CUKI: banka se meni blbe, kdyz ty hesla vynucuje menit legislativa... :)

DANYSEK: nebo banku :-)

QWWERTY: radsi nucene menis hesla...? ;-)

DANYSEK: "neimplikuje, ze to musi byt pro uzivatele opruz"
me teda osobne prijde jako vopruz uz jenom to to, ze sebou musim tahat nejaky dalsi kus hardware, at uz je je to FIDO, Yubi, nebo telefon :))

CUKI: porad v tom smartphone mas dnes nejaky TPM cip... ktery je designovan tak, ze z nej dostat privatni klice je vcelku netrivialni, zeano - a o tom to je.. Ono celkove bezpecnost reseni neimplikuje, ze to musi byt pro uzivatele opruz - viz treba zminovane FIDO2/PassKeys (ktere umi i ty novejsi smartphone; kde to je oprene o ten TPM cip)... Snimani biometriky je ciste o implementaci - ve ktere muzou byt chyby, ale ono tohle se take dost posouva dopredu. Ale ze by se houfne odmykaly telefonem falesnymi otisky... to se fakt nedeje. Bankovni aplikace samozrejme na ten smartphone ma nejake naroky, tzn. se ani nespokoji s kdecim co tomu podstrcis, hlidaji si co bezi okolo.... aneb setrivi chytraci se starymi Lollipopy maji vesmes uz taky smulu, zejo :)

Predstava, ze diky tomu zes absolvoval trictvrtehodinovy "vyslech" bylo to reseni bezpecnejsi je samo o sobe blbost... :D Skrze obscrurity se bezpecnost fakt delat nema.

SPM: No já nevím jak ty, ale já to čtu dost detailně. Ne není to neprolomitelný. Ale vyžaduje to cílený útok.

A právě to je na tom super. I když se dostane do bankovnictví, nic s tím nenadělá. A můžeš důvěřovat čemu chceš, nic nepošleš nic nepřenastavíš...


QWWERTY: Jo tohle bylo spíš dřív. Dneska spíše na hromadné časté platby.
V blahé paměti s tím přišla Barclays. Dostal jsi takovou HW obdobu public/private key. To fungovalo docela zajímavě. BTW to byla která má ty své bezpečností limity fakt divoké. Když jsem si tam na rozhraní milenia zakládal účet, tak jsem musel absolvovat asi třičtvrtě hodinovej pohovor, připomínající spíš výslech.
Nevím jak to funguje dnes ale dostat účet v GB nebylo fakt nic snadného. A tahle banka byla ještě o krok dál než ty ostatní. Moje ex-žena tam třeba nedostala účet protože neměli danou šarži jejího pasu proti které kontrolovali pravost, tak musela jít jinam :-D

Ale dneska? Má to nějaký smysl? Když každej druhej má v telefonu smartbanking, kterej ze své podstaty nemůže být nikdy bezpečnej, alespoň jako tohle?


Jinak ani otisky ani ksicht není zrovna 2x bezpečné řešení. Za pár korun se dá vyrobit kamera která sejme tvůj ksicht za chůze na 12m v dostatečné kvalitě. :-(

Prostě dneska je to hlavně o pohodlnosti. V době, kdy jsem platil jednou ta čas a těch ověření nebylo potřeba tolik se dalo použít mnoho možností, které dneska kde uděláš 10 plateb denně a do mobilu se přihlašuješ ještě násobně častěji nejsou prostě dost dobře možné.

QWWERTY: Z pohledu bezpečnosti už je dnes TOTP 2nd grade MFA, který se pokud možno nechce

SKAUT: HW klíč nabízí "velké" banky, u low-cost banky hledej laciné řešení

SPM: Něco co chtějí. Mj. chování na stránkách. Poukazoval jsem na to, kolik jich chce ta data vytěžit, nebo prodat.

QWWERTY: To byla ironická poznámka... Nebot některé banky ( z toho mála co vím ) mají aplikaci nebo SMS a nic jiného. A zavedeno pár let zpátky , nebo to tak začali vynucovat.

Smutné je to že ti každá banka nenabidne alternativně něco dalšího ( HW klíč ). Moje banka to nenabízí . Takže souhlas.

CUKI: a čteš si v těch SMS úplně do podrobna co potrvzuješ? Nebo když posíláš někam peníze, pípne ti SMSka, tak opíšeš ten kód a odbouchneš to, protože víš, že ti má přijít SMSka? Já třeba znám někoho, kdo o ty prachy reálně přišel, protože potvrdil napárování mobilní aplikace, která nebyla jeho. Přišel ten request přesně ve chvíli, kdy pároval svůj nový telefon, takže to prostě odbouchl a detaily nezkoumal.

Pak jinak taky záleží jaká banka... FIO třeba při prvním loginu chce to potvrzení mobilní apiikací, ale taky je tam zaškrtávátko "důvěřovat tomuhle prohlížeči" což způsobí, že ze stejného prohlížeče se jde víckrát tím loginem přihlašovat už bez potvrzení mobilem a stejně tak jde i odesílat nějaké nižší částky pryč. Znovu podotýkám že na počítači, který nemáš pod svojí kontrolou, se nemůžeš spolehnout na to, že se tohle nestane, ikdyž to nezaškrtneš

SKAUT:
a) lepsi banky afaik vzdycky nabizely navic certifikaty, hardware klice, etc... (a osobne bych i dneska ocenil genericky TOTP podstatne vic, nez zavislost na proprietarni aplikaci)
b) ackoliv se to nezda, tak to neni tak davno, co jsi mel na trhu spoustu uzivatelu, kteri nevlastnili smartphone
c) SS7 vulnerability tady byly vzdycky. nicmene hijacking pro 2FA SMS rerouting je domenou prevazne poslednich cca 10 let a rekl bych, ze vsichni usilovne pracuji na tom, aby tuhle 2FA metodu opustili

nicmene to uz vyzaduje cileny utok. hijack session + SS7 hijack telefoniho cisla + SMS interception ve chvili potvrzovani platby
puvodni tvrzeni SPM bylo, ze uzivatel prijde o penize pouhym prihlasenim na cizim zarizeni

SKAUT: proto vetsina bank travi nekolik poslednich let migraci na non-SMS 2FA

SMS neni úplně bezpečná. "Ukrást" číslo není úplně složité dneska...

SPM: Tomu nerozumím, ale budu moc rád když to tu rozvedeš nebo kdokoli jiný.
Ano ve chvíli přihlášení by se mohl k té session dostat. Ale nic s tím nezmůže. Dokonce i kdybych mu ten NTB nechal s otevřeným bankovnictvím abych mu to nedělal tak těžké, tak prostě na jakoukoli změnu potřebuje ten ověřovací telefon. U každého potvrzení máš zadané co potvrzuješ. K tomu se prostě nedostane, protože to jde už od počátku úplně jinou cestou. A nevím koho jiného. Bankovnictví je propojedné s jedním konkrétním telefonem. Na žádném jiném telefonu to nikomu jinému neověříš. Tohle je velmi elegantní a velmi bezpečné řešení. Oproti tomu když máš smartbanking v jakémkoliv sebebezpečnějším mobilu. Pořád se vystavuješ riziku jakékoliv chyby. Protože pokud tam něco co se dostane do toho bankovnictví bude, tak odchytnout na tom samém zařízení tu smsku není tak složité. Navíc jen toho mobilu se může zmocnit. Dostat se do zavřeného mobilu není tak složité.

CUKI: může odchytit login, může ti pak unést celou tu přihlášenou session, takže ji má v rukou někdo jiný. Nebo už na začátku je ten provoz narušenej a ten ověřovací kód co zadáváš nebo potrvzuješ zadáváš pro přihlášení někoho úplně jinýho. A nemusí to vůbec být o tom, že by ti to chtěl udělat ten člověk, jehož počítač si půjčuješ, úplně stačí, že ho má něčím zablešený a tohle se stane na pozadí samo. Možná že z nějakého toho privacy pohledu je půjčovat si cizí zařízení o trochu lepší, ale já osobně bych se do žádného systému co používám z cizího počítače nepřihlásil.

SPM: A co s tím reálně může? Fakt mě to zajímá. Vypadá to možná nebezpečně, ale pořád jsi na zřízení nepřipraveného člověka, který nemá jak vypátrat ověřovací zařízení. Kdyby byl připraven, tak jediné co může je odchytit login. Co dál s tím může?