Vlákno názorů k článku Aplikace Air Bank pro Android rozšiřuje podporu tabletů a zabere méně místa od Méďa Béďa - Asi se pohybuješ ve špatných kruzích... Podívej se...
-
x (neregistrovaný)
Tve jirsak, rekni mi, ze kteryho ustavu te pustili?
"Abych se mohl bezpečně přihlásit do webového bankovnictví, potřebuju nějakým nezávislým kanálem získat jednorázové heslo"
"Pokud je ten SW generátor součástí bankovní aplikace" ... " je to podle mne už přijatelný kompromis"
Kde mas ten nezavislej kanal, kdyz ti to vsechno bezi na jednom telefonu? Je pak uplne jedno, jestli z tohle telefonu polezes na web a nechas si to stejnyho telefonu poslat sms, nebo jestli na tomtez telefonu budes provozovat jakousi appku, ktera nebude delat nic jinyho.
Jen mi to jako pripadnymu utocnikovi usnadnis ... precijen je snazsi hacknout jednu appku, nez resit jeste sms.
-
Např. na mobilu s Androidem může číst SMS každá aplikace, která k tomu má práva. "Hacknout jednu appku" na takovém mobilu jde jedině přes nějakou dosud neobjevenou bezpečnostní díru (případně si takovou bezpečnostní díru můžu vyrobit sám rootnutím telefonu a nahráním pochybných aplikací).
Co je složitější, zda vytvořit úplně normální program, nebo vytvořit program, který zneužívá nějaké dosud neznámé bezpečnostní díry, to už nechť posoudí laskavý čtenář sám.
Dále -- k oklamání webového prohlížeče a jeho uživatele existuje spousta možností, což o rozumném smartbankingu neplatí. Například webový prohlížeč používá systémovou klávesnici, což může být záškodnický program, který přihlašovací jméno a heslo pošle útočníkovi. Ten ještě z vašeho účtu nemůže nic poslat, ale už se může dívat na transakce a plánovat útok. A co dělá váš hacker? Aha, pořád ještě hledá bezpečnostní díru, aby mohl hacknout tu jednu appku.
-
Abych se mohl bezpečně přihlásit do webového bankovnictví, potřebuju nějakým nezávislým kanálem získat jednorázové heslo (přihlašování trvalým heslem nepovažuju za dost bezpečné) – z HW tokenu, SMSkou, ze softwarového generátoru. Aby to bylo bezpečné, nemůžu ten SW generátor provozovat nebo SMS přijímat na tom samém zařízení, ze kterého k webovému bankovnictví přistupuju – potřebuju tedy druhé zařízení.
Když do toho webového bankovnictví jdu z PC, je tím druhým zařízením mobil. Ale pokud bych tam šel z mobilu, potřeboval bych druhý mobil pro ten druhý kanál zabezpečení…
Pokud je ten SW generátor součástí bankovní aplikace, komunikuje se serverem a umožňuje potvrzovat jednotlivé příkazy, je to podle mne už přijatelný kompromis mezi bezpečností a pohodlností používání.
ČLÁNKY DO MAILU