Diskuze: Změny v placení na internetu: SMS už nestačí

Podle mne to s bezpečností má málo společného. V normálním světě by to bylo na bankách, silnějším zabezpečením by banka získala konkurenční výhodu a naopak lidi jako já, kterým stačí SMS, by si medili že u jejich ústavu je vše při starém, a klidně vědomě nesli zvýšené riziko. Jak je něco z EU, tak čuchám velkýho bratra, tzn. přípravu na další level fízlování a v horším případě i ovládání: stejně jako můžu někomu strčit do ruky svou tisícikorunu, aby mi šel něco koupit, tak (i když to není nejlepší nápad) v nouzi bych mohl někomu dát číslo karty a mobil, na který přijde SMS. S biometrií tohle neexistuje = vyšší dohledatelnost jednotlivce. Uvidíme, jak se to za patnáct dvacet let všechno propojí a zamkne a všichni budou děsně překvapený.

O tom si laskavě rozhodnu já sám, jak moc chci mít svůj účet zabezpečen (někomu stačí jedna úroveň, mě dvě a paranoikovi může být 10 málo) - rozhodně o tom nemůže rozhodovat nějaký trouba, co studoval 8 let na bakaláře kulturní antropologie a pak se prohlásil expertem a strejda mu zařídil místo v ČNB - takto se bohužel ze všech úřadů dnes už stala jen sbírka čučkařů, na odbornost už si nikdo ani nehraje, stačí mít bakaláře za staženou diplomku z gender studies a strejdu, co mě někam dosadí.

Vy nečetli, a přesto rozmrazili? Wonderful, bystrý národ!

Koukám, že přečíst si článek který komentuju je dost out, co? Tam se právě o tom "co mám" a "co znám" píše. A nevymyslela to eBanka, ale je to dávno známá věc, stejně jako (ne)bezpečnost SS7. Celé je to o tom, že uživatelé by chtěli bezpečnost, ale nechtějí kvůli tomu dělat něco navíc. Takže offline klíč jako měla eBanka je sice teoreticky bezpečný, ale reálně ho drtivá většina uživatelů používat nebude.

Předpokládám, že jste ho hodil do sběrného boxu :)

Dalsi rovnak na ohejbak.
Platba kartou je naprosto nezabezpecena, protoze kdo zna cislo, muze si ukrast, co uzna za vhodne. Veskere 3D secure, chipy a podobne veci jsou k nicemu, dokud si nemuzete nastavit, ze jsou povinne pri kazde platbe a ze platby bez toho (treba offline zehlickou v Ghane v taxiku) jsou neplatne.
Zabezpeceni bankovnictvi vyresila eBanka uz nekdy v roce 2000 - autentizacni token (neco co mam), do ktereho je nutne zadat PIN (neco, co znam) a ten vygeneruje desetimistny ciselny kod, ktery se rucne prepise do bankovnictvi. Zaplatit v internetove kavarne z pocitace s keyloggerem, kde vam navic na klavesnici miri kamera? Zadny problem.
Nicmene za 19 let "pokroku" jsme se dostali do stavu, kdy konecne nekomu doslo, ze autentizace sms senei bezpecna! Ze protokol SS7 neni bezpecny se vi uz roky, ze se da odchytit signal vlastni bunkou (hledejte heslo stingray) se uz taky vi dlouho. Ze je mozne ukecat operatora, by vam poslal nahradu za "ztracenou" SIM na uplne jinou adresu a tim vybilit neci ucet - to uz se dela asi sedm let. A ted konecne bankam doslo, ze to je problem. Jaky bude dalsi krok? Nahrazeni mechanickych kalkulacek pohanenych parnim strojem necim modernejsim? Treba kalkulackami TESLA na 3 tuzkove baterky, ktere neumely prioritu operatoru (davaly vysledky, jako 3+5*7=56)?

"chytrý telefon" nemám a ani si jej koupit nechci a platbu kartou přes internet nepoužívám - vše z důvodu bezpečí svých několika drobných na účtu. Proto jsem nezkažen věděním po několika řádcích odešel dát klasický příkaz platby přes banku.

Jojo, u nás v hospodě jsme se s chlapama po pátým pivu shodli, že současný systém je bezpečný dost. Ti čučkaři z ČNB co se bezpečnosti věnují profesionálně celý život tomu totiž nerozumí!

moc dlouhý článek, přestal jsem číst v polovině.

Jediný přínos vidím v tom, že potvrzování bude líp fungovat na mobilu. Přepisovat tam devítimístný alfanumerický kód (donedávna ČSOB, teď už má jenom numerický) je otrava. A pak může být fajn i ten 3D Secure 2.0, bezpečnější. Jenže tyhle změny by přišly díky trhu i bez tlaku EU. Jinak EU zase řeší něco, co v praxi není problém. Kvůli občasnému zneužití plateb se to zbytečně znepříjemní všem. Mimochodem, k tomu zneužití nejvíc dochází mimo EU (kde nová pravidla stejně platit nebudou) nebo u obchodník v EU, kteří z nějakého důvodu nepoužívají 3D Secure (teoreticky pak sice nesou odpovědnost za zneužití, ale...)

Že z EU nikdy nepřišlo nic užitečného a ani rozumného vím dávno, takže obsah článku mě nemohl nijak překvapit, prostě pokud je Brusel plný imbecilů, jejich výstupy nemohou být moudré. Ale díky článku si na seznam čučkařů přidávám ČNB, takže i pro mě měl článěk informační přínos :)

Díky za reakci. ČSOB Smartklíč v textu zmiňuji v citaci mluvčího - ohledně plánů na rozšíření aplikace právě i pro potvrzování plateb kartou.

Autor zapomněl zmínit aplikaci CSOB Smart key, ktery to vice méně splňuje, jen se používá pouze na potvrzování plateb z IB.... Potiskem prstů potvrdíte platbu ve speciální aplikaci i bez mobilního bankovnictví.

Jinak banky asi spíš řeší (a vyřešily), jak problém obejít - viz https://www.trinitybank.cz/download/529
Takže k smsce přidat přihlašovací heslo do IB. Sice to bezpečnost nezvýší (spíš sníží), ale vlk se nažere.

Typický euroopruz. Funkčnost aplikací od banka je sporná, rozhodně se na ně nejde spolehnout - už se mi kolikrát stalo, že jsem přes ně nezaplatil. Když mám 10+ bank, tak mít pro každou aplikaci? Jen z toho bych se zmrcnul.
Kromě toho potřebuju, aby to fungovalo vždycky a za všech okolností. Typická situace: jste v zahraničí na druhém konci světa, ukradnou vám mobil. Budete schopní na novém si aplikaci spustit tak, abyste zaplatili? Když vám v takové situaci, že musíte nejdřív na pobočku, tak je to naprosto na houby.