Dvoufaktorové ověřování u Raiffky

Re:Dvoufaktorové ověřování u Raiffky
« Odpověď #15 kdy: 29. 10. 2019, 12:09:43 »
...

Já se s Vámi vůbec nepřu o tom, jestli je kombinace klientské číslo / nešifrovaná SMS / PIN dostatečná. V obecném případě ano.

Co říkám je, že bezpečnost devalvovala (z tokenu na sim toolkit, ze sim toolkitu na planou SMS).
To je potřeba vzít v potaz ve chvíli, kdy dojde k opakovanému pokusu (dorazí SMS bez vyžádání oprávněným).

Je to klasický příklad povyšování chyby na standard. Zatímco u SIM toolkitu by taková situace nemusela člověka pozastavit, v případě SMS už by měla.

Bohužel, banka přenáší odpovědnost za ochranu SIM / SMS na zákazníka. Když se zákazník nakazí malwarem a někdo se mu do účtu dostane, banka od toho dává ruce pryč (pochopitelně). Nepochopitelně však ignorují nahlášené incidenty. Na místě by bylo, aby v tomto zmíněném případě banka konala. Běžný zákazník si vůbec neuvědomuje, že SMS může přeposlat malware, vůbec si neuvědomuje, že telefonní číslo se dá přenést na jinou SIM kartu atd. Banka je však odborně na výši a měla by na tyto situace umět reagovat. Minimem by bylo prověřit, kdo zadává požadavek na odeslání SMS a postavit na jisto, že se jedná jen o překlep v klientském čísle, nikoliv o útok. A zde nastupuje právní alibismus: bance je jednodušší popírat byť i jen potenciální narušení bezpečnosti, než ho řešit. Řešením by připustila svoji odpovědnost - minimálně od okamžiku nahlášení. To se jim nehodí.


Re:Dvoufaktorové ověřování u Raiffky
« Odpověď #16 kdy: 29. 10. 2019, 13:06:18 »
Je to klasický příklad povyšování chyby na standard. Zatímco u SIM toolkitu by taková situace nemusela člověka pozastavit, v případě SMS už by měla.
Proč?

Bohužel, banka přenáší odpovědnost za ochranu SIM / SMS na zákazníka. Když se zákazník nakazí malwarem a někdo se mu do účtu dostane, banka od toho dává ruce pryč (pochopitelně). Nepochopitelně však ignorují nahlášené incidenty. Na místě by bylo, aby v tomto zmíněném případě banka konala. Běžný zákazník si vůbec neuvědomuje, že SMS může přeposlat malware, vůbec si neuvědomuje, že telefonní číslo se dá přenést na jinou SIM kartu atd. Banka je však odborně na výši a měla by na tyto situace umět reagovat. Minimem by bylo prověřit, kdo zadává požadavek na odeslání SMS a postavit na jisto, že se jedná jen o překlep v klientském čísle, nikoliv o útok. A zde nastupuje právní alibismus: bance je jednodušší popírat byť i jen potenciální narušení bezpečnosti, než ho řešit. Řešením by připustila svoji odpovědnost - minimálně od okamžiku nahlášení. To se jim nehodí.
Že to banka nijak neřeší je jen vaše ničím nepodložená spekulace.

Re:Dvoufaktorové ověřování u Raiffky
« Odpověď #17 kdy: 29. 10. 2019, 15:39:46 »
Je to klasický příklad povyšování chyby na standard. Zatímco u SIM toolkitu by taková situace nemusela člověka pozastavit, v případě SMS už by měla.
Proč?

Protože tazatel může mít malware v telefonu, nebo si třeba mohl někdo na něj vystavit twin kartu a v jiných případech SMS odchytit.

Že to banka nijak neřeší je jen vaše ničím nepodložená spekulace.

Ano, to je klasický postup při řešení bezpečnosti. Dokud nemám doložený (prokázaný) opak, považuji chybu či narušení bezpečnosti raději za nejvážnější předpokladatelné. Tedy zcela logicky počítám s tím, že útoků mohlo být víc, než mi píplo na telefonu, a i to, že se mohl útočník s SMS dostat. Jediný, kdo k tomu má informace je RB a měla by informace poskytnout - např. kolik pokusů bylo, jestli se s "útočníkem" spojila, jestli zná jeho totožnost (aniž by ji prozradila) atd.

Chovat se obezřetně není spekulace. Naopak spekulace by byla spoléhat se na neověřenou a právně ztěžka závaznou radu.

U raketoplánů také NASA věděla o tom, že při startu docházívá k poškozování termoizolace. Nikdy to však nepředstavovalo problém. Pak shořela Columbia. Byly to taky spekulace, že by se mohlo něco stát, jak někteří zaměstnanci oficiální cestou varovali? Kdepak, byl to klasický příběh povyšování chyby na standard.

Re:Dvoufaktorové ověřování u Raiffky
« Odpověď #18 kdy: 29. 10. 2019, 18:35:59 »
Protože tazatel může mít malware v telefonu, nebo si třeba mohl někdo na něj vystavit twin kartu a v jiných případech SMS odchytit.
Proto je tam ten druhý faktor – I-PIN.


Ano, to je klasický postup při řešení bezpečnosti. Dokud nemám doložený (prokázaný) opak, považuji chybu či narušení bezpečnosti raději za nejvážnější předpokladatelné. Tedy zcela logicky počítám s tím, že útoků mohlo být víc, než mi píplo na telefonu, a i to, že se mohl útočník s SMS dostat. Jediný, kdo k tomu má informace je RB a měla by informace poskytnout - např. kolik pokusů bylo, jestli se s "útočníkem" spojila, jestli zná jeho totožnost (aniž by ji prozradila) atd.
Když vám banka ty informace poskytne, co s nimi budete dělat? A co člověk, který ty SMS bude ignorovat a banky se nezeptá. Ten má být ohrožen? Není správný postup spíš ten, že to bude řešit banka, bez ohledu na ot jestli se někdo zeptá nebo nezeptá?

Chovat se obezřetně není spekulace. Naopak spekulace by byla spoléhat se na neověřenou a právně ztěžka závaznou radu.
Z vašeho textu ovšem plynulo, že to banka nijak neřeší, a to je spekulace. Ano, banka by mohla odpovědět o něco lépe – „nebojte, chyba není na vaší straně, o takovýchto případech víme a řešíme je; pokud vám zase taková SMS přijde, nemusíte se ničeho bát, bezpečnost účtu to nijak neohrožuje“. Jenže my vlastně nevíme, zda ta odpověď je přímo citace banky, nebo volný překlad od tazatele.