Diskuze: Místo SMS otisk. Fio vylepšuje ověření v internetbankingu

USB token - mimochodem, výrazně levnější, než vámi uváděné ceny - už mám a běžně ho jako druhý faktor používám. Takže žádná investice navíc, což by smartphone byl.
Ad "to není víra, to je znalost problematiky" - vidíte, to můžu říct klidně taky. Jen mám jiný úhel pohledu a jiné priority a vidím jiná rizika než vy.
"Spíš se nabízí otázka, proč aplikacím na počítači věříte a v mobilu ne?" -- Především proto, že v počítači mám nástroje a prostředky, jak si ověřit, co tam instaluji a co se tam opravdu děje. Smartphone je proti tomu skoro úplný blackbox. Mimochodem, instalaci Windows mám jen jednu ve virtuálu a používám ji jen na aktualizaci map v navigaci.
A když už tak bazírujete na zobrazení detailů transakce, abych měl stoprocentní jistotu, že potvrzuji opravdu to, co si myslím (což je pravděpodobně důvod, proč odmítáte klasický token a místo něj předpokládáte nějaké kalkulačky): ty detaily potvrzované transakce by mi zobrazoval ten důvěryhodný TPM nebo ta poteniálně nedůvěryhodná aplikace? Asi spíš ta aplikace, že? Takže když se tak moc bojíte, že v napadeném počítači vám někdo zobrazí jinou transakci než tokenem potvrdíte, proč se toho nebojíte ve smartphonu?

Takže jste ochoten zaplatit třeba 5000,- za specializovaný mobilní klíč, platit mu datový tarif a tahat ho s sebou? Nebo jste ochoten zaplatit 3000,- za offline kalkulačku, tahat ji s sebou a každou transakci zadávat 2x? Ono internetová diskuse snese ledacos. Ale reálný zájem o tyhle metody je prakticky nulový. Jinak by je banky poskytovaly.

To není víra, to je znalost problematiky. Plus reálný fakt, že úspěšné překonání zabezpečení přes mobilní aplikaci je naprosto výjimečné.

Spíš se nabízí otázka, proč aplikacím na počítači věříte a v mobilu ne? Vždyť by to mělo být přesně naopak. Oddělení aplikací (možnost číst obrazovku, zachytávat klávesy a myš) ve Windows je dost chabé, ten systém na tom v principu není moc stavěný. Naopak pro mobilní systémy je oddělení aplikací základ. A pokud přistupujete do banky z počítače přes IB (což předpokládám), tak tam stačí, aby byl v prohlížeči doplněk, co může číst a měnit data na všech webech a máte bezpečnostní díru jak vrata. Přitom tahle práva potřebuje AdBlock, různé stylovací doplňky...
Plus u mobilu s biometrikou se transakce podepisují v odděleném TPM modulu a po úvodním předání klíčů není schopná aplikace tento podpis zfalšovat, i kdyby byla napadena, protože prostě nemá potřebný privátní klíč.

Naopak, chtěl bych používat bezpečnější metody. Jen nesdílím vaši víru v to, že s bezpečností smartphone aplikací a prostředí, ve kterém fungují, je to tak skvělé, jak tvrdí reklamní materiály a vy. Stoprocentní důvěru nemůžu mít v nic, ale pokud se něco zásadně nezmění, nevidím způsob, jak bych mohl mít v aplikace běžící na smartphonu důvěru srovnatelnou s tím, co mi běží v počítači. A bohužel se to mění spíš k horšímu.

A nějaké argumenty na podporu tohoto tvrzení by nebyly? Proč trváte na tom, že chcete pro přístup do bankovnictví používat méně bezpečné metody?

Chápu, že z pohledu laika může "počet chyb v Androidu" vypadat děsivě. Jenže relevantních chyb (takových, které se týkají oddělení aplikací - sandboxingu) je velmi málo. A taková, která by dokázala překonat TPM modul není snad ani jedna. Rozhodně nevím, že by byl v praxi úspěšný útok tímto vektorem - na rozdíl od útoku přesměrováním SMS v síti operátora.

Navíc bankovní mobilní aplikace může kontrolovat, na jakém Androidu běží a pokud bude mít známou relevantní bezpečnostní chybu, může se odmítnout spustit, dokud uživatel neaktualizuje.

Za mne tedy ne. I kdybych si smartphone pořídil (což bohužel časem asi budu muset, šikana lidí, kteří je nemají, postupuje mílovými kroky), určitě bych se snažil vyhnout jeho používání pro přístup k bankovnímu účtu.

Přiznám se, že moc nevím, jaké "přísné nároky" máte na mysli, protože já jsem žádné explicitně nenapsal :-)

Nicméně:

1) SMS. Má pro banku nějaké náklady (zhruba 1,- na SMS). Můžete na ní vidět, jakou operaci potvrzujete. Opisování kódu je lehce uživatelsky nešikovné, ale skousnutelné. Bezpečnost je problematická, zvlášť pokud je uživatel neopatrný a má smartphone, ale ani mobilní síť není moc bezpečná. V zahraničí vyžaduje mobilní síť.
2) Bankovní aplikace: Stojí nějaké peníze na vývoj a infrastrukturu, ale poskytuje spoustu další funkcionality. Samotné ověřování až tak náročné není. Pro uživatele je poměrně pohodlná, v případě používání biometriky dokonce velmi pohodlná. Spolehlivě zobrazovat podepisovanou transakci samozřejmě dokáže. Bezpečnost je slušná, u biometriky realizované přes kryptografický TPM modul dokonce velmi dobrá. V zahraničí jí stačí jakákoli Wi-Fi nebo mobilní data.
Za mě je potvrzování přes mobilní aplikaci pro běžné uživatele vlastnící chytrý telefon s biometrikou jednoznačně nejlepší. Je levné, pohodlné a (dostatečně) bezpečné.

Pokud to chcete brát takhle, tak prvotní problém je, že žádné ze dvou dosud používaných řešení (SMS, smartphone aplikace) vaše přísné nároky nesplňuje také.

Jelikož tam žádné přihlašovací údaje nezadávám, tak dost těžko :-D :-D :-D

L: Hloupy telefon typicky nesmiruje, jenom operator vi, kde jste. Pokud tam vyrobce pred 10-20 lety dal nejakou smirovaci aplikaci, tak dost mozna staci zakazat data odchozi SMS u operatora.
Chytry telefon je zabezpeceny asi na urovni MS DOSu, nebo Windows 95 blahe pameti. Hodne aplikaci vyzaduje naprosto absurdni prava a odmita chodit bez nich. A Android nenabizi zadnou cestu, jak te aplikaci podvrhnout blbosti, kdyz se rozhodnem ji nejaka prava nedat, ale potrebujueme, aby to nepoznala. Jak to je na iOSu netusim, to si budete muset najit sam.
Takze s kazdou dalsi aplikaci roste riziko, ze tam mate neco, co jste ani trosku nechteli a co pozna bankovni aplikace a posle nekam prihlasovaci udaje.

Jenže on ten HW token má také spoustu nevýhod. Že by banka mohla "sdílet" token s jinou aplikací, to asi ne... Co se týče možností, tak jsou zhruba tyhle:

1) Offline token jako třeba ten klasický RSA, který ukazuje OTP, co se každou chvíli mění. Achilova pata tohohle řešení je, že u podepisování příkazu token neukazuje, co podepisujete. Tedy pokud máte na počítači breberku, tak vám počítač ukazuje, že posíláte pět stovek Pepovi za včerejší hospodu a přitom podepíšete převedení celého zůstatku do Konga. A tenhle offline token tomu nijak zabránit nedokáže.

2) Online token, který si z banky vyzvedne info o tom, co podepisujete a ukáže vám to na displeji. Vlastně takový malý mobil, vyhrazený pouze pro bankovní aplikaci. Bezpečné, ale dost drahé a v zahraničí to má stejné (nebo větší) problémy s konektivitou, jako mobilní token.

3) Offline autentizační kalkulačka jako měla eBanka. Teoreticky hodně bezpečné a použitelné i v zahraničí, prakticky drahé a počet lidí, co jsou ochotni přepisovat každou transakci 2x, se limitně blíží nule.

Tahle varianta by byla výhodná hlavně pro ty, kdo už token stejně mají a používají kvůli jiným aplikacím. Určitě bych to nenutil všem, jen bych ocenil, kdyby ho bylo možné použít jako další alternativu.
Lidé zvyklí na smartphone a zvyklí být s ním pořád online si to asi neuvědomují a bohužel si to asi neuvědomují ani banky, ale současný model "smartphone aplikace nebo SMS" je pro klienty bez smartphonu hodně omezující. I když pominu otázku bezpečnosti SMS, tak např. existují země, kde kvůli nekompatibilitě sítě SMS nepřijmu - a nejde o nějaké zaostalé země třetího světa, příkladem je třeba USA nebo Japonsko. Když budu v takové zemi (což momentálně naštěstí nehrozí), tak se do internet bankingu prostě nepřihlásím.

P.T.: token nevypadá zle, líbí se mi, že to je samostatná nezávislá věc, akorát jde o další "křapku", kterou nutno nosit s sebou, nezapomenout atd.
Já chápu, že v roce 1999 platební příkazy na proužku papíru, podepsané a vhozené do sběrné schránky banky z ulice, nebyly ideální vynález. Ale asi bych se neupínal k možná až příliš komplikovaným technologiím. Ono to vypadá pohodlně. Ale pohodlný nerovná se jednoduchý. Kolega jezdil (teda před virovou panikou) po celé Evropě i dál, v podstatě jen s telefonem v kapse. Měl v něm letenku, platební karty (ty teda doufám i zvlášť - ale kdo ví), maily s adresou hotelu, firmy kde měl schůzky, kontakty na lidi, potvrzení z autopůjčovny... Jímá mě hrůza, když si představím, že o něj přijde - stačí krádež, pád nebo utopení. Jasně, existuje služba obnovení, tedy během půl dne je s novým hardwarem zase na svým, ale přijde mi to strašně komplikované - vždyť on by se do toho iStoru ani nedostal, nevěděl by kudy...

Zlatá SMS . Doufám, že ji nezruší. Otisk prstu ? Je spousta lidí, kteří mají zničené prsty tak, že nemohou žádný otisk prstu poskytnout, ani Policii. A obličej ? No - nevím , nevím.

HonzaV: druha moznost je prejit k bance, ktera nabizi autentizacni token misto vsech nezabezpecitelnych pitomosti s telefony. Mam Unicredit a uz nema tak priserne bankovnictvi, jako mela (i kdyz na eBanku v roce 2002 nema ani nahodou). Od zalozeni uctu jsem na pobocce nebyl.

Jasně, ale ne tak moc jak ten chytrý :)

Nebojte, fízlovací zařízení je i hloupý telefon :-)

Asi jo, ale já používám hloupý telefon, nějaká N6300, ten mi funkčně zcela vyhovuje a aplikaci jaksi nemám kam nainstalovat, i kdybych chtěl. Váš scénář mě nejspíš čeká, až ty SMS zruší dočista.

Jak dlouho bude ksindlu trvat prijit na to, ze pri ukradeni telefonu potrebuji jeste otisk prstu, aby mohli vybilit konto ...
HonzaV: vzhledem k naproste nezabezpecitelnosti Androidu i iOSu to v praxi znamena mit jeden telefon bez SIM vypnuty a zamceny v supliku a nemit na nem ZADNOU! aplikaci, krome bankovni. Ani tak to neni bezpecne, jako autentizacni token :-(. A starosti navis s myslenim na to, ze ten kram je potreba jednou za cas nabit i kdyz je vypnuty.

Důležitá informace, ale prosím příště menší paniku v titulku, už jsem se lekl, že SMS kódy ruší. (Ono to asi časem nastane, ale zatím zůstávám tedy v klidu.)
Bohužel celé to směřuje k stavu, kdy chytrý telefon (= fízlovací zařízení) bude nezbytnou pomůckou k jakékoli transakci...

Není to ani rok od uvedení "nové" bankovní aplikace a Fio už do ní stihlo doplnit esenciální funkcionalitu. To je ale tempo! Předpokládám, že celý tým pracoval i soboty + neděle, aby to v tak krátké době stihnul. Bravo, Fio!!!