Výpočet RPSN
Interaktivní grafiky
Jakou kartu dostanete? Podívejte se na přehled podle bank
Galerie platebních karet, které banky v Česku nabízejí k účtům. Chtěli byste raději vesmírně...více
Nemáte v peněžence poklad? Takhle poznáte vzácné koruny
Vypadají jako peníze, které denně bereme do ruky. A najdou se lidé, co by nám tu ruku...více
Takhle vám vysajou účet. Podívejte se na triky podvodníků
Přijde e-mail, SMS, zpráva na Facebooku. Píše banka, doručovací služba nebo i finanční...více
Cesta do pravěku. Podívejte se, jak vypadalo internetové bankovnictví před 20 lety
Ať jste, nebo nejste pamětníci, tenhle výlet bude plný překvapení. Připomeňte si pionýrské...více
Které řetězce vás dál matou? Prozkoumali jsme slevy
Po roce jsme znovu prošli největší obchodní řetězce. Zajímalo nás, jak vypadají jejich...více
Doporučujeme
Přihlášení k newsletteru
Změny, novinky a aktuality ze světa osobních financí přehledně ve vaší schránce – čtěte náš pravidelný newsletter.
Kdo je vám sympatičtější? Hlasujte v našem souboji osobností a zvolte si svého oblíbence (případně menší zlo). Stačí kliknout na fotografii.
Gabriel Eichler
podnikatel a investor, Benson Oak
Zdeněk Pelcl
podnikatel, GZ Digital Media

0,00 %
z 0 duelů

0,00 %
z 0 duelů
Chci jiný souboj
Souhrnné výsledky duelů
Diskuze: Místo SMS otisk. Fio vylepšuje ověření v internetbankingu
Abychom udrželi kvalitu diskuze pro slušné čtenáře, je nutné se před vložením komentáře přihlásit. Jste tu poprvé? Pak se nejdřív musíte zaregistrovat. (Už jsem, ale zapomněl jsem heslo!)
Příspěvek s nejvíce kladnými hlasy
30. 9. 2020 22:00, HonzaV
Jasně, ale ne tak moc jak ten chytrý :)
Zobrazit celé vláknoSkrýt celé vlákno
Příspěvek s nejvíce zápornými hlasy
30. 9. 2020 17:45, Pendejo Trafficante
Jak dlouho bude ksindlu trvat prijit na to, ze pri ukradeni telefonu potrebuji jeste otisk prstu, aby mohli vybilit konto ...
HonzaV: vzhledem k naproste nezabezpecitelnosti Androidu i iOSu to v praxi znamena mit jeden telefon bez SIM vypnuty a zamceny v supliku a nemit na nem ZADNOU! aplikaci, krome bankovni. Ani tak to neni bezpecne, jako autentizacni token :-(. A starosti navis s myslenim na to, ze ten kram je potreba jednou za cas nabit i kdyz je vypnuty.
Další příspěvky v diskuzi (celkem 20 komentářů)
4. 10. 2020 1:25 | Michal Kubeček
Citace - L. / 03.10.2020 08:38
Ad "to není víra, to je znalost problematiky" - vidíte, to můžu říct klidně taky. Jen mám jiný úhel pohledu a jiné priority a vidím jiná rizika než vy.
"Spíš se nabízí otázka, proč aplikacím na počítači věříte a v mobilu ne?" -- Především proto, že v počítači mám nástroje a prostředky, jak si ověřit, co tam instaluji a co se tam opravdu děje. Smartphone je proti tomu skoro úplný blackbox. Mimochodem, instalaci Windows mám jen jednu ve virtuálu a používám ji jen na aktualizaci map v navigaci.
A když už tak bazírujete na zobrazení detailů transakce, abych měl stoprocentní jistotu, že potvrzuji opravdu to, co si myslím (což je pravděpodobně důvod, proč odmítáte klasický token a místo něj předpokládáte nějaké kalkulačky): ty detaily potvrzované transakce by mi zobrazoval ten důvěryhodný TPM nebo ta poteniálně nedůvěryhodná aplikace? Asi spíš ta aplikace, že? Takže když se tak moc bojíte, že v napadeném počítači vám někdo zobrazí jinou transakci než tokenem potvrdíte, proč se toho nebojíte ve smartphonu?
Zobrazit celé vláknoSkrýt celé vlákno
3. 10. 2020 8:38 | L.
Citace - Michal Kubeček / 02.10.2020 10:37
Takže jste ochoten zaplatit třeba 5000,- za specializovaný mobilní klíč, platit mu datový tarif a tahat ho s sebou? Nebo jste ochoten zaplatit 3000,- za offline kalkulačku, tahat ji s sebou a každou transakci zadávat 2x? Ono internetová diskuse snese ledacos. Ale reálný zájem o tyhle metody je prakticky nulový. Jinak by je banky poskytovaly.
To není víra, to je znalost problematiky. Plus reálný fakt, že úspěšné překonání zabezpečení přes mobilní aplikaci je naprosto výjimečné.
Spíš se nabízí otázka, proč aplikacím na počítači věříte a v mobilu ne? Vždyť by to mělo být přesně naopak. Oddělení aplikací (možnost číst obrazovku, zachytávat klávesy a myš) ve Windows je dost chabé, ten systém na tom v principu není moc stavěný. Naopak pro mobilní systémy je oddělení aplikací základ. A pokud přistupujete do banky z počítače přes IB (což předpokládám), tak tam stačí, aby byl v prohlížeči doplněk, co může číst a měnit data na všech webech a máte bezpečnostní díru jak vrata. Přitom tahle práva potřebuje AdBlock, různé stylovací doplňky...
Plus u mobilu s biometrikou se transakce podepisují v odděleném TPM modulu a po úvodním předání klíčů není schopná aplikace tento podpis zfalšovat, i kdyby byla napadena, protože prostě nemá potřebný privátní klíč.
Zobrazit celé vláknoSkrýt celé vlákno
2. 10. 2020 10:37 | Michal Kubeček
Citace / 02.10.2020 09:31
Zobrazit celé vláknoSkrýt celé vlákno
2. 10. 2020 9:31
Citace - Michal Kubeček / 02.10.2020 08:21
A nějaké argumenty na podporu tohoto tvrzení by nebyly? Proč trváte na tom, že chcete pro přístup do bankovnictví používat méně bezpečné metody?
Chápu, že z pohledu laika může "počet chyb v Androidu" vypadat děsivě. Jenže relevantních chyb (takových, které se týkají oddělení aplikací - sandboxingu) je velmi málo. A taková, která by dokázala překonat TPM modul není snad ani jedna. Rozhodně nevím, že by byl v praxi úspěšný útok tímto vektorem - na rozdíl od útoku přesměrováním SMS v síti operátora.
Navíc bankovní mobilní aplikace může kontrolovat, na jakém Androidu běží a pokud bude mít známou relevantní bezpečnostní chybu, může se odmítnout spustit, dokud uživatel neaktualizuje.
Zobrazit celé vláknoSkrýt celé vlákno
2. 10. 2020 8:21 | Michal Kubeček
Zobrazit celé vláknoSkrýt celé vlákno
2. 10. 2020 0:02 | L.
Citace - Michal Kubeček / 01.10.2020 21:46
Přiznám se, že moc nevím, jaké "přísné nároky" máte na mysli, protože já jsem žádné explicitně nenapsal :-)
Nicméně:
1) SMS. Má pro banku nějaké náklady (zhruba 1,- na SMS). Můžete na ní vidět, jakou operaci potvrzujete. Opisování kódu je lehce uživatelsky nešikovné, ale skousnutelné. Bezpečnost je problematická, zvlášť pokud je uživatel neopatrný a má smartphone, ale ani mobilní síť není moc bezpečná. V zahraničí vyžaduje mobilní síť.
2) Bankovní aplikace: Stojí nějaké peníze na vývoj a infrastrukturu, ale poskytuje spoustu další funkcionality. Samotné ověřování až tak náročné není. Pro uživatele je poměrně pohodlná, v případě používání biometriky dokonce velmi pohodlná. Spolehlivě zobrazovat podepisovanou transakci samozřejmě dokáže. Bezpečnost je slušná, u biometriky realizované přes kryptografický TPM modul dokonce velmi dobrá. V zahraničí jí stačí jakákoli Wi-Fi nebo mobilní data.
Za mě je potvrzování přes mobilní aplikaci pro běžné uživatele vlastnící chytrý telefon s biometrikou jednoznačně nejlepší. Je levné, pohodlné a (dostatečně) bezpečné.
Zobrazit celé vláknoSkrýt celé vlákno
1. 10. 2020 21:46 | Michal Kubeček
Zobrazit celé vláknoSkrýt celé vlákno
1. 10. 2020 15:24
Citace - Pendejo Trafficante / 01.10.2020 02:04
Jelikož tam žádné přihlašovací údaje nezadávám, tak dost těžko :-D :-D :-D
Zobrazit celé vláknoSkrýt celé vlákno
1. 10. 2020 2:04 | Pendejo Trafficante
Chytry telefon je zabezpeceny asi na urovni MS DOSu, nebo Windows 95 blahe pameti. Hodne aplikaci vyzaduje naprosto absurdni prava a odmita chodit bez nich. A Android nenabizi zadnou cestu, jak te aplikaci podvrhnout blbosti, kdyz se rozhodnem ji nejaka prava nedat, ale potrebujueme, aby to nepoznala. Jak to je na iOSu netusim, to si budete muset najit sam.
Takze s kazdou dalsi aplikaci roste riziko, ze tam mate neco, co jste ani trosku nechteli a co pozna bankovni aplikace a posle nekam prihlasovaci udaje.
Zobrazit celé vláknoSkrýt celé vlákno
1. 10. 2020 15:23
Citace - Michal Kubeček / 01.10.2020 09:35
Jenže on ten HW token má také spoustu nevýhod. Že by banka mohla "sdílet" token s jinou aplikací, to asi ne... Co se týče možností, tak jsou zhruba tyhle:
1) Offline token jako třeba ten klasický RSA, který ukazuje OTP, co se každou chvíli mění. Achilova pata tohohle řešení je, že u podepisování příkazu token neukazuje, co podepisujete. Tedy pokud máte na počítači breberku, tak vám počítač ukazuje, že posíláte pět stovek Pepovi za včerejší hospodu a přitom podepíšete převedení celého zůstatku do Konga. A tenhle offline token tomu nijak zabránit nedokáže.
2) Online token, který si z banky vyzvedne info o tom, co podepisujete a ukáže vám to na displeji. Vlastně takový malý mobil, vyhrazený pouze pro bankovní aplikaci. Bezpečné, ale dost drahé a v zahraničí to má stejné (nebo větší) problémy s konektivitou, jako mobilní token.
3) Offline autentizační kalkulačka jako měla eBanka. Teoreticky hodně bezpečné a použitelné i v zahraničí, prakticky drahé a počet lidí, co jsou ochotni přepisovat každou transakci 2x, se limitně blíží nule.
Zobrazit celé vláknoSkrýt celé vlákno
1. 10. 2020 9:35 | Michal Kubeček
Citace - HonzaV / 01.10.2020 08:59
Lidé zvyklí na smartphone a zvyklí být s ním pořád online si to asi neuvědomují a bohužel si to asi neuvědomují ani banky, ale současný model "smartphone aplikace nebo SMS" je pro klienty bez smartphonu hodně omezující. I když pominu otázku bezpečnosti SMS, tak např. existují země, kde kvůli nekompatibilitě sítě SMS nepřijmu - a nejde o nějaké zaostalé země třetího světa, příkladem je třeba USA nebo Japonsko. Když budu v takové zemi (což momentálně naštěstí nehrozí), tak se do internet bankingu prostě nepřihlásím.
Zobrazit celé vláknoSkrýt celé vlákno
1. 10. 2020 8:59 | HonzaV
Já chápu, že v roce 1999 platební příkazy na proužku papíru, podepsané a vhozené do sběrné schránky banky z ulice, nebyly ideální vynález. Ale asi bych se neupínal k možná až příliš komplikovaným technologiím. Ono to vypadá pohodlně. Ale pohodlný nerovná se jednoduchý. Kolega jezdil (teda před virovou panikou) po celé Evropě i dál, v podstatě jen s telefonem v kapse. Měl v něm letenku, platební karty (ty teda doufám i zvlášť - ale kdo ví), maily s adresou hotelu, firmy kde měl schůzky, kontakty na lidi, potvrzení z autopůjčovny... Jímá mě hrůza, když si představím, že o něj přijde - stačí krádež, pád nebo utopení. Jasně, existuje služba obnovení, tedy během půl dne je s novým hardwarem zase na svým, ale přijde mi to strašně komplikované - vždyť on by se do toho iStoru ani nedostal, nevěděl by kudy...
Zobrazit celé vláknoSkrýt celé vlákno
1. 10. 2020 8:55 | vodovod
1. 10. 2020 1:59 | Pendejo Trafficante
Zobrazit celé vláknoSkrýt celé vlákno
30. 9. 2020 22:00 | HonzaV
Zobrazit celé vláknoSkrýt celé vlákno
30. 9. 2020 20:48 | L.
Citace - HonzaV / 30.09.2020 16:59
Nebojte, fízlovací zařízení je i hloupý telefon :-)
Zobrazit celé vláknoSkrýt celé vlákno
30. 9. 2020 20:18 | HonzaV
Zobrazit celé vláknoSkrýt celé vlákno
30. 9. 2020 17:45 | Pendejo Trafficante
HonzaV: vzhledem k naproste nezabezpecitelnosti Androidu i iOSu to v praxi znamena mit jeden telefon bez SIM vypnuty a zamceny v supliku a nemit na nem ZADNOU! aplikaci, krome bankovni. Ani tak to neni bezpecne, jako autentizacni token :-(. A starosti navis s myslenim na to, ze ten kram je potreba jednou za cas nabit i kdyz je vypnuty.
30. 9. 2020 16:59 | HonzaV
Bohužel celé to směřuje k stavu, kdy chytrý telefon (= fízlovací zařízení) bude nezbytnou pomůckou k jakékoli transakci...
30. 9. 2020 12:13 | L.