplikace vůbec podaří nainstalovat na telefon s rootem
Tedy ... pokud se tu aplikace vůbec podaří nainstalovat na telefon bez google play services
Tedy ... pokud se tu aplikace vůbec podaří nainstalovat na telefon bez standardních google aplikací (což je něco jiného, jde jde o "gmatetelné ikonky")
Tedy ... pokud se tu aplikace vůbec podaří spustit



PS: Nedivil bych se kdyby ta (přestrojená webová) "aplikace" při každém spuštění stahovala 20 MB javascriptu.
Protože na takovou velikost se zvýšila velikost webové stránky internetového bankovnictví "po modernizaci". Předím měla 2MB.

BTW: kolikaznakové jsou potvrzovací kód u komerčky?  Například ČSOB kdysi měla 4 to se dalo snést, pak jiná banka šesti, moneta má osmi, no už je k po*rání a Raif-haizlové dokonce deset!!!

[.]

Tak číst smlouvu s bankou, když si u ni zřizuji účet je asi normální. Ale pokud mě banka ještě nutí používat jeden ze dvou těch správných mobilních OS, pochopitelně té správné verze, a aplikace lze stáhnout jen ze dvou tržišť, pouze po předchozí registraci, vše ve jménu bezpečnosti, tak ať se jdou bodnout.

Chápu, že většinová společnost obětuje svému pohodlí ledasco, ale já teda ne.

Když tady jsou v podstatě jenom dva OS pro mobily a jeden OS pro PC/NB, tak co by asi tak měla banka dělat? Jo, může lidem rozdávat nějaké vlastní čipové karty + čtečky na bezpečné přihlášení (a sledovat jejich nadšení, jak budou sebou tahat další krámy), anebo prostě udělá to, co dělá teď a komu se to nelíbí, ať si (_!_) políbí a může klusat na pobočku nebo mít prašule doma v polštáři (v tom samozřejmě nikdo nikomu nebrání), každopádně vždy se vše primárně podřizuje většině a ne menšině, a tak to i zůstane.

[Reklama]

[Wasper]

Co já vím, tak Komerčka vyžaduje nejprve zadání uživatelského jména. Hned pod tím je souhlas se zapamatováním údajů pomocí cookies. Následně chce telefonní číslo a pak ověření pomocí klíče...
Takže, patrně, když nedáš souhlas s cookies, musíš při dalším prihlášení projít toto celé znovu. Když souhlas dáš a cookies nevymažeš, může být ten krok příště přeskočen.

Já předpokládám, že to tam (cca nedávno) přidali proto, aby když se někdo (dictionary) trefí do username, tak aby to hned neotavovalo majitele účtu SMSkou/appkou, takže jakási forma slabé předautentizace.

Tomu by odpovídalo, že "trusted" prohlížeč tohle už nedělá.

IMHO tím řešili v loňském roce docela rozšířené útoky.

[🇺🇦 GPU]

Když tady jsou v podstatě jenom dva OS pro mobily a jeden OS pro PC/NB, tak co by asi tak měla banka dělat?

Tak ono je těch OS mnoho, jenže diskriminace menšin...

Autorizační SMS jsou platformově nezávislé, dokonce je můžete přijmout i na pevné lince. Pořád je tu spousta starších uživatelů, kteří preferují jednoduché mobily bez OS. Je v zájmu prakticky všech, aby starší spoluobčané nemuseli chodit s penězmi platit složenky na poštu, ale zároveň není moudré jim dát chytrý telefon, protože ten je u neznalého uživatele velkým bezpečnostním rizikem.

Zlatá Fio, která nejenže stále podporuje autorizaci pomocí SMS, ale dokonce si lze i zvolit délku autorizačního kódu.

Já předpokládám, že to tam (cca nedávno) přidali proto, aby když se někdo (dictionary) trefí do username, tak aby to hned neotavovalo majitele účtu SMSkou/appkou, takže jakási forma slabé předautentizace.

Dříve bylo normální posílat SMS až nakonec, třeba po zadání platného hesla, takže se nějaké hádání uživatelských jmen nekonalo. Pokud by snad někdo uhodl obojí, byla SMS majiteli v podstatě varováním, že se někdo snaží do jeho účtu dostat a má k tomu jméno i heslo.

Zjevně rovnák na ohýbák..

[Filip Jirsák]

Dříve bylo normální posílat SMS až nakonec, třeba po zadání platného hesla

To by umožnilo hádání hesla. Druhý faktor by se měl vyžadovat bez ohledu na to, zda první faktor byl správně nebo ne.

[🇺🇦 GPU]

Tak normální je mít na zadání hesla X pokusů. Navíc heslo můžete hádat, až když znáte přihlašovací jméno. A jména hádat nemůžete, protože normální systém vám neřekne, zda je špatně jméno nebo heslo.

[Filip Jirsák]

Omezit zadání hesla na X pokusů není v prostředí internetu tak snadné, když každý pokus může jít od jiného počítače, a kdybyste pokaždé po X pokusech účet zamknul, vytvoříte tím ideální prostředí pro DoS na přihlašování.

Normální systém, který používá dvoufaktorovu autentizaci, vám neřekne ani to, zda je špatně jméno, heslo nebo druhý faktor. Protože kdyby vám to řekl, je obtížnost útoku rovná obtížnosti útoku na heslo + obtížnosti útoku na 2. faktor, zatímco když vám to neřekne, je obtížnost útoku násobkem obtížnosti útoku na heslo a útoku na druhý faktor.

Přihlašovací jméno není tajný údaj, často je to třeba e-mail, který nemusíte hádat. Takže jméno se do ochrany účtu nepočítá.

[RDa]

Omezit zadání hesla na X pokusů není v prostředí internetu tak snadné, když každý pokus může jít od jiného počítače, a kdybyste pokaždé po X pokusech účet zamknul, vytvoříte tím ideální prostředí pro DoS na přihlašování.

FIO presne tohle dela - jsem potreboval neco vyridit z telefonu mimo domov (nemam appku, kdyz jedu PC only) a nemohl jsem si vzpomenout na heslo (nemam hesla sdilene online), tak po asi patem pokusu se ucet zablokoval na nejakou dobu.

Takze pokud vite nekoho prihlasovaci login (email), jde mu znacne zneprijemnit zivot.

[🇺🇦 GPU]

Ve Fio se mě při zřizování IB na uživatelské jméno ptali, tj. mohl jsem si ho zvolit. Pokud si tam dá někdo něco, co ostatní znají, třeba email, znepříjemňuje si život sám.

V jiné bance jsem zase jako jméno dostal nějakou náhodnou kombinaci písmen a čísel. Opět je to něco, co jen tak někdo jiný znát nebude.

[Filip Jirsák]

FIO presne tohle dela - jsem potreboval neco vyridit z telefonu mimo domov (nemam appku, kdyz jedu PC only) a nemohl jsem si vzpomenout na heslo (nemam hesla sdilene online), tak po asi patem pokusu se ucet zablokoval na nejakou dobu.

Takze pokud vite nekoho prihlasovaci login (email), jde mu znacne zneprijemnit zivot.

Zablokoval jste si přístup z jednoho počítače. Z toho bych ještě neusuzoval na to, že útočník z opačného konce Země by vám dokázal stejným způsobem zablokovat přístup. To je právě to, o čem jsem psal – že je potřeba rozlišovat útoky z jednoho zařízení a distribuované útoky.

[RDa]

FIO presne tohle dela - jsem potreboval neco vyridit z telefonu mimo domov (nemam appku, kdyz jedu PC only) a nemohl jsem si vzpomenout na heslo (nemam hesla sdilene online), tak po asi patem pokusu se ucet zablokoval na nejakou dobu.

Takze pokud vite nekoho prihlasovaci login (email), jde mu znacne zneprijemnit zivot.

Zablokoval jste si přístup z jednoho počítače. Z toho bych ještě neusuzoval na to, že útočník z opačného konce Země by vám dokázal stejným způsobem zablokovat přístup. To je právě to, o čem jsem psal – že je potřeba rozlišovat útoky z jednoho zařízení a distribuované útoky.

Proc si zas vymyslite?
Blokace je zde na ucet, ne na IP adresu (prave z duvodu ze IP jde snadno menit - kdyz jste utocnik).

[🇺🇦 GPU]

Přesně tak, blokace je na účet.