Názory k článku Silné ověřování zákazníka: jak se dotkne e-shopů a nakupujících?

Kafovary na nádraží, stejně jako na letišti v Helsinkách... Ono toho bude víc.

Pražské parkovací automaty dělají totéž - zasunete kartu, za 15 sekund vyjmete, žádný pin, žádné ověření. Transakce řádu desetikorun procházejí tímto způsobem vždy (VISA i MasterCard)

Naštěstí to vypadá, že banky nemají v úmyslu dát najevo klientům, kteří nemají smartphone nebo si do něj nechtějí instalovat jejich aplikaci, že o ně nestojí. Tedy aspoň ne teď, jak nás bude ubývat, dá se očekávat, že dříve nebo později se najdou banky, které "dinosaury" přes palubu hodí.

To tedy pěkně děkuji.
Představa útraty několika tisícovek, neustálého nabíjení a ještě opakované placení tarifu, abych mohl normálně zaplatit za pizzu mi přijde poněkud ztřeštěná.

Ony jsou specialni vyjimky pronektere terminaly. Je to definovane na zklade MCC (Merchant Category Code), ktery rika umisteni terminalu - restaurace, banka, fitko, MHD, mytna zavora, .....
A prave doprava obecne (trajekty, letadlo, HMD, ...) a treba i mytne brany padaji do techto kategorii.
Napr.:
letadla a trajekty proto, ze neni (nemusi byt) k dispozici signal pro online spojeni do banky
MHD,myto - kvuli propustnosti, rychlosti odbavovani

Nákupy kartou v zahraničí opravdu občas fungují dost zvláštně. Před lety (konkrétně v létě 2008) jsem takhle zažil překvapení, když jsem v Dánsku platil kartou mýto (Storebaelt). Prostě jsem do toho terminálu strčil kartu, po chvíli mi ji vrátil, aniž by po mně chtěl nějaký PIN, závora se otevřela a mohl jsem jet; po návratu domů jsem zjistil, že ani v bance se nad tím nikdo nepozastavil, nikdo se mne na nic neptal a platba odešla. Přitom to nebyla nějaká zanedbatelná částka, IIRC něco kolem tisíce korun.

xRST: Děkuji, že jste se sám odhalil, že si jen vymýšlíte. V původním komentáři jste psal jenom o fotkách, o jménu tam nepadlo ani slovo. Pak jste pochopil, že fotka není identifikátorem na platební kartě, je to pouze potisk, a pokud si někdo nechá na kartu vytisknout fotku své milenky, aby ji měl stále na očích, je to jeho věc. Tak jste se začal „nenápadně“ tvářit, že je vlastně celou řeč o jménu vytištěném na kartě.

Obchodník nemůže odmítnou platbu kartou proto, že se mu nezdá její potisk. Také nemůže odmítnout platbu proto, že se mu nezdá jméno na ní vytištěné – pokud má o jménu pochybnosti, může zákazníka požádat o doložení totožnosti a teprve pokud zákazník totožnost nedoloží nebo bude jméno na občance/pasu jiné, má obchodník povinnost platbu odmítnout.

ta platba "prošla"_ do jakého stadia?

a) daná částka se vám zablokovala na bankovním účtu připojeném k dané platební kartě (a ponížil disponibilní zůstatek na účtě)

b) po 14 a více dnech se vám daná částka z účtku skutečně ODEPSALA (strhla)?

v ČR možná ne, ale zkuste si prozkoumat KYC v mezinárodním kontextu, coby autorizační efekt.

no tak to je váš názor - s kterým já rozhodně nesouhlasím.. zaprvé naprosto amatérsky neberete v potaz nejrůznější psychologické studie, které se zabývají podobnými tématy (typu "vrozený instinkt důvěřovat autoritám - v tomto případě "renonomovanému", z phledu většiny těžko padělatelnému výrobku - který navíc funguje - takže asi byl skutečně vydán TE DANE OSOBE.. že jo?)

takže ne.. špatně byste se zachoval vy, pokud by vás to vůbec nevytočilo a neříkal si sám sobě "sakra.. jak tenhle člověk - chlap - dokázal přinutit banku, aby mu na embosovanou kartu vytiskla ženské jméno.. a k tomu si přilepil svou fotku.. ".. NEBO banka tu kartu vytiskla jeho partnerce (a v tom případě ji NEOPRAVNENE UZIVA!!!) a já bych měl v takovém případě pochopitelně platbu odmítnout..

ta poslední věta je zcela zásadní! . Pokud se nebudeme pohybovat v rovině, že si někdo doma padělá embosované karty a ty kredítní karty od Citi byly skutečné a pravé - tak NIKDO neměl přijmou platbu danou kartu s uvedeným ženským jménem od chlapa.. (vynechme extrémy typu přeměny pohlaví, kterých je v CR řádově asi do 100 ročně.. - a i v takovém případě se domnívám, že banky původní karty zneplatní).

Hmm, ono se to dotyka i plateb na terminalu !!!

a) issuer karty musi hlidat pocet transakci bez overeni uzivatele a ma moznost vynutit overeni
b) takze konec offline platbam, nove bude floor limit na 0,- a tudiz vsechno online

Takze toreticky jsou 3 typicke scenare cless platby pod CVM limit (v CR 500,-) kdy pouze prilozim kartu, nezadam PIN, terminal jde do online (floor limit 0,-), a issuer se rozhodne:
a) ze serveru se mi vrati pozadavek na 'prizadani PINu', a terminal posila tu samou transakci (ty same data) + online PIN znovu issuerovi
b) ze serveru se mi vrati pozadavek na pouziti kontaktniho cipu s offline PINem, takze zasunu, zadam PIN, a k issuerovi jde nova transakce s indikaci offline PINu
c) ze serveru se mi vrati pozadavek na 'on device autentizaci' - terminal nastartuje novou platbu (tentokrat s CVM limitem 0), ja prilozim mobil, terminal napise 'ctete pokyny na mobilu', mobil vyzve k autentizaci (otisk prstu, ...), prilozim potreti a mobil rekne terminalu 'OK, autentizace probehla' a terminal posila novou transakci issuerovi

Není to řešení protže to je stav minulý . I jiné banky nemají to zabezpečení o kterém se píše a teprve ho nasadí. Mimo co mě zajímá bankovní licence pro Litvu. ...

PIN sám o sobě nebude stačit pokud to bude to co ta směrnice o které se hovoří . Pokud ano nebude to služba na kterou je potřeba ta licence.

Revolut má bankovú licenciu, preto ho uvádzam ako jeden známy prípad riešenia.

Souhlas, dělá to plno firem. Mnohdy ani neověří CVV, jméno na kartě - ověřeno na sobě (zkoušel jsem zadat platné číslo karty, smyšlené jmého i CVV a platba normálně prošla).

Sice chápu, že banky / eshopy a i firmy chtějí co nejjednodušší placení, ale pak se musí zase dělat obsturce s tím, jak to zabezpečit. Mě třeba vadí, že si některé e-shopy uloží kreditku a pak si automaticky strhnou prachy aniž bych to věděl a když se člověk začně pídit, tak velkoryse pošlou fakturu. Jde přeci o moje peníze a já bych měl autorizovat jakoukoliv platbu ne?

Nejhorší na tom je to, že s tím nic neuděláme a budeme se muset podřídit.

za mě, je to jen další nesmysl z EU. Pokud je někdo svéprávný, má odopvědnost za své chování a jestli si dejme tomu, napíšu PIN na kartu, je to moje hloupost a za případné zneužití si ponesu následky. Tudíž, pokud nechci jejich nařízení využívat, mám si zrušit účet v bance nebo co? Osobně mi vadí, že se stále musíme něčemu přispůsobovat a člověk nemá možnost volby...

Jak píšete, je komické na celém tohle je to, že v krámě také nekontrolují občanku ani podpis na kartě, zda se jméno shoduje s tím co je na kartě. Úplně stačí, že kartu máte a znáte PIN.

Celkově, nařízení z EU jsou nesmysl - CO2 teror, GDPR atd...

Zatím jen pevný PIN, vizuální ověření podpisu , ověřovací SMS..... ...fotka ani otisk prstu k uznávanému/vy­žadovanému uvěření nepatřila z pohledu nařízení, vyhlášek zákonů .
A řež je o zákonnými normami vyzařovaném zabezpečení nikoliv že banka si vymyslí že musíte "odzpívat USA hymnu" nebo přijít v sudetoněmeckém kroji .

Fotka ale není identifikační údaj karty. Některé banky nabízejí vydání karty s vlastním potiskem, klidně si tam někdo může nechat dát fotku milenky nebo fotbalové hvězdy. Takže pokud takový průzkum opravdu dělali, špatně se zachovala ta menšina lidí, která se nad nějakou fotografií pozastavovala.

Já třeba smartphone nechci proto, že z mého pohledu je to zařízení, které sice kombinuje funkce mobilu a počítače, ale žádnou z nich nezvládá uspokojivě. Bohužel je ale třeba dodat, že i v dnešní nabídce "dumbphonů" už dlouho marně hledám nějaký, který by byl adekvátní náhradou za mou osm let starou Nokia 2323 Classic.

Pokud pro Vás banka, která Vám poskytla platební kartu, nic jiného ne vymyslí, tak ano.

Ano o výkladu, protože řeč není o platebních systémech jako ten který tlačíte.

Já jsem tuhle Nokii taky měl. Vyhovovala mi. Jenže jsem jel na montáž do zahraničí a potřeboval jsem dvousimku, tak jsem si vybral tu 222. Tu křivku rozložení IQ v populaci znám, je to klasika. Byl jsem na docela náročných psychotestech před pár lety, kdy jsem se zajímal o jistou pozici. Tak při vyhodnocení mi to potom můj šaman psycholog ukazoval. :-)
Jádro pudla vidím v tom, že ne každý je ochoten si ten chytrej mobil pořizovat. Někdo protože ho prostě nechce a chce jen telefon na telefonování, někdo proto, že už je to pro něj zbytečně složité a drahé (tím nenarážím na IQ, ale na to, že taková věc je drahá a přecpaná funkcemi, z nichž běžnej uživatel použije tak pět a za ostatní prostě ty prachy vyhodí) a někdo proto, že se toho bojí a nechce se učit nové věci.

nevím, jak jste to myslel, ale N6310 je široce oblíbený model mezi celou řadou lidí, co se týče dané éry.. taky jsem ho měl..

ten "problém pudla", jak ho označujete, spočívá v tom, že v běžné populaci naleznete procentuálně různě skupiny obyvatel, co se týče např. jejich IQ.. a to bez ohledu na to, zdali budete zkoumat např. německou, italskou či českou populaci. Přesné rozvrstvení, co se týče procent (až na tu nejvyšší kategorii) neznám, ale dá se do určitě dohledat.. takže máte určitě největší skupinu obyvatel s nějakém "průměrným či podprůměrným IQ" (někde okolo 95-105).. těch bude určitě velmi blízko 50 procent.. pak budete mít skupinu tzv. "průměrně inteligentních" a navzdory běžně očekávaným závěrům, to fakt nejsou jedinci, kteří mají IQ třeba 120. .. "průměrné IQ" je hodnota okolo 110 bodů.. a tak bych mohl pokračovat.. nadprůměrně inteligentní mají hodnotu okolo 120 bodů .. a lidé s IQ n ad 140 bodů (jichž je v běžné populaci údajně okolo 2 procent), jsou označování jako "leaders a intelektuální představitelé společnosti"..

já jsem osobně neviděl žádnou - zdůrazňuji v této souvislosti, že se i ze strany Citibank jednalo POUZE o kreditní (nikoliv debetní karty).. a jak správně poznamenáváte.. "karta s fotkou" - to je unikum a tedy určitě lze čekat, že přitáhne pozornost každého, kdoi ji má v ruce.. stěží můžete (či v té době) platit kartou obráceně, že by nebyla vidět její čelní strana.

Nepodsouvejte mi vase vysnene zavery. Toto opatreni co ma nyni prijit v platnost neni dobrovolnou akci bank a vydavatelu karet, ale z velke vetsiny politicke rozhodnuti, kdy se EU opet rozhodla, ze bude svoje ovecky chranit.
Kde jsem vám něco podsouval? Kde jsem psal, že je to dobrovolnou akcí bank a vydavatelů karet?

Bezpecnost mych penez je pouze otazkou me osoby, ani banky, a ani obchodnika.
Jenže tady nejde o vaše peníze, tady jde o platební transakci. A v té nefigurujete jenom vy, ale i banka a obchodník. Dobře, vy byste třeba tu platbu bez mrknutí oka akceptoval. Ale jak zabráníte tomu, aby někdo jiný neřekl, že on se o bezpečnost také postará sám, ale až by došlo k tomu zneužití karty, reklamoval by to u banky i u obchodníka?

Je to stejne jako kdyz budu mit penize v penezence, tu ztratim a o penize prijdu a za tyto penize nekdo nakoupi v obchode. Penize take zustanou obchodnikovi a jediny kdo o ne prijdu jsem ja.
Není to stejné. To zabezpečení se netýká vašich peněz uložených někde pod polštářem, týká se to transakcí. A v takové transakci je kromě vás ještě banka a obchodník.

Lide naprosto bezne nakupuji tak, ze dikutji cisla karet obchodnikum pres telefon apod. pokud jim kartu nekdo zneuzije, banka vraci penize, kupodivu to lze i bez jakehokoli zabezpecnei.
V USA je ale úplně jiná kultura placení. Používají se tam šeky, kreditní karty jsou jenom jejich modernizace.

Zaroven pokud se o sebe neumite postarat a neumite se rozhodnout a nest riziko, tak nenutte takto neschopne zit i druhe.
A pak kdo tady komu něco podsouvá. Pořád nechápete, že platební transakce není jen vaše záležitost, ale týká se i dalších subjektů.

Takze naopak - idealni system by byl ten, ze kdo chce muze mit i desetinasobne overeni a kdo nechce, nebude mit zadne, ale v pripade zneuziti ma smulu an ikdo mu penize nevrati. To je cisty system.
Jasně. A ideální systém na silnici bude, když si každý bude jezdit, po jaké straně chce. Vy si přece sám zodpovědně dokážete vybrat, jestli jezdit vlevo nebo vpravo. A že nastane problém, pokud se potkají v protisměru řidiči, když jeden pojede vlevo a druhý vpravo? Tak daleko jste neuvažoval, že, vy pořád řešíte jenom co vy.

Ne to, ze kdyz vy jste neschopny, tak k tomu vasemu chovani nutite i druhe. Ja vas nenutim si to overeni vypinat, vy mne nutite si ho zapinat.
Vy mne k ničemu nenutíte? Jak teda v tom vašem „čistém“ systému zařídíte, abyste vy mohl platit jenom opsáním čísla karty, ale moje platba musela být autorizovaná dalším faktorem? Když já kartu ztratím, najde ji podvodník, přijde k obchodníkovi, zaplatí s ní a prohlásí, že k platbě touhle kartou stačí opsat číslo. Aha, on ten váš „čistý“ systém nefunguje, protože ve skutečnosti vaše pravidla také vnucujete ostatním. On je to totiž systém, to znamená, že je jenom tak bezpečný, jak bezpečná je ta nejméně zabezpečená varianta. Přidávat dobrovolné prvky zabezpečení je k ničemu, protože útočník prostě ty dobrovolné prvky zabezpečení navíc nepoužije.

To je otázka výkladu smernice. Revolut napr. môže mať app chránenú len PINom a nevyzerá to, že by to menili. https://blog.revolut.com/3ds-secure-payments/

Ano většina lidí má smartpohne ale v ČR to bude bez čtečky otisku prstu.

Protože elektronika stejně jako osobní vozy je u nás u obyčejných spotřebitelů stará. Stejně jako hardwarem, obyčejní lidé stále jedou generaci počítačů okolo Core2Duo.

Nevím sice kolik takovej smartphone stojí, ale kupovat si ho primárně proto, abych mohl nakupovat v e-shopu, nebo autorizovat platební příkazy, či provádět jiné finanční transakce, považuji za vyhazování peněz do kanálu. Ale to je samozřejmě moje volba, že jo.

Sice to tak drsné nebude, ale klidně by se na Vaši otázku dalo odpovědět "Nijak." Stejně tak jste se mohl ptát, když televizní vysílání přecházelo z analogu na digitál, jak budete přijímat televizní signál, když máte jen starou televizi a novou ani set-top box nechcete. Prostě byste ho nepřijímal.

A pokud se nechcete vzdát výhod starého dobrého hloupého telefonu a zároveň chcete využívat služby, pro něž je třeba smartphone, můžete to udělat jako já - mějte oboje. Mám jak hloupou Nokii, kterou nabíjím jednou týdně a používám ji jen k telefonování a SMSkám, tak smartphone, který tedy osobně používám k více věcem než jen mobilnímu bankovnictví (a musím ho nabíjet denně - ovšem když zapomenu, pořád mám tu Nokii).

Vy jste zase názorným příkladem toho, že chcete o všem rozhodovat sám, ale ani nevíte, o čem byste vlastně rozhodoval. Pořád se tváříte, že to ověření je věcí jenom držitele karty. Jenže ono to tak není. To ověření chrání také obchodníka a banku.

Takže já bych s dovolením ten váš text přeformuloval, aby byl pravdivý – vy chcete rozhodovat i za banku a za obchodníka. A pak kdo chce k něčemu nutit někoho jiného.

Já zase tvrdím, že většina lidí stejně chytrý mobil má. Pro ně je rozhodně jednodušší přiložit palec než opisovat SMS kód. Takže uživatelský komfort je vyšší.

Co se týče porovnání s žádným zabezpečením, tak tam je komfort opravdu nižší, ale odměnou je vyšší zabezpečení.

Ano to stím obličejem a otiskem sem spletl jenže...
Evropský orgán pro bankovnictví (EBA) rozhodl, že jednorázová SMS zaslaná na mobil nepatří mezi znalostní kritéria – nejde o něco, co by mohl znát jenom majitel karty. SMS se tak ocitla ve stejné kategorii jako samotný mobil – něco, co má uživatel u sebe. Do budoucna už proto nestačí zadat údaje z karty (ty mimochodem nepatří ani do jedné z ověřovacích skupin) a potvrdit je kódem z SMS. Šlo by jenom o jeden faktor místo potřebných dvou.

A já sem hovořil o ověření navíc.

stejně nelze řící že sSmartphone není automaticky čtečka otisků prstů ani solidní selfie kamera.

Kdyby jen čínským... co třeba Amazon s jejich slavným "one-click shopping"? A na banky bych nespoléhal. Nedávnou jsem absolvoval poučný rozhovor s jedním expertem (tak se sám tituloval) z oddělení platebních karet jedné velké české banky. Nejdřív mi na otázku, jestli je šance, že umožní, abych si mohl zakázat nebo omezit platby bez použití PINu, bez váhání odpověděl "[jméno banky] necítí potřebu něco takového nabízet". A po chvíli to přiznal naplno: "Mým úkolem je, aby placení bylo pro zákazníky co nejpohodlnější."

A to je celá podstata problému: prioritou banky je to, aby platby byly co nejpohodlnější, protože čím pohodlnější budou, tím víc jich bude a tím větší bude jejich provize. Když začnete namítat, že vám nějaký model nepřipadá dost bezpečný, buď vám nabídnou pojištění nebo vás odbydou větičkou "nemáte se čeho bát, když k něčemu dojde, tak vám ty peníze samozřejmě vrátíme" - jenže obchodní podmínky říkají něco trochu jiného a když dojde na lámání chleba, odkážou vás právě na ty obchodní podmínky.

Co na to VISA nebo MasterCard, o tom asi není třeba dlouze spekulovat. :-(

hezky si protiřečíte. To opatření je založené mimo jiné na tom, že si obchodník nemůže vybírat, jaké ověření provede, a nemůže ho udělat špatně – protože to ověření dělá banka. Jinak pro vás by asi bylo potřeba upravit jedno rčení: „Kdo chce psa bít, hůl si vymyslí.“ Kolik jste viděl platebních karet, na kterých byla fotografie držitele?

Mobilní bankovnictví je pouze jedna z možností. V článku je to napsané trochu nešťastně, vypadá to, jako jediná možnost. Správně je to „alespoň dva druhy autentizace ze tří skupin – něco mám, něco vím, něco jsem“.

Mě by se spíš líbilo, kdyby se přikázalo evropským bankám, aby nepovolily žádnou karetní transakci bez 3D secure.
Přikazovat čínským obchodníkům to asi nejde (i když si myslím, že ti slušnější by na to přistoupili), zato banky by to mohly chtít.
Teď je otázka, co na to VISA nebo MasterCard, protože to jsou americké společnosti a na ně je asi EU legislativa krátká.

:-) Vy jste mně nekdy poslouchal, když jsem vykládal svému okolí jaký telefon chci??? Telefon mám na to, abych mohl telefonovat, smskovat a občas se kouknout do e-mailové schránky (jo a standart - kalkulačka, budík, kalendář atd.). Nic se na něm nedá spustit, nic se na něj nedá instalovat... Všechen ostatní internetový provoz řeším z desktopu. Taky mám tlačítkovej, ale trochu sofistikovanější - dvousimka Nokia 222. Nicméně, jádro pudla zůstává, jak budu řešit nějakou platbu na internetu, když to po mně bude požadovat kromě potvrzující smsky od banky ještě něco dalšího? Jistě, vybrat si platbu převodem a klasicky navštívit z počítadla banku a zadat příkaz k převodu. Ale není to trochu na palici? A co když se banka zjančí stejným způsobem....? Nejspíš začnu nosit zase papírové formuláře k zadání příslušné platby na pobočce. Ale bude to strašně drahý. Firemní účet a oba soukromé jsou rozmístěny zhruba v rozích trojúhelníku se stranami 25; 25; 7 kilometrů. :-( Toho benzínu...

26. 8. 2019, 23:40 editováno autorem komentáře

já to vnímám velice podobně jako vy.. a nemyslím si, že máte "hloupej mobil" - naopak vás považuji za toho "chytřejšího", kdo si porovnal vlastnosti, výhody a nevýhody nějaké Nokie 6310 vs. smart phone a zcela logicky to vyhodnotil tak, že telefon MA umět hlavně vydržet dlouho na baterii a pohodlně a hlavně SPOLEHLIVE vytáčet a spojovat hovory.. což jako fakž smart phony moc neumí, protože už při startu je zdržuje každá sw blbost uvnitř..

vy vlastně máte výhodu v tom, že jste v praxi využil princip "security by obscurity" - nikdo nenapadne váš mobil nějakým virem či root kitem, protože to zkrátka ani nedává smysl.. a pokud pro přístup na internet nemáte problém mít mobilně např. tablet či laptop, tak opravdu oceňuji váš přístup. Podle mě má zkrátka mobil plnit naprosto zásadně svou hlavní funkcí - a to je telefonování. ne posílání MMS nebo surfování na netu, ale TELEFONOVANI. a ti p--rchanti výrobci nejsou ani schopni zabudovat do smart phonů něco na způsob QoS, že telefonní služby budou mít vždy absolutní prioritu před vším ostatním. A tak i já mám v kapse nějaký laciný tlačítkový telefon za asi 200 Kč, protože chci mít jistotu, že když budu potřebovat, tak se hned dovolám.

26. 8. 2019, 23:25 editováno autorem komentáře

Mám pouze hloupej mobil, jak si budu otvírat mobilní bankovnictví, když ho nepoužívám, mobil nemá vybavení ani pro biometrické ověřování... Fakt mně to zajímá.

26. 8. 2019, 22:37 editováno autorem komentáře

no tak to není zase tak přesné.. už v minulosti byly např. ze strany Citibank provedeno celá řada pokusů, jak obchodníci kontrolují "identifikace držitele kreditní karty" (nikoliv debetní, ale podle mě je to totálně jedno).. s hrůzou zjistili, že prakticky nikdo se nepozastavil nad tím, když muž platil s kreditní kartou, na níž byla fotografie ZENY.. a to bylo někdy kolem roku 2010

takže asi toliko k další kravině z Bruselu.. pokud jsou tací jedinci tupí, tak zkrátka ať jim odeberou svéprávnost a volební právo. takový ple.. vel nemá co v civilizaci dělat. Chtějí ochranu? Fajn.. mají ji mít.. ale něco za něco.. když jsou neschonpi kritického a racionálního uvažování, tak jim nepatří do ruky nástroj pro platby na internetu, neboť po IQ a mentální stránce na něj nejsou dostatečně vyspělí.

Pouze jsem rozporoval vaše tvrzení, že je požadováno silnější zabezpečení, než při platbě fyzickou kartou – nikoli, platba větší částky fyzickou kartou se v EU autorizuje dvěma různými faktory, držením karty a znalostí PINu.

Při platbě u obchodníka s 3D Secure se sice používají dva faktory, ale stejného druhu – prokazujete, že držíte kartu (zadáváte z ní číslo karty, expiraci a CVV) a že držíte mobil (ze kterého opíšete bezpečnostní kód). Navíc se ale ten bezpečnostní kód posílá nešifrovanou SMS, což už dnes není považováno za bezpečný kanál.

Bohužel mezi těmi, kteří tvrdí, že chtějí nést riziko, je spousta těch, kteří se budou jako první vymlouvat, že nevěděli a že to měl někdo zařídit. Navíc to riziko byste nenesl jen vy, ale také obchodník, banka…

Blábolíte. Otisk prstu i rozpoznávání tváře jsou biometrické údaje, tedy jedna z těch tři možností.
Myslím, že tazatel měl pravdu.

Pro uživatele se smartphonem to bude komfortnější.
Pro uživatele bez smartphonu banky pravděpodobně vymyslí něco jiného.

Je taky zajimave, ze pri fyzicke nakupu takovou formu autorizace nikdo nevyzaduje. Tam staci zadat PIN a do urcite hodnoty apod. ani to ne. Tady vice urovnove opatreni nestaci a musi se pridat dalsi.
Při fyzickém nákupu prokazujete, že něco máte (kartu) a že něco znáte (PIN). Tedy je to 2FA splňující ta pravidla. Když platíte nižší částku bezkontaktně, PIN zadávat nemusíte – ale stejná výjimka je i pro ty on-line platby, dokonce je ten limit o něco vyšší.

Ale 3D Secure je ochrana obchodníka, ne uživatele. Ani to jako ochrana uživatele nebylo zamýšleno.

Ano, pokud máte propojen mobil a PC, tak to jednodušší není.
Ale pro mne co toto nemám, tak je to zjednodušení pokud bude potvrzování v aplikaci.

Pokud pro 3DS2 bude definovaný standard, tak by to banky mohly integrovat to stavajících mobilních klíčů pro IB
a bylo vše v jedné aplikaci. Stačí jen přiložit prst.

Hlavní benefit 3DS pro uživatele je, že obchodník nevidí informance o kartě.

Souhlasím s tou závislostí na mobilu. Snažím se k tomu přistupovat střízlivě a ne na vše mobil používám.

Rád bych poupravil informace uvedené v článku. Článek na mě působí tak, že by snad klient musel nutně potvrzovat platby v aplikaci... omlouvám se, jestli jsem to pochopil špatně.

Pokud jde o placení kartou na internetu:
- dnes: klient opíše z karty číslo karty, platnost karty, CVC kód a platbu potvrdí opsáním kódu z SMS (pokud je 3D secure)

Nově s PSD2 je sice nutné použít dva bezpečnostní prvky, ale PSD2 také dává poskytovatelům platebních služeb možnost použít řady výjimek, takže:

1.) pokud banka/klient nemají/nepoužijí aplikaci: klient opíše z karty číslo karty, platnost karty, CVC kód a platbu potvrdí opsáním kódu z SMS (pokud je 3D secure) - takto to bude vypadat pro většinu (cca 80 %) transakcí i po PSD2, protože banky a vydavatelé karet využijí jedné z výjimek PSD2, tzv. transakční analýzy rizik. Takže pro klienta žádná změna.

U zbylé menšiny transakcí (cca 20 %?), které analýzou transakčních rizik budou vyhodnoceny jako nedůvěryhodné, budou muset být ošetřeny ještě druhým faktorem. Zde, pravda, je situace zatím nejasná...

2.) pokud banka/klient mají/používají aplikaci banky: klient opíše z karty číslo karty, platnost karty, CVC kód a platbu potvrdí v mobilní aplikaci (podle toho, jak si to nastavil - obvykle PIN kódem, otiskem prstu nebo via Face ID).

Tedy: budu muset zakoupit chytrý mobil a datový terif?

Tomu říkám paráda!
Tak 3DSecure mi odstavilo placení kartou (protože na SMS čekám obvykle podstatně déle, než je její platnost - bydlím trochu "mimo mobilní signál") a teď navíc budu muset mít nějaký "chytrý mobil" s bankovní aplikací, přičemž dotyková zařízení prostě nejsem schopen ovládat (je to vzájemné - já nepoznám, kdy a kde jsem se dotkl, zatímco dotykové obrazovky ajakož i dotyková "tlačítka" pro otevření dveří trolejbusu ignorují, když se jich dotknu, případně vyhlásí nějakou chybu)? Takže pokud chci platit online, musím jednoúčelově zakoupit zařízení za několik tisíc korun?
Koukám, že mi nezbyde než chodit se složenkama do banky a za každou platbu si připlatit 75 Kč... Tomu tedy říkám "pokrok"!

Nechci Vás zklamat, ano taky bych mnoho ochran které jsem musel koupit aď součástí služeb nebo zboží bych chtěl proplatit. Ale zapomínáte na příklad dle mého názoru neschopných jedinků kteří se zratil nedávno na dovolené "uprostřed civilizace" ? Takových lidí je ve voličích takové procento že zákonodárci jim dávají přednost.

Se zlepšením to myslím není tak jednoznačné. Potvrzování přes aplikaci je pro někoho zlepšení, ale vylučuje to možnost celý nákup provést pouze z PC, protože tu potvrzující hlášku v mobilu přes PC "neodklepnu" a budu se muset drbat s mobilem.
Dnes stačilo v PC udělat copy&paste z SMS notifikace a nemusel jsem sahat na mobil.

Můj názor je ten, že je mi 3DS na dvě věci. Pokud se hodně dobrovolně neomezím a nezakáži na kartě nákup bez 3DS (takže třeba na Amazonu nebo Spotify smůla), tak je mi celé 3DS na nic. Navíc bohužel hodně bank má kvůli zjednodušení "3DS = online platby" a nemá to možnost nastavit odděleně, včetně limitů. Dnešní 3DS je tedy spíše ochrana obchodníka, ne uživatele.

Pokud 3DS nevynutí všude natvrdo společnosti vydávající a provozující platební karty jakou povinnou součást transakce, tak je podle mě z hlediska uživatele, bez jeho výrazného omezení, bezzubé. Vynutit to ale asi není tak jednoduché, jak z hlediska "zájmů" společností (asi by se méně utrácelo), tak technicky, kvůli různým pravidelným platbám (mám někde uloženu kartu a strhává se mi částka) atd.

PS: Ačkoli jsem technicky založen, tak mě hodně vadí čím dál tím vyšší závislost na mobilu a bojím se jí. Vypadá to na první pohled všechno pěkně. Ale pak (na dovolené v zahraničí) mobil ztratíte nebo vám přestane fungovat a ani nově koupený vám moc nepomůže a pěkně se zapotíte.

Ne to není místo ale ještě k tomu. A co si zvolí za zabezpečení je o tom jak se dohodně vaše banka s karetní společností.
Oni si mou vybrat:

-PIN ( i plavoucí)
-nebo otisk prstu
-nebo ropoznání tváře

Mohou zvolit a umožnit jeden, dva, nebo tři .

Ve většině případů by to znamenalo instalaci další aplikace. Bude podporovat jí Váš telefon ? Smíte jí instalovat na služební telefon? Máte na tom telefonu data?.... ....na opačném straně budou to fungovat na rootlém zařízení?

Pro mnoho lidí detaily a zbytečnosti které přejdou. Ppro někoho to bude třeba xxxx za nový telefon a 0,xx,- za jednu platbu.

Opravdu je to zlepšení komfortu jak ho prezentuje PR jedné karetní společnosti?

Snad jsem to pochopil dobře. Pokud platím na internetu kartou s 3D-secure, tak se zase tak moc pro mne nezmění.
Tedy místo přepisování kódu ze SMS danou transakcí potvrdím v aplikaci na telefonu přes PIN či otisk prstu. Něco ve smyslu jak fungují mobilní klíče u některých bank pro potvrzování transakcí.
Potvrzování přes apliakci beru jako zlepšení a ptal se po tom již dříve.

Akorát nevím co budou dělat lidí bez chytrých telefonů co mají jen SMS.. Možná ty tokeny?

Jak se to skutečně dohoně českého zákazníka nelze určit. Už v článcích k tématu v minulosti se zástupci peněžních ústavů vyjádřili že vyčkávají protože údajně ona směrnice není jasná \ doslovná .

Bude tedy záležet na tom jakou banku a firmu která vydává tu platební kartu se jedná a jaké z možných řešení zvolí.
A i jak bylo zmíněno o jakou částku se jedná.

Jediný kde v tomhle měl "jasno" co jsem tak četl bylo PR MasterCardu. Který si představuje, že všichni si koupí nové telefony s patřičnou technologií , pokud je už přeci nemají. O nutnosti datového připojení nemluvě.( symbolické ale přeci jen ano) Další možné "zlepšení" uživatelského komfortu by byla aplikace banky generují patřičný časově omezený token.

Celkově to připomíná přechod Analog>DVBT1>DVBT2 . Na straně mnohých ( a já tvrdím většiny) klientů jsou to jen náklady bez přidané hodnoty uživatelského komfortu v jejich prospěch.