Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od Miroslav Suchý - Souhlasím s autorem že SMSka měla smysl v...
-
Souhlasím s autorem že SMSka měla smysl v době kdy telefon nešlo hacknout. Dneska se dá hacknout telefon stejně snadno jako ten desktop. Proto bych uvítal kdybychom od banky dostali ty "čípečky". Ty jsou ohledně hackování na stejné urovní jako v minulém tisíciletí ty mobilní telefony, tj. hacknout prakticky nejdou.
Asi bych se vyvaroval SecureID kvůli jejich průserům v minulosti, ale jinak LinOTP, Yubikey, jakékoliv OTP. Člověk si to pověsí na klíče a nezavazí to. Náklady mizivé a bezpečnost je rázem někde jinde - člověk pak musí mít token, PIN a telefon.Jo a asi jsem divnej, ale mě se ten neformální styl článku líbí.
-
Jantar (neregistrovaný)
Jen doplním o info pokud už nezaznělo že dnes máte možnost mít bezpečné SW OTP tokeny ve formě aplikace. Výhoda je ta, že klient nenosí žádné další zařízení, které navíc po cca 5 letech umře na baterii. Myslím, že to bude jedna z cest - je to rychlé, klienta to příliš neomezuje, banka má jednoduchou zprávu..........jen ceny jsou stejné jako u HW OTP, takže počítejme cca 1000,- Kč za kousek.....a banka to dá buďto jako prémiovou službu s tím že se bude hradit poplatek za zřízení nebo spíše to dá do standardu pak ale musí odepsat milionové investice....
-
O softwarovém řešení je celý článek a spousta příspěvků v diskusi. Nevýhoda SW řešení je, že je jen tak bezpečné, jako zařízení pod ním. Např. androidí mobily jsou bezpečnější, než desktopy s Windows – např. díky oddělení aplikací. Ale pořád tam jde dělat dost věcí, které umožňují ten SW token obelstít.
Jak už tady padlo, třeba Google Authenticator je softwarový OTP generátor a je zdarma. Samozřejmě generuje bezkontextová hesla, pro bankovní účely by bylo vhodné do generování hesla zapojit údaje o transakci – to ale není problém doprogramovat. Pokud jste těmi bezpečnými SW OTP tokeny myslel něco jiného, platí stále první odstavec spolu s tím, že PR řeči výrobce ještě nikdy nic nezabezpečily…
-
Jenda (neregistrovaný)
Když má kontrolu nad tvým zařízením, bude ti hrát divadlo - na obrazovce se ti bude ukazovat, že posíláš pětistovku, ale ve skutečnosti se budou odesílat všechny peníze, co máš, někomu úplně jinému. Ty samozřejmě zadáš OTP a tím potvrdíš transakci - tu útočníkovu.
(Bavíme se o situaci, kdy útočník má (vyownovaný) počítač; pin můžeš zadávat do tokenu - pak se akce vůbec neúčastní, nebo do počítače - a pak ho útočník zná taky)
ČLÁNKY DO MAILU