platba kartou na internetu od 2021 bez smartfonu ? ktera banka ?
Jindroush
jindroush na seznam.cz
Sobota Listopad 21 16:34:06 CET 2020
Nikdo nikoho nenuti (i kdyz by byli asi radi), aby pouzival aplikaci
bankovnictvi na mobilu.
Banky maji autorizacni aplikace oddelene - takze na PC porad muzete mit
internetbanking, na mobilu mate 2FA potvrzovaci aplikaci. Jsem si jist,
ze je to tak u moji banky (CSOB), byl bych prekvapen, kdyby to bylo
jinak. Uz dneska se prihlasuji do bankovnictvi v PC tak, ze ZNAM cislo
uctu a heslo a mam aplikaci svazanou s telefonem (MAM) a tam se
prihlasuji otiskem. A dost me sejri, ze totez nefunguje uz ted pro ty
moto platby.
SMS jako kanal je kompromitovany, at uz paranoidne, kdy jde zcela
presmerovat v ramci site (coz se da cekat spise u velkych utoku, nebo
statnich), nebo se da kompromitovat 'malware' aplikaci na mobilu, nebo
pouhou lidskou blbosti, kde ukecate nekoho, at vam tu sms preposle (da
se vygooglit, ze se stavalo).
Autorizacni aplikace na mobilu muze mit (a verim tomu, ze ma),
zabezpeceny kanal k bance, ten muze mit hlidany certifikatem, ten muze
mit napevno svazany. Vyssi uroven bezpecnosti jde jeste dosahnout
pristrojem, ktery ma implementovanou tzv. secure enclave, kde jsou
uschovany klice, ktere nelze dostat ven, dtto otisky prstu apod. Ze
secure enclave by nemely jit ty informace dostat vubec, a nejsem si
jist, zda lze na nerootovanem telefonu naborit sifrovanou komunikaci a
pozmenit ji. Jediny zpusob, ktery me napada, je modifikovat prikaz tak,
aby posilal penize na jine cislo uctu a na displeji ho prekreslovat, ale
to zni pomerne dost komplikovane (v porovnanim s temi sms).
Porad ale nevim, jakym zpusobem zabezpecuji banky to, kdyz bezi mobilni
bankovnictvi na tom samem pristroji, kterym se autorizuje. Zatim jsem to
nemusel resit a protoze mobil jako pracovni nastroj pouzivam nerad,
neresil jsem.
J.
On 21.11.2020 15:33, Petr Zapadlo wrote:
>
> Diskutujme racionálně.
>
> Mám smartfoun, ten přijímá smsky, ale na něm do banky nelezu a tudíž
> tam nejsou přihlašovací údaje. Na počítači, ze kterého se hlásím do
> banky zase nemám smsky. Tyto 2 kanály jsou naprosto oddělené. V čem
> spočívá tohle nebezpečí?
>
> Pokud bych si kompromitoval smartfoun, tak útočník získává smsky, ale
> nemá přihlašovací údaje.
>
> V okamžiku, kdy lezu ze smartfounu (z jeho prohlížeče) do banky, tak
> ztrácím druhý faktor - stačí mi kompromitovat ten smartfoun a už mám
> přístup k sms i k přihlašovacím údajům.
>
> Ale z principu věci, aplikace bežící na tom samém smartfounu je přece
> taky v ohrožení jestliže je telefon kompromitovaný a z principu nemůže
> být označena za bezpečnou.
>
> V čem je rozdíl, proč aplikace je bezpečná?
>
> Díky
>
> Petr
>
> Dne 21. 11. 20 v 15:19 Jindroush napsal(a):
>> Ty mobilni aplikace mohou byt bezpecnejsi nez SMS. Je to 2FA, tj.
>> nejsou svazany jakkoli s pc, ale jsou svazany s uctem a kanal, pokud
>> je dobre zabezpeceny, je rozhodne bezpecnejsi nez SMS, ktera se da z
>> mobilu ukrast - ty bankovni transakce by se principialne ukrast dat
>> nemely, jeste navic, pokud jsou ve spojeni s nejakymi bezpecnostnimi
>> enklavami v HW mobilu.
>>
>> SMS jako autorizace je dnes proste nevhodna a nedostacujici.
>>
>> Protoze nelze ocekavat vzdelanou, pocitacovou bezpecnost chapajici
>> populaci (coz je dokazano diskusi zde beze zbytku), je treba
>> narizeni. Dale k samostudiu lidske iracionality napr. knihy Roberta
>> Sapolskeho, Dana Arielyho nebo Daniela Kahnemana.
>>
>> J.
>>
>> On 21.11.2020 12:49, Pavel Hudecek wrote:
>>>
>>> Tak buď jsou zařízení moje a můžu si dělat co chci, nebo jsou
>>> pracovní a pokud je součástí práce i nákup něčeho, musí
>>> zaměstnavatel vyřešit, aby nakoupit šlo.
>>>
>>> Jinak třeba Raifka to má tak, že umožňuje i SMS, jen je zpoplatnila
>>> na myslím 4 Kč.
>>>
>>> Mě osobně přijde bezpečnější zadávat bankovní operace z PC a
>>> autorizovat přes SMS, přičemž na telefonu není nic, co by bylo
>>> jakkoli spojeno s těmi operacemi na PC a PC neví nic o telefonu,
>>> takže z těchto snah o vnucení používání bankovních app taky radost
>>> nemám.
>>>
>>> PH
>>>
>>> *Od: *David Obdrzalek <mailto:David.Obdrzalek at mff.cuni.cz>
>>> Muzu mit zarizeni, ktere ma integrovane mobilni spojeni, ale nemam
>>> na nem tu
>>>
>>> bankovni aplikaci (notebook nebo tablet) a nechci ji tam instalovat,
>>> protoze to
>>>
>>> treba neni muj notebook. A hotspot treba mam zakazany vytvorit.
>>>
>>> D.O.
>>>
>>> On 21 Nov 2020 at 11:06, Jindroush wrote:
>>>
>>> > Domnivam se, ze clovek, ktery nema doma ZADNOU wifi, je uz uplne mimo
>>>
>>> > predstavivost vetsiny lidi. Tj. kombinace 'mam nejaky internet' a
>>> 'nemam
>>>
>>> > zadne wifi' bude tak minoritni, ze neni potreba s ni pocitat pri
>>> navrhu
>>>
>>> > jakehokoli soucasneho systemu. Snad i vsechny ty kabelove routery od
>>>
>>> > poskytovatele maji rovnou wifi AP (napr. UPC).
>>>
>>> > Ja nevim, tak porad muzete jet na koni na pobocku banky s tim
>>> prikazem,
>>>
>>> > no. ;)
>>>
>>> > J.
>>>
>>> >
>>>
>>> > On 21.11.2020 10:41, ajtservis wrote:
>>>
>>> > > sedim nekde na internetove pripojce treba z kabelovky a ted k tomu
>>>
>>> > > jeste potrebuju min. wifi routrer pro pripojeni toho mobilu na
>>> data,
>>>
>>> > > nebo rovnou funkcni tarifo data od operatora. proc sakra ?
>>>
>>> > > tomik.
>>>
>>> > >
>>>
>>> > > Dne 21.11.2020 v 10:09 Marek Sembol napsal(a):
>>>
>>> > >> No tak to, ze internet neni vsude asi nebude v tomto pripade az
>>>
>>> > >> takovy problem. Moc si nedokazu predstavit nakup na internetu bez
>>>
>>> > >> internetu... takze k tomu overeni placeni se asi ani nedostanu.
>>>
>>> > >> BR,
>>>
>>> > >> Marek
>>>
>>> > >>
>>>
>>> > >> On Fri, Nov 20, 2020 at 5:10 PM Michal Gregor <a2x1nptda8 at email.cz
>>>
>>> > >> <mailto:a2x1nptda8 at email.cz>> wrote:
>>>
>>> > >>
>>>
>>> > >> Klasicka ukazaka upadku nasi spolecnosti. Product manageri/
>>> politici
>>>
>>> > >> vymysleji absolutni nesmysly. Nekdy mi to pripada ze se firmy
>>>
>>> > >> zamerne
>>>
>>> > >> snazi znicit svoje dobre jmeno.
>>>
>>> > >> Tvurci zapomneli ze internet neni vsude. A nemusi to byt v
>>> Africe, v
>>>
>>> > >> lete jsem se nepripojil k netu ani u nas. Nejaky vypadek nebo
>>>
>>> > >> pretizeni
>>>
>>> > >> od festivalu ve vedlejsi vesnici. A zrovna jsem potreboval
>>> honem
>>>
>>> > >> koupuit
>>>
>>> > >> a zarezervovat jizdenku na vlak. Nejblizssi nadrazi 50 km
>>> daleko.
>>>
>>> > >>
>>>
>>> > >> Michal Gregor
>>>
>>> > >>
>>>
>>> > >>
>>>
>>> > >>
>>>
>>> > >>
>>>
>>> > >> Dne 20.11.2020 v 11:15 Jindroush napsal(a):
>>>
>>> > >> > On 20.11.2020 10:51, ajtservis wrote:
>>>
>>> > >> >> tak od noveho roku je nejaka dalsi povinnost EU
>>> overovat MOJE
>>>
>>> > >> penize.
>>>
>>> > >> >> prej je nutna aplikace v mobilu. alternativni zpusob je
>>>
>>> > >> zminovano zadani
>>>
>>> > >> >> dalsiho PINu navic. nevite nekdo, ktera banka platbu
>>> kartou od
>>>
>>> > >> noveho
>>>
>>> > >> >> roku umozni bez aplkace v mobilu, tedy "hloupym
>>> mobilem" a
>>>
>>> > >> necim
>>>
>>> > >> >> dalsim ?
>>>
>>> > >> >
>>>
>>> > >> >
>>>
>>> > >>
>>>
>>> >
>>> https://www.penize.cz/debetni-karty/419795-pri-platbe-kartou-uz-nestaci-sms-banky-z
>>>
>>> > prisni-overovani
>>>
>>> > >>
>>>
>>> >
>>> <https://www.penize.cz/debetni-karty/419795-pri-platbe-kartou-uz-nestaci-sms-banky-
>>>
>>> > zprisni-overovani>
>>>
>>> > >>
>>>
>>> > >> >
>>>
>>> > >> >
>>>
>>> > >> > Je vysvetleno, kdo to naridil, proc to naridil. Prilis neni
>>>
>>> > >> vysvetleno
>>>
>>> > >> > (s vyjimkou sparkasoveho George), jak banky budou overovat
>>>
>>> > >> > nesmartphonovou minoritu a zda jsou ji vubec povinni
>>> poskytovat
>>>
>>> > >> takovou
>>>
>>> > >> > sluzbu zakaznikum, kteri nevlastni zarizeni umoznujici 2FA
>>>
>>> > >> pristup.
>>>
>>> > >> >
>>>
>>> > >> > Samozrejme, ze neoverujete 'SVOJE PENIZE', ale v celem tom
>>>
>>> > >> platebnim
>>>
>>> > >> > ekosystemu proste mate povinnost BEZPECNE (tj ne pres SMS)
>>>
>>> > >> prokazat svou
>>>
>>> > >> > totoznost.
>>>
>>> > >> >
>>>
>>> > >> > Ja bych to resil dotazem na svou banku, kdybych mel tu
>>> potrebu.
>>>
>>>
>>> _______________________________________________
>>> HW-list mailing list - sponsored bywww.HW.cz
>>> Hw-list at list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>>
>> --
>> Jindroush<jindroush at seznam.cz>
>>
>> _______________________________________________
>> HW-list mailing list - sponsored bywww.HW.cz
>> Hw-list at list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list at list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
--
Jindroush <jindroush at seznam.cz>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20201121/77c088c3/attachment.html>
Další informace o konferenci Hw-list