Vlákno názorů k článku Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS? od Ondřej Bouda - Jo, myslím že se vcelku shodujeme - ze...

Jo, myslím že se vcelku shodujeme - ze strany banky je to OK. Ze strany klienta taky - když ví, že hrozby se v čase mění. Akorát ze strany BFU klienta, který si náhodou přečte Váš článek, řekne si "bezva, nemám se čeho bát" a u tohoto názoru setrvá několik dalších let (protože se o téma aktivně nezajímá), to OK není.
Já jen aby pak na Vás někdo nebyl naštvanej, že tomu uvěřil a nevyšlo to :)

Ne, proč by bylo? Připojím Tamagoči, na displeji se objeví "posíláte 10000000 Kč na 19-105881/0710" a já zmáčknu buď OK nebo Cancel.

Taky přes USB. Samozřejmě to neumí samotný prohlížeč, je potřeba driver.

Kolik může stát nákup/výroba autentizačních kalkulátorů bankou ve velkém? Přijde mi, že dneska už má na kryptografii dostatečný výkon i Tamagoči z tržnice. Displej to má taky a co víc si přát?

Moje Tamagoči jde připojit k počítači a data mu prostě poslat.

Mobil s sebou sice nosím, ale signál všude pořádný nemám, takže už jsem pobíhal s mobilem po dvorku než se chytne a dostanu potvrzovací sms a budu se moci vrátit ke kompu a potvrdit transakci.

Kdepak uz to propuklo. Cca pred 2mesici byl o tom v Chipu clanek, ze utocnici pomoci malware napadli pocitace v evropskych zemich a take napadli Anroid smartfouny. No a pak si pockali, az se uzivatel prihlasi do internetoveho bankovnictvi a malware si ulozil jejich heslo. Pak si sparovali konkktretni smartfoun s tim konkretnim bankovnicvim a pak mu normalne prevedki penize z internerovaho bankovnictvi na sve ucty (kod z potvrzovaci sms jim poslal ten napadeny mobil). Uz si nepamatuji cisla uplne presne, ale podarilose jim tak napadnout cca 100 000 uctu/uzivatelu a ukrast jim cca 30 000 000 euro (dohromady).
V clanku uz ale nepsali, co s tim udelali banky.

Tenhle argument moc neberu - je jenom otázka času, kdy to propukne. A až to propukne, tak někdo přijde o peníze (jinak by toho vira nikdo nedělal).

Takže ano: dnes nic nehrozí. Jenže "normální smrtelník" (ne ten, kdo sleduje techologie) má docela slušnou šanci na to, že až "něco" začne hrozit, nedozví se to včas. Tzn. má slušnou šanci stát se obětí.

Přičemž ta "slušná šance" má dvě varianty:

(A) Postihne to jen pár nešťastníků - ty nejspíš banka podrží (protože je pro ni levnější je podržet než aby se rozmazávalo v médiích, jak je ta banka "zlá").

(B) Bude to fakt masivní - banka udělá na postižené dlouhý nos, protože sanovat jejich blbost by stálo moc. Čili spousta lidí přijde o peníze.

Obě varianty mi přijde stejně pravděpodobné - útočník se bude snažit o B, ale aby byl úspěšný, bude muset mít kromě velkého talentu i štěstí.

Takže když to sečtu: je jenom otázka času, kdy to přijde. A až to přijde, tak je to 50:50 - buď to zaplatí banka, nebo klient.

Ztráty vždy zaplatí klienti banky - tato logika už zazněla ve filmu Firewall: snížíme zabezpečení aby to měli klienti jednoduché a případné ztráty zaplatí stejně oni (na poplatcích).

No, a teď to důležité: Jak IB dostane ta data do Tamagoči?

Spíš bych tipoval, že se to bude dělat přes plugin do prohlížeče. Stejně je to ale pro BFU zbytečně komplikované a dá radši přednost bance, kde placení bude jednodušší.

To riziko tu samozřejmě je a třeba se mi článek za pár let ošklivě vrátí. :)

Ono ten "náběh na novou bezpečnost" bude ideálně pozvolný - již nyní vedeme diskuze, jak věc s malware řešit. Vůči běžným uživatelům se to (doufejme - třeba je druhá strana napřed:)) vykomunikuje rovněž včas a postupně.

Každopádně čím častěji se o tématu bude mluvit s důrazem na aktuální stav věcí, tím lépe...

Ano, souhlasím, že k tomu s vysokou pravděpodobností jednoho dne dojde a mobilní malware bude legitimní hrozba. Problém je, že dnes není k dispozici řešení, které není přehnaně drahé a zároveň je rozumně pohodlné.

Je tedy otázka, zda má banka již teď snižovat pohodlí klienta a utrácet za extra zabezpečení (což zaplatí klienti). Ty diskuze se vedou již nyní, takže to nebude tak, že si jednoho dne řekneme "Ty jo, a jo..." :)

Osobně vkládám naději v to, že se podaří zpropagovat a zpřístupnit ARM TrustZone.

Co si přát? Uživatele, které baví přeťukávat údaje o platbě ještě do kalkulátoru :D

a neni to presne proti jeho smyslu?