Vlákno názorů k článku Stále chytřejší malware aneb Hrozby pro mobilní bankovnictví od MB. - Řešení je jednoduché: HW klíče jako je “kalkulačka”....

Řešení je jednoduché: HW klíče jako je “kalkulačka”. Pak mě nevadí, že útočník získá kontrolu nad zařízením, neboť není schopen provést autorizaci podvržených transakcí....ano, může v real-time zaměnit mojí transakci za svojí, ale to už je hodně problematické....
Problém je spíš v tom, lidi HW klíče nemají rádi.

Přesně tak. Nezávislý HW klíč by poskytoval velmi slušnou bezpečnost. Jenže:

1) Je drahý

2) Je otravný na používání

Proto se v realitě prakticky nepoužívá (u nás ho měla snad jen e-Banka na startu).

Tak toto měla kdysi Živnobanka tuším.

Ale bezpečné to není ani náhodou. Před-generovaný kód vůbec nijak neautorizuje vlastní transakci.
Zatím stále u mne pro autorizaci plateb vítězí HW kalkulačka prostá veškeré konektivity.

Unicredit to má jako možnost. Je zdarma, výměna při ztrátě asi 500.

Tak, digitálně _podepsaný_ e-mail by opravdu bezpečný nebyl. Musel by být digitálně zašifrovaný (asymetrickou) šifrou, kterou dokážete dešifrovat pouze vy. Nicméně počet uživatelů schopných takové řešení používat by bylo limitně blízký nule, takže nedává smysl, aby jej banka implementovala.

Tak toto už vypadá na nějakou duševní poruchu to trolení s tím Andriodem, co?
Přispěvatel výše píše o HW kalkulačkách a reakce blábol o Androidu.

Ani jedno není a nemusí být pravda.

ad 1) cena je diskutabilní a závisí na politice banky. Třeba USB má HW kalkulačku za 500Kč. Ale mají totálně blbou implementaci, ale to je jiná věc nesouvisející s cenou.
U RB se platí měsíční poplatek za používání HW kalkulačky.

ad 2) existují různé varianty, např.
- klasická HW kalkulačka (při málo platbách není problém u mě)
- se čtečkou QR kódů (naskenuji, potvrdím a hotovo)
- s modrým zubem s možností propojení s mobilním bankovnictvím v mobilu. Vidíte informace o transakci a musíte potvrdit.
Takže i mobilní bankovnictví může být bezpečné.

Ano, jen kalkulačka. Ale nemá se cenu bavit o cenové politice, protože by mohla být u každé banky jiná a tak nevíme kolik by stála jiná varianta.
A třeba mě by kalkulačka stačila, když mám v průměru 1 až 2 platby měsíčně. Nemám problém to pak zadat.

Ano, to je problém slepice a vejce. Lidé to nechtějí, protože o takové variantě neví a nikdo jim nevysvětlil výhody. Ale těžko soudit.
Zajímalo by mne, kolik lidí by si zvolilo nějakou variantu kalkulačky pokud by ji nějaká banka nabízela a vysvětlovala výhody.

Přece jenom jsme více jak 10 let jinde než v době kdy ČS kalkulačky rušila.

Ad 1) Mě zajímá výsledek. Pokud máte u UCB účet, zaplatíte 500 a už nic. Účet je dále za stejných podmínek.

Ad 2) Ale tak každý si může zvolit co mu vyhovuje víc. Mě by tahání kalkulačky nevadilo. Navíc při mém používání to klidně můžu mít i doma.
Ano nic není 100%. Pokud nechcete modrý zub, můžete mít standardní kalkulačku, která nemá žádné připojení.

Je to vše o volbě každého. Bohužel ale u nás nemáte možnost výběru a zvolit si tu vhodnou variantu pro sebe.

To je otázka, nakolik je odchycení (přečtení) e-mailu složitější, než přečtení SMS a závisí na dost okolnostech.

Každopádně vaše tvrzení, že podepsaný e-mail řeší problémy SMS není pravda a pokud jste se snažil udělat z Fio blbce, co tomu nerozumí, udělal jste ho akorát ze sebe.

Doplním, že se zavedením PSD2 legislativy tento prostředek není ani legální, protože autentizační kód musí být:

- pevně spojený s daty transakce
- spočítaný s využitím alespoň dvou autentizačních faktorů

https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2

Do budoucna tomuto požadavku vyhovují dvě technologie:

- softwarová kryptografická kalkulačka - např. aplikace ala mobilní klíč, jádro v mobilním bankovnictví, ...
- hardwarová kryptografická kalkulačka kam lze zadat data a pak buď heslo/PIN kód, nebo biometrický scan

Prosím vás, chtěla jsem se zeptat, ty banky co údajně tvrdí, že je SMS bezpečná, to jsou přesně které? Banky co znám od SMS naopak ustupují, protože není bezpečná, dokonce na to bylo před časem nějaké doporučení.

Ad 1) Myslel jsem cena obecně. Banka se sice může rozhodnout klíč dotovat z jiných výnosů, ale ve výsledku tu cenu stejně zaplatí klient.

Ad 2) Prvotní otravnost je v tom, že to další zařízení, které máte. Takže ho buď musíte tahat s sebou, nebo se z mobilního/inter­netového bankingu stává spíše homebanking.

Scanování QR kódů / bluetooth spojení je sice hezké, ale komplikuje (= prodražuje) zařízení a zvyšuje jeho spotřebu, tedy dále komplikuje jeho používání potřebou nabíjení / výměny baterek. No a bluetooth, v jeho implementaci mohou být bezpečnostní bugy, přes které se dá do zařízení vzdáleně dostat...

P.S.: 100% bezpečnost neexistuje ;)

Jenže SMS je na tom ještě hůře.

Jenže cena je právě důležitý faktor.

Kalkulačky tu už byly, třeba ta od Raifky, vy zas pamatujete kalkulačku od ČS. A byly zrušeny, protože je lidi nechtěli. Ano, dnes jsme v jiné době, lidé jsou ještě pohodlnější a nebudou je chtít tím víc.

Před časem jsem o tom vedl diskusi s Fio bankou. Ptal jsem se proč mě nutí používat nezabezpečené SMS a ještě muset mít v zahraničí předraženou SIM kartu českého operátora, zatímco digitálně podepsaný email by všechny tyto problémy vyřešil. Odpověď byla, že to nepovažují za bezpečné :-)

Jenže problém není ani tak podvrhnutí (kód prostě nebude fungovat), ale přečtení cizím subjektem. A proti tomu podepsaný e-mail neochrání. Tedy Fio to napsalo naprosto správně.

Ale za těch 500 je to jen kalkulačka, neumí to ani QR, ani Bluetooth, ne?

Pointa je v tom, že lidí, kteří by si zvolili nějakou verzi kalkulačky je příliš málo, aby se to bankám vyplatilo nějak ve větším zavádět, natož mít ještě několik různých verzí, to už by byla naprosto minoritní záležitost.

takze banky prestanou posilat emaily s vypisy nebo je posilat papirove? stejny problem

A to proč? Stále víte od koho přesně přišel a že jeho obsah nebyl upraven. To k danému účelu naprosto stačí.

SMS je na tom výrazně hůře.

Přečtení a podvrhnutí SMS není složité https://www.root.cz/clanky/postrehy-z-bezpecnosti-ss7-zranitelnosti-zneuzity-k-vykradeni-bankovnich-uctu/

Podepsaný email řeší základní problém SMS a to je závislost na konkrétním poskytovateli služeb a zařízení, navíc s regionálním omezením. Jenže tam vidím jasný záměr banky takové služby propagovat, zřejmě nějaká interní smlouva s operátory.

Existuje ještě další velmi bezpečné řešení, pokud neprovádíte deset transakcí denně a je zcela nezávislé na jakémkoli hardware. Seznam předem vygenerovaných potvrzovacích kódů. Bohužel to nemá šanci tím jak je to jednoduché, protože v tom není závislost na zbytečných mobilních operátorech ani na zbytečných proprietálních mobilních aplikacích.

Zkuste si přečíst původní článek a zamyslet se na tím, proč vůbec vznikl. Nebylo by třeba HW klíčů, kdyby ...

Řešení je nepodléhat módním trendům. Například podpisová aplikace pro Windows s certifikátem (kterou stále nabízí Fio banka) je stále miliardkrát bezpečnější řešení (pro ty, kdo o bezpečnost stojí), než cokoli s Androidem, který zabezpečit nelze ať se budete snažit sebevíce.

Totéž se týká zcela nezabezpečených potvrzovacích SMS, zatímco digitálně podepsaný email je nejen levnější a nezávislý na nějakém předraženém českém operátorovi (zde bude hlavní problém), ale především lze ověřit jeho odesílatele i pravost obsahu. Banka ovšem bude donekonečna tvrdit, že SMS je údajně bezpečná a email nikoliv, což je naprostý nesmysl.

Dokud budou banky podléhat masovým módním trendům na úkor elementární bezpečnosti, je vše zbytečné.