ERGOSUM: Díky, ale nejprve bych zkusil "normální" cestu :-)

Potřebuju si změnit zemi na Google Play, protože mi některé appky nejdou stáhnou. Ale není mi spousta věcí jasných :-)
- Stačí si do telefonu přidat další Google účet, přepnout na něj, změnit si v Google Play zemi a "původní" účet Google bude mít stále tu původní zemi? Nebo je to potřeba udělat úplně jinak?
- Jeden zdroj uvádí, že zemi je možné změnit 1x za 12 měsíců, další že to opět lze po 90 dnech.
- Při změně musím údajně být v dané zemi (na kterou to chci změnit) a mít lokální platební nástroj. To znamená, že tam musím zadat kreditku, vydanou v dané zemi? Dosud žádnou platební metodu v Play nemám a bezplatné appky stahuju bez problémů.

Nebo je jednoduší do kompletně resetovaného jiného telefonu dát nový Google účet? A země se v tu chvíli určí automaticky jak? Podle polohy/IP adresy nebo podle uvedeného bydliště?

Předem děkuji za pomoc

SPM: zakázaný copy paste řeší některé password managery, např. KeepassXC emuluje vstup z klávesnice

SPM: To jen pokud bydlíš na špatném místě. Tam se lidi často zamykají i když jsou uvnitř :-D

CUKI: banka se meni blbe, kdyz ty hesla vynucuje menit legislativa... :)

DANYSEK: nebo banku :-)

QWWERTY: radsi nucene menis hesla...? ;-)

DANYSEK: "neimplikuje, ze to musi byt pro uzivatele opruz"
me teda osobne prijde jako vopruz uz jenom to to, ze sebou musim tahat nejaky dalsi kus hardware, at uz je je to FIDO, Yubi, nebo telefon :))

CUKI: porad v tom smartphone mas dnes nejaky TPM cip... ktery je designovan tak, ze z nej dostat privatni klice je vcelku netrivialni, zeano - a o tom to je.. Ono celkove bezpecnost reseni neimplikuje, ze to musi byt pro uzivatele opruz - viz treba zminovane FIDO2/PassKeys (ktere umi i ty novejsi smartphone; kde to je oprene o ten TPM cip)... Snimani biometriky je ciste o implementaci - ve ktere muzou byt chyby, ale ono tohle se take dost posouva dopredu. Ale ze by se houfne odmykaly telefonem falesnymi otisky... to se fakt nedeje. Bankovni aplikace samozrejme na ten smartphone ma nejake naroky, tzn. se ani nespokoji s kdecim co tomu podstrcis, hlidaji si co bezi okolo.... aneb setrivi chytraci se starymi Lollipopy maji vesmes uz taky smulu, zejo :)

Predstava, ze diky tomu zes absolvoval trictvrtehodinovy "vyslech" bylo to reseni bezpecnejsi je samo o sobe blbost... :D Skrze obscrurity se bezpecnost fakt delat nema.

SPM: No já nevím jak ty, ale já to čtu dost detailně. Ne není to neprolomitelný. Ale vyžaduje to cílený útok.

A právě to je na tom super. I když se dostane do bankovnictví, nic s tím nenadělá. A můžeš důvěřovat čemu chceš, nic nepošleš nic nepřenastavíš...


QWWERTY: Jo tohle bylo spíš dřív. Dneska spíše na hromadné časté platby.
V blahé paměti s tím přišla Barclays. Dostal jsi takovou HW obdobu public/private key. To fungovalo docela zajímavě. BTW to byla která má ty své bezpečností limity fakt divoké. Když jsem si tam na rozhraní milenia zakládal účet, tak jsem musel absolvovat asi třičtvrtě hodinovej pohovor, připomínající spíš výslech.
Nevím jak to funguje dnes ale dostat účet v GB nebylo fakt nic snadného. A tahle banka byla ještě o krok dál než ty ostatní. Moje ex-žena tam třeba nedostala účet protože neměli danou šarži jejího pasu proti které kontrolovali pravost, tak musela jít jinam :-D

Ale dneska? Má to nějaký smysl? Když každej druhej má v telefonu smartbanking, kterej ze své podstaty nemůže být nikdy bezpečnej, alespoň jako tohle?


Jinak ani otisky ani ksicht není zrovna 2x bezpečné řešení. Za pár korun se dá vyrobit kamera která sejme tvůj ksicht za chůze na 12m v dostatečné kvalitě. :-(

Prostě dneska je to hlavně o pohodlnosti. V době, kdy jsem platil jednou ta čas a těch ověření nebylo potřeba tolik se dalo použít mnoho možností, které dneska kde uděláš 10 plateb denně a do mobilu se přihlašuješ ještě násobně častěji nejsou prostě dost dobře možné.

QWWERTY: Z pohledu bezpečnosti už je dnes TOTP 2nd grade MFA, který se pokud možno nechce

SKAUT: HW klíč nabízí "velké" banky, u low-cost banky hledej laciné řešení

SPM: Něco co chtějí. Mj. chování na stránkách. Poukazoval jsem na to, kolik jich chce ta data vytěžit, nebo prodat.

QWWERTY: To byla ironická poznámka... Nebot některé banky ( z toho mála co vím ) mají aplikaci nebo SMS a nic jiného. A zavedeno pár let zpátky , nebo to tak začali vynucovat.

Smutné je to že ti každá banka nenabidne alternativně něco dalšího ( HW klíč ). Moje banka to nenabízí . Takže souhlas.

CUKI: a čteš si v těch SMS úplně do podrobna co potrvzuješ? Nebo když posíláš někam peníze, pípne ti SMSka, tak opíšeš ten kód a odbouchneš to, protože víš, že ti má přijít SMSka? Já třeba znám někoho, kdo o ty prachy reálně přišel, protože potvrdil napárování mobilní aplikace, která nebyla jeho. Přišel ten request přesně ve chvíli, kdy pároval svůj nový telefon, takže to prostě odbouchl a detaily nezkoumal.

Pak jinak taky záleží jaká banka... FIO třeba při prvním loginu chce to potvrzení mobilní apiikací, ale taky je tam zaškrtávátko "důvěřovat tomuhle prohlížeči" což způsobí, že ze stejného prohlížeče se jde víckrát tím loginem přihlašovat už bez potvrzení mobilem a stejně tak jde i odesílat nějaké nižší částky pryč. Znovu podotýkám že na počítači, který nemáš pod svojí kontrolou, se nemůžeš spolehnout na to, že se tohle nestane, ikdyž to nezaškrtneš

SKAUT:
a) lepsi banky afaik vzdycky nabizely navic certifikaty, hardware klice, etc... (a osobne bych i dneska ocenil genericky TOTP podstatne vic, nez zavislost na proprietarni aplikaci)
b) ackoliv se to nezda, tak to neni tak davno, co jsi mel na trhu spoustu uzivatelu, kteri nevlastnili smartphone
c) SS7 vulnerability tady byly vzdycky. nicmene hijacking pro 2FA SMS rerouting je domenou prevazne poslednich cca 10 let a rekl bych, ze vsichni usilovne pracuji na tom, aby tuhle 2FA metodu opustili

nicmene to uz vyzaduje cileny utok. hijack session + SS7 hijack telefoniho cisla + SMS interception ve chvili potvrzovani platby
puvodni tvrzeni SPM bylo, ze uzivatel prijde o penize pouhym prihlasenim na cizim zarizeni