Re: OT ČSOB - bankovní identita, zablokování online služeb, kterou máte banku ?

Jiří Nesvačil nesvacil na posys.eu
Neděle Červen 27 21:44:41 CEST 2021 

Zdravím,

v IT máme mraky kont tj. jmen a hesel. Spíše se to rozšiřuje. Za 
poslední dobu se do Linuxu či Andorid, Win musíte hlásit dle úrovní pod 
různým kontem. Pokud třeba v linuxu uděláte společné přihlášení, tak 
víte o jaké konta se jedná a svobodně hodnotíte rizika. V ERP systémech 
je to stejné.

Pokud se přihlásíte pod jedním kontem, tak logování ztrácí význam. 
Dohledáváte co se kde stalo a nevíte. Pokud víte, že to je něco jiného 
či jiná role, tak je vhodné jiné konto.

Obecně to není problém asi banky, ale politiky. Několik let se tady řeší 
jiné věci a na normální věci to nedojde. To je ta bankovní identita jako 
sdružení pro stát, banky, instituce, vidím jí jako velké riziko. Nyní 
nás to doběhlo.

Najděte si články, kde uvádí, že třeba pro autorizaci přes bankovní 
idenititu bude jedna instituce druhé účtovat třeba 100. Jako vhodnou 
službu pro státní instituce třeba vidím mojeid, ale nepoužívat jí v 
budoucnu pro eshopy.

Najděte si články, které instituce mají zájem o sdílené přihlášení, 
najdete tam dopravdy i různé půjčovací instituce, prodejci energií. Je 
jen otázka času a hloubky kam se dostanou později. Pokud se Vám nestalo, 
že jeden prodejce enrgie má před sebou Vaši smlouvu, protože od druhého 
utekla ... .

Najděte si jak to je, pokud budete od banky chtít odejít a kdysi jste 
tam měl bankovní identitu. Již to asi nejde zrušit, musíte to převést na 
jinou banku.

Nebo až v této republice napadne někoho, že se bude komunikovat jen přes 
identitu s úřady a vy se nemůžete nic úředníka zeptat tj. dojít s 
papírem a prokonzultovat (podobná situace jako s datovou schránkou). Z 
služby se následně stane klacek na nás. Například moje matka má účet v 
ČSOB, sotva s ní udělám přihlášení, ale jestli to stát využije i na 
zpětnou komunikaci s ní... . To je šílený.

Ono pokud v rodině máte těchto účtů 10 a více tak to dá práci předělat.

Jirka



Dne 27.06.2021 v 21:17 Jindroush napsal(a):
> Pokud uz utocnik ma prunik do banky, zavazna skoda se jiz stala. 
> Naopak to prihlasovani nefunguje. Vlastneni prihlasovacich udaju per 
> se to neni - musi zcela ovladnout jeden vas system, neda se to 
> srovnavat se stylem "stejne jmeno/heslo na 20 sluzeb".
>
> Ano, v budoucnu se da ocekavat, ze bude tlak, aby se clovek 
> autentikoval pomoci nejake garantovane identity vsude mozne a pak by 
> jednorazova loupez zpusobu prihlaseni byla skutecne zavazna. Ale spolu 
> s tim se da ocekavat tlak poskytovatelu autentizace na takovy zpusob, 
> ktery nelze snadno ukrast (tj druhy faktor ne SMS, emaily apod)
>
> J.
>
> On 27.06.2021 21:06, Jiří Nesvačil wrote:
>> Bezpečnostní díra je to v tom duchu,
>>
>> 1.máte stejné přihlašovací údaje do dvou služeb
>> 2.u jedné služby si můžete aktivovat druhou, pokud se do jedné hacker 
>> dostane viz 
>> https://www.lupa.cz/clanky/bankovni-identita-je-dobry-sluha-existuji-ale-i-duvody-proc-ji-nechtit/
>>
>> Oba důvody jsou poměrně silné.
>>
>> Jirka
>>
>>
>> Dne 27.06.2021 v 20:56 Jindroush napsal(a):
>>> Mozna by bylo dobre se trochu v tom rozcileni vydychat, pak by mozna 
>>> nektere ty vety davaly smysl ;)
>>> V kazdem pripade neni to "bezpecnostni dira" v zadnem smyslu toho 
>>> vyrazu. Ano, je to spojeni prihlasovani do banky a prihlasovani ke 
>>> statu. Logika je takova, ze jak si hlidate pristup k penezum, tak si 
>>> hlidate pristup ke statu.
>>>
>>> Ze neni moznost zakazu nekterych zpusobu prehlasovani, je podle meho 
>>> jediny problem, ktery (podle informaci v diskusi) bude snad vyresen.
>>> Uz ten clanek nebyl napsan prilis dobre, a tohle je vylozene 
>>> paranoidni. Co ma znamenat "o bankovni identitu maji zajem prodejci 
>>> energii"??
>>>
>>> Trochu mi to pripomina tu "bouri", kdy nekdo prskal nad tim, ze 
>>> banky chteji rusit sms jako druhy faktor.
>>>
>>> J.
>>>
>>> On 27.06.2021 20:27, Jiří Nesvačil wrote:
>>>> Zdravím,
>>>>
>>>> dostali jsme se do situace zablokování online služeb ČSOB (jako 
>>>> osoba). Banka Vám pošle SMS o novém klientském přístupu a pokud jej 
>>>> nechcete, tak Vás nepustí zpátky nepovolí než do bankovnictví, 
>>>> které má v sobě bezpečnostní díru a to aktivaci bankovní identity 
>>>> tj. máte jedny přihlašovací údaje směrem ke státu a bance. To je 
>>>> riziko na které upozorňuje i 
>>>> https://www.lupa.cz/clanky/bankovni-identita-je-dobry-sluha-existuji-ale-i-duvody-proc-ji-nechtit/
>>>>
>>>> Chci se zeptat, zda se někdo dostal do stejné situace a jakou 
>>>> přátelštější banku zvolil ? Nabídka na reklamaci služeb a čekat 30 
>>>> dní jak uvádí podpora je nesmysl. 30 dní bez přístupu banky a že by 
>>>> se banka změnila... .
>>>>
>>>> Ono jsem pátral, že o bankovní identitu mají zájem banky, stát, 
>>>> prodejci energií ... vůbec nechci vidět jak si s tím budou 
>>>> obchodovat a kam to povede. Doporučuji předem přečíst než 
>>>> odkliknete ano, je to zjednodušeně bezpečnostní díra. Jako je lépe 
>>>> mít více debetních karet, různé účty na různé služby, tak cpát vše 
>>>> do jednoho Vám může pěkně zatopit.
>>>>
>>>> Doufám, že ti co se dostali do stejné situace, tak poradí banku a 
>>>> těm ostatním to třeba pomůže než něco odkliknou
>>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>
>

Další informace o konferenci Hw-list