Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od -=Vasek=- - Ja osobne moc nerozumim, proc banky maji na...

Ja osobne moc nerozumim, proc banky maji na jedne strane nadstandartne zabezpecene online bankovnictvi, kdyz na strane druhe je platebni karta se zabezpecenim na smesne urovni. Z meho pohledu staci zadat par cisel (na ktere se stejne muze kazda pokladni podivat) do nejakeho eshopu a prachy jsou v pr... Jasne muzu mit limit 0 pro platby kartou na netu a pak ho zvysit jednorazove (dle autora jednoznacne utrpeni), jinou kartu (za kterou si samozrejme extra platim) jen pro net a jine obskurnosti... Myslim, ze to typicky zadny bfu nedela...
Ma otazka na autora, proc je tak slozite k platbe kartou na netu pridat dalsi overeni, treba pin?

Zdravím Vás a děkuji za dotaz! :) Odhlédneme-li od toho, jaká jsou pravidla pro HW, který může být použitý pro zadávání PIN kódu a toho, jak se s PINem následně kryptograficky pracuje, je klíčová otázka, co by se zadáním PINu na web vyřešilo? Prostě byste ho někam poslal spolu s ostatními údaji o kartě, čímž bezpečnost příliš nezvýšíte...

Pokud se pracuje se zabezpečením karty, musí to být na "jiném kanálu" než je platební brána.

Některé banky umožňují na kartách (typicky na debetních, které mají více pod kontrolou) provádět operaci "zamykání" nebo deaktivaci e-commerce transakcí. Tyto operace se dají povolit v internetovém nebo mobilním bankovnictví. Takže například já si před každým výběrem z bankomatu musím předem odemknout debetní kartu přes mobilní banku...

„Zdravím Vás a děkuji za dotaz! :) Odhlédneme-li od toho, jaká jsou pravidla pro HW, který může být použitý pro zadávání PIN kódu a toho, jak se s PINem následně kryptograficky pracuje, je klíčová otázka, co by se zadáním PINu na web vyřešilo? Prostě byste ho někam poslal spolu s ostatními údaji o kartě, čímž bezpečnost příliš nezvýšíte...“

Asi myslel na webu banky…

Budeme-li předpokládat, že se PIN zadává na "bezpečný web" (což není pravda úplně vždy), tak pak je tady např. situace s viry, dále pak VISA regulace toho, na jaký HW je možné zadávat PIN ke kartě (musí se jednat o odcertifikovaný HW, což osobní počítače s klasickou klávesnicí nejsou)...

No jo, ale současný stav je takový, že si prodavačka/číšník zapamatujou číslo a CVV, případně někdo ukradne databázi eshopu, kde jsem si něco objednával, a je vymalováno. Jinak nechtěl bych rovnou PIN ke kartě; spíš bych si představoval, že bych transakci potvrdil v rozhraní IB banky, stejně, jako jakýkoli jiný příkaz elektronického bankovnictví.

Coz se technicky umi, ale pouziva jen vyjimecne (videl sem to, platba zustavala na ucte jen zablokovana, az do autorizace). Technicky pak nevidim zadny problem v tom, umoznit nastaveni typu limit bez autorizace, pripadne defaultni chovani po nejake lhute (zaplatit/neza­platit) ...

Já v tom taky nevidím technický problém, ale přitom to banky nedělají (většinou ani jako opt-in). Hlavně, že se zavádějí bezkontaktní platební karty…

Proc by mely ... kdyz za to nese vzdy odpovednost klient (v provedeni ala CR) ... Proc by banka mela investovat do zabezpeceni cizich penez ... neni duvod. Kdyz se neco stane, rekne se ze klient nekde neco nemel ... a tim je to vyreseny.

Slozity to neni ... ale proc to delat ...ze ...

Videl sem, jak probihala platba po netu s expost autorizaci - jednoduse prisla SMS a dotycnej musel ze svyho uctu atutorizovat tu zablokovanou castku, ktera by bez autorizace proste neodesla.

Co vic, znamemu dokonce z banky zavolali, ze ma na ucte platbu v neobvykle mene do zahranici (v korunach ... ;D ) a jestli to mysli vazne (a to neslo o zadnou horentni sumu, cca $50).

Pripadne muzeme lehce jinam - kolega volal z US ... a do hovoru mu uplne normalne vstoupila operatorka, a ptala se, zda chce v hovoru pokracovat, protoze jiz prekrocil svou beznou mesicni utratu.

Nj, u nas se necha zakaznik provolat statisice, banka mu necha vykoupit ucet ... a pak se pise, jak byl blbej, ze pouzival jen 4mistnej ciselnej pin ...

BTW: Pro pobaveni (na tema bezpecnsot), kolegovi prislo celkem nedavno od M$ a toho jejich uloziste ... ze omezili delku hesla na 8 znaku ... a ze pokud mel delsi, tak ze ho ma proste oriznout ... lol ... => ukladani hesel jako otevreny text.