KB - ověření všech odchozích plateb KB klíčem

ZAJDAN

  • *****
  • 2 087
    • Zobrazit profil
    • E-mail
KB - ověření všech odchozích plateb KB klíčem
« kdy: 09. 04. 2021, 21:26:57 »
Zdarec,
marně se snažím přimět banku k tomu, aby začali řešit ověřování KB klíčem(Aplikace pro ověřovaní identity a plateb) všechny odchozí platby. Například nákup platební kartou na google play, lze provést aniž by došlo k ověření KB klíčem.
Nákup u většiny českých obchodníků ověření KB klíčem provede. Banka se neustále vykrucuje, že to nejde, že je to problém obchodníka což je naprostý nesmysl. Peníze logicky odchází z účtu v KB, banka tedy musí být každou odchozí transakci zastavit a povolit pouze pomocí ověření KB klíčem bez ohledu na to kdo tu transakci vyvolal.
Jak je tomu u jiných bank?
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


L..

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #1 kdy: 09. 04. 2021, 22:33:38 »
A proč by měla banka něco takového dělat?

Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #2 kdy: 09. 04. 2021, 23:48:11 »
Ono je to tak, že ověřování je jenom pokud se používá 3-d secure. A to je opravdu o tom jestli to podporuje obchodník. Ono se všude tvrdí, že 3-D secure je pro vaši bezpečnost, ale ono je to vlastně o bezpečnost obchodníka a banky. Pokud je 3D secure, tak prostě platbu nevyreklamujete, že jste ji vy nezadal. Pokud 3D secure není, tak je velká šance že ano a o peníze může přijít obchodník.
To že nejde 3-D secre vyžadovat je podle mne spíše než věc banky věc asociace, která kartu vydala a ta dělá standardy, jak se s ní platí.

ZAJDAN

  • *****
  • 2 087
    • Zobrazit profil
    • E-mail
Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #3 kdy: 10. 04. 2021, 00:59:03 »
To je vážně tak složité z pozice banky použít něco jako procedury nad databází? Jakmile vidím, že je odchozí transakce, spustí se její ověření KB klíčem a je mi jedno zda je tam 3D 4D třeba i 6D secure. Jsou to moje peníze a především já mám mít právo rozhodnout kam se pošlou. Zneužití platebních karet právě těmito nezabezpečenými transfery už bylo víc než dost. A tahanice si vyžádat cash back jenom obtěžují.
« Poslední změna: 10. 04. 2021, 01:01:40 od ZAJDAN »
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

alex6bbc

  • *****
  • 1 655
    • Zobrazit profil
    • E-mail
Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #4 kdy: 10. 04. 2021, 01:10:45 »
kdyz platite kartou u obchodnika, tak mu zadavate informace z karty, tedy vasi "domaci adresu".
kdyz to obchodnik zpracovava, tak pani domaci (banka) jeste ani nevi, ze se neco deje.


Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #5 kdy: 10. 04. 2021, 02:07:52 »
technicky to dělat banka může, ale bohužel je svázána podmínkami karetních sítí a PSD2 SCA. Volba ověření (3D Secure) je na bráně a nelze to vynutit ze strany banky. Banka má možnost danou platbu pouze zamítnout, což uživatelsky není pěkné, tohle platí pro 3D Secure 1.

PSD2 SCA přidává podmínku druhého faktoru při potvrzení transakce a "otisk" prstu je dostatečné ověření, stejně tak použití mobilního telefonu. 3D Secure 2 je standard od Visa/Master Card a je koncipován tak, aby splnil podmínky PSD2 SCA a povoluje potvrzení platební transakce také otiskem prstu, takže si to banky trochu ulehčili. Pořád ale platí, že za zneužití při použití otisku prstů nesou riziko oni. Zároveň pořád je ponechána možnost, aby brána nepodporovala žádná 2FA a transakce i tak prošla, platí ještě nějaké výjimky či co.

3D Secure 2 ale bance dává možnost vyhodnocovat rizika (frictionless flow) a případně vynutit ověření zákazníka. Proti první verze je tentokrát odpovědnost i na bance ta se může rozhodnout. KB 3D Secure 2 podporuje a má implementovaný bezpečnostní mechanismus na vynucení potvrzení při podezření, bohužel parametry nejsou veřejně (a ani interně) známy a těžko říct, jak to vlastně mají nastavené. Neříkají pravdu, že to je věcí obchodníka a je to spíše nedostatečným informováním lidí na podpoře.

Režimy Google Pay a těhle mobilních plateb jsou pak na další povídání.

L..

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #6 kdy: 10. 04. 2021, 09:16:30 »
To je vážně tak složité z pozice banky použít něco jako procedury nad databází? Jakmile vidím, že je odchozí transakce, ...

To sice není, problém je v tom "vidím, že je odchozí transakce". Platba kartou není (běžná) odchozí transakce. Řeší ji primárně karetní společnost a ne všechny banky jsou s ní propojeny v reálném čase, takže se o ní často nedozví se zpožděním.

Dále jsou na rozhraní určitě nějaké timeouty a pokud byste nebyl dostatečně rychlý, tak by vám platba zfailovala. Bankovnictví není hokynářství, tam jde o velké prachy, nemůžete si do nadesignovaného procesu pirátsky přidávat nějaké prvky, které tam být nemají.

Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #7 kdy: 10. 04. 2021, 09:18:36 »
To je vážně tak složité z pozice banky použít něco jako procedury nad databází?
Představujete si to jak Hurvínek válku…

Jakmile vidím, že je odchozí transakce, spustí se její ověření KB klíčem
Píšete o platbě kartou, což je něco jiného, než odchozí transakce z účtu. V případě debetní karty byste to ještě s přimhouřením obou očí mohl považovat za jednu transakci, i když ve skutečnosti se peníze na účtu jen zablokují. V případě kreditní karty to už nijak okecat nejde – tu částku platí banka a teprve na konci zúčtovacího období vám předloží účet ke splacení.

Co je ještě podstatnější je to, že ověřování je pro klienty otravné, a banka se tedy snaží ověření minimalizovat. Jednotlivé transakce posuzuje a ověřování požaduje podle toho, jak riziková jí ta transakce připadá. Takže můžete být klidný, pokud banka u nějaké transakce nepožaduje potvrzení, nepovažuje ji za rizikovou – a pokud by to přeci jen byla neoprávněná platba, s vysokou pravděpodobností byste uspěl s reklamací.

No a pokud údaje o své platební kartě zadáváte bůhvíkam a bojíte se, že je někdo zneužije, má to jednoduché řešení – pořiďte si kartu jen pro tyhle případy, nastavte na ní nulový limit a zvyšte ho jenom když budete provádět platbu. Pak zase limit nastavte na nulu.

ZAJDAN

  • *****
  • 2 087
    • Zobrazit profil
    • E-mail
Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #8 kdy: 10. 04. 2021, 10:29:47 »
Co je ještě podstatnější je to, že ověřování je pro klienty otravné, a banka se tedy snaží ověření minimalizovat.
Tak tomu nevěřím ani kdybych vyglgal celej náš sklépek. Lidi si svoje peníze hlídají čím dál více.
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

ZAJDAN

  • *****
  • 2 087
    • Zobrazit profil
    • E-mail
Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #9 kdy: 10. 04. 2021, 10:35:00 »
To sice není, problém je v tom "vidím, že je odchozí transakce". Platba kartou není (běžná) odchozí transakce. Řeší ji primárně karetní společnost a ne všechny banky jsou s ní propojeny v reálném čase, takže se o ní často nedozví se zpožděním.
...
A v roce 2021 kdy kdejaké weby, podnikové systém umí komunikovat v reálném čase, platební systémy zamrzli na úrovni psacího stroje? To mi připomíná dobu kdy bankovní počítače nepracovali o víkendu.
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

jouda2

Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #10 kdy: 10. 04. 2021, 10:38:45 »
Tak tomu nevěřím ani kdybych vyglgal celej náš sklépek. Lidi si svoje peníze hlídají čím dál více.
Opravdu? Kdyby to tak bylo, tak má teď každý (na QR upgradnutou) variantu starého dobrého eKlíče, a ne zaplevelený mobil.

ZAJDAN

  • *****
  • 2 087
    • Zobrazit profil
    • E-mail
Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #11 kdy: 10. 04. 2021, 10:52:32 »
Opravdu? Kdyby to tak bylo, tak má teď každý (na QR upgradnutou) variantu starého dobrého eKlíče, a ne zaplevelený mobil.
Netahejte to za pačesy! Lidé jako moji rodiče o žádném eklíči neví a banka jim ho nenabídla. Lidi mají zájem používat bezpečnostní prvky, ale musí jim je banka nabídnout a umožnit.
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

jouda2

Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #12 kdy: 10. 04. 2021, 14:51:31 »
Netahejte to za pačesy! Lidé jako moji rodiče o žádném eklíči neví a banka jim ho nenabídla. Lidi mají zájem používat bezpečnostní prvky, ale musí jim je banka nabídnout a umožnit.
Když se ptáte dost dlouho, tak Vám většina bank něco bezpečného nabídne. Jenže kromě pár geeků (a dejme tomu když podědíte miliardu) to nikdo nechce ani to reálně nevyužije.
Navíc si uvědomte, banky nejedou na minimalizaci rizika, ale na minimalizaci nákladů, do kterých se počítají i rizika. Proč myslíte, že nějaká banka podporuje bezkontaktní platby? No nejspíš proto, že je dost líných lidí, takže kdyby nepodporovali a zbylá konkurence ano, tak by přišli o velkou část klientů. A proč to ta konkurence dělá? Protože si spočítala kolik se tak asi ročně ukradne karet, vynásobili to 500kč krát počtem použití než to chce PIN a vyšlo jim, že i když všechny zneužití zaplatí ze svého, tak se jim to prostě vyplatí. A proč nenabízejí pouze kontaktní čipovou kartu? No protože pro těch pár geeků se jim to nevyplatí.

Prostě pokud se Vám to nelíbí, tak si konkrétně u KB můžete kartu zamykat jak je jen libo a odemykat jen když chcete platit, a zadarmo. Jen je to poněkud nepohodlné (a toho kdo v KB vymyslel, že se zamčení karty ověřuje stejně silně jako platba bych předhodil právu útrpnému, ale to už je jiná věc)

Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #13 kdy: 10. 04. 2021, 15:37:34 »
Jako běžného klienta banky mě bezpečnost zadávání transakcí zajímá jen do té míry, že když se s penězi na účtu něco proti mé vůli stane, tak mi je banka vrátí.
Stalo se mi to zatím jednou (platbami kartou přes internet v zahraničí zmizelo během jednoho dne 90k), banka mi po reklamaci plateb vše během pár dní vrátila zpět.
 

Re:KB - ověření všech odchozích plateb KB klíčem
« Odpověď #14 kdy: 10. 04. 2021, 22:05:02 »
Netahejte to za pačesy! Lidé jako moji rodiče o žádném eklíči neví a banka jim ho nenabídla. Lidi mají zájem používat bezpečnostní prvky, ale musí jim je banka nabídnout a umožnit.
Když se ptáte dost dlouho, tak Vám většina bank něco bezpečného nabídne. Jenže kromě pár geeků (a dejme tomu když podědíte miliardu) to nikdo nechce ani to reálně nevyužije.
Navíc si uvědomte, banky nejedou na minimalizaci rizika, ale na minimalizaci nákladů, do kterých se počítají i rizika. Proč myslíte, že nějaká banka podporuje bezkontaktní platby? No nejspíš proto, že je dost líných lidí, takže kdyby nepodporovali a zbylá konkurence ano, tak by přišli o velkou část klientů. A proč to ta konkurence dělá? Protože si spočítala kolik se tak asi ročně ukradne karet, vynásobili to 500kč krát počtem použití než to chce PIN a vyšlo jim, že i když všechny zneužití zaplatí ze svého, tak se jim to prostě vyplatí. A proč nenabízejí pouze kontaktní čipovou kartu? No protože pro těch pár geeků se jim to nevyplatí.

Prostě pokud se Vám to nelíbí, tak si konkrétně u KB můžete kartu zamykat jak je jen libo a odemykat jen když chcete platit, a zadarmo. Jen je to poněkud nepohodlné (a toho kdo v KB vymyslel, že se zamčení karty ověřuje stejně silně jako platba bych předhodil právu útrpnému, ale to už je jiná věc)


Presne tak - minimalizace nakladu vladne. Proto se opousti offline kalkulacky, proto se pomalu ale jiste opousti certifikaty na kartach. Bud pin a nebo prst. Ani to , ze par lidi by bylo ochotno platit za vyssi/lepsi/jine zabezpeceni proste situaci nezachrani, protoze tech par lidi to nezaplati.

Co se tyce bezpecnosti - nedelejte si iluze. Lidi chteji pohodlnost a ne bezpecnost. Kdyby prahli po bezpecnosti , tak nebudou v obchodech do 500 pipat a tyhle karty budou nosit v alobalu, google/aple pay se neprosadi a  keyless auta se nebudou prodavat. Lidi jsou liny a bezpecnost za ne resi banky s prioritou minimalizace nakladu (protoze ucet je prece zdarma)