Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od Petr Dvořák - Ano, je to v podstatě tak... Ale v...
-
Petr Dvořák (neregistrovaný)
Ano, je to v podstatě tak... Ale v případě, že aplikace na mobilním zařízení dokáže sledovat tapnutí a posílat data bez vědomí uživatele atd., tak s velkou pravděpodobností nemusí nastupovat místní lapka a vše se dá vyřešit softwarově. Pomocí nástrojů typu Cycript se dá pokusně odzkoušet, že runtime mobilních aplikací je poměrně křehký..
-
On autor popisuje vlastně Mobilní eKonto od RB. A celý článek je dobře vyargumentovaná obrana její jednoduchosti. Sám ji používán (a dokonce mám jen 4 místný PIN) a popravdě řečeno stojí mi za to kvůli jedné platbě prohledat půl bytu, abych zjistil, kde ten tablet zase leží než abych posílal platbu přes desktop a luštil z mobilu 2x potvrzovací SMSku.
Akorát mám obavu, že pokud se takový přístup rozšíří na více bank bude spearphising velmi rychle zase o něco výdělečnější. Umím si představit aplikaci, která sleduje otevřené aplikace a snímá tapnutí na konkrétní místa obrazovky. Jakmile uspěje, pošle signál a muže nastoupit místní lapka a zajistit fyzicky dané zařízení. Takže pak je to jen otázka toho jak aplikaci doručit do mobilu/tabletu. A zase jsme zpátky u edukace uživatelů. -
x (neregistrovaný)
A navic negramot ... takze znova a pomalu ...
Me je uplne jedno jak banka zajisti bezpecnost tech penez, i kdyby bezpecnost spocivala v tom, ze proste natiskne dalsi (coz stejne dela) ...
Pokud to bude fungovat tak, ze zavolam, reknu "tohle sem neplatil" a banka mi obratem vrati ty prachy na ucet. Az se bude banka takto chovat a nebude tu odpovednost za svoji neschopnost prenaset na me, tak nebudu resit autorizaci nezavislym kanalem.
A i pomerne blbej clovek docela dobre pochopil, ze pravdepodobnost, ze mu nekdo nadalku napadne desktop, vs pravdepodobnost, ze mu k tomu jeste in natura v realu slohne telefon ... je celkem vyrazne jina.
Zato pri zabezpeceni typu RC + 4mistnej pin ... (coz sem videl tusim u KB ...) je pravdepodobnost, ze se nekdo trefi jen otazkou (velmi kratkeho) casu. O tom, ze znam nemalo lidi, kteri pouzivaji (presne v souladu s temi pindy v clanku) vsude stejne heslo (takze staci pockat, az se budou prihlasovat na fuckbook a odchytit si to ...) radsi ani nemluvit ...
A pak se najde chorej mozek, kterej jim jeste tvrdi, ze je to vlastne OK ...
-
x (neregistrovaný)
Koukam autor je pekne choromyslnej clovek ... podobnou splacaninu totiz zdravej clovek napsat nemuze.
Takze vazeny, az budou banky pristupovat k zabezpeceni uctu tak, ze je to predevsim jejich vec a ze predevsim banka je odpovedna za to, co se stemi penezi deje, pak me (a nejspis i vsem ostatnim) bude zcela uprdele, jestli jim jako login staci usmev a mrknuti okem.
Do ty doby tvrdim, ze mamlasy s podobnymi nazory by bylo treba verejne bicovat.
Ze tech kazdorocne zverejnenych pruseru se zabezpecenim uctu je malo co ... a to se verejne probira tak promile reality, protoze je samo v zajmu bankto pekne tutlat. Ze trebas takova RB v ramci "bezpecnosti" klientum zrusi moznost internetovych plateb, co ... a to opakovane ...
-
Petr Dvořák (neregistrovaný)
Choromyslnost již v mládí budiž mi vykoupení ve stáří. :)
Ale nyní k věci. Ta otázka stojí v podstatě jednoduše: Chce banka dělat "reálnou bezpečnost", která zabezpečí peníze klienta vůči předem definovaným hrozbám, nebo "bezpečnost na oko", která vylepší hodnocení na App Store a Google Play?
Je SMS na mobilu reálná bezpečnost? Je dlouhé a složité heslo na mobilu při dílčím ověřování hesla vůči serveru reálná bezpečnost? Je okamžité odhlašování při přechodu na pozadí v případě podepisování aktivních operací PINem reálná bezpečnost?
Zkuste si prosím odpovědi v článku vyfiltrovat. Pokud Vám jde o bezpečnost na oko, pak Vás článek zcela jistě a nutně pohoršil. Pokud máte konkrétní připomínky k obsahu, rád je s Vámi proberu osobně - kontakt je v článku.
-
tom (neregistrovaný)
Velice jednoduse odesle bambilion spamu s tim ze vase banka vam zablokovala kvuli bezpecnosti ucet a muze te si ho odblokovat kliknutim na odkaz www.Reiffeisenbonk.cz kde ten vas pin zadate a ne malo troubu se najde co ho tam zadaj... ja jako fakt nevidim nic nepohodlneho na tom ze z moji banky mi prijde sms (pouze pokud chci penize prevest mimo moje ucty) s petimistnym kodem, ktery opisu... mit zajisten pristup do banky jen pinem je jako mit naditou srajtofli vykukujici ze zadni kapsy kalhot v precpane mhd
-
Jenda (neregistrovaný)
Ale to pak po tobě na www.Reiffeisenbonk.cz můžou chtít opsat kód ze SMS a ty to určitě rád uděláš. A protože má útočník pod kontrolou počítač, nemusí to vlastně ani Reiffeisenbonk
ČLÁNKY DO MAILU