Místo SMS otisk. Fio vylepšuje ověření v internetbankingu

Jiří Hovorka | rubrika: Aktuality | 30. 9. 2020 | 20 komentářů
Fio banka nově umožňuje ověřovat platby zadané v internetovém bankovnictví přes vlastní mobilní aplikaci. Její klienti si tak mohou vybrat, zda transakce zadané v internetbankingu budou tak jako dosud potvrzovat jednorázovým kódem z SMS, nebo nově takzvanou push notifikací v aplikaci.

Přidat nový příspěvek

Diskuze na webu www.penize.cz se vždy věnují pouze tématu, k němuž se vztahují. Rozhodně nesuplují funkci Poradny. Máte-li proto jakýkoliv dotaz, obraťte se prosím přímo na naše odborníky, kteří vám rádi pomohou. Na dotazy vložené do Poradny standardně odpovídáme do čtyř pracovních dnů, obvykle se ale dočkáte reakce mnohem dříve. Pokud dotaz vložíte do diskuze, s velkou pravděpodobností na něj nikdo nezareaguje. Děkujeme za pochopení.

Příspěvek s nejvíce kladnými hlasy

30. 9. 2020 22:00, HonzaV

Jasně, ale ne tak moc jak ten chytrý :)

Zobrazit celé vlákno

+1
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

30. 9. 2020 17:45, Pendejo Trafficante

Jak dlouho bude ksindlu trvat prijit na to, ze pri ukradeni telefonu potrebuji jeste otisk prstu, aby mohli vybilit konto ...

HonzaV: vzhledem k naproste nezabezpecitelnosti Androidu i iOSu to v praxi znamena mit jeden telefon bez SIM vypnuty a zamceny v supliku a nemit na nem ZADNOU! aplikaci, krome bankovni. Ani tak to neni bezpecne, jako autentizacni token :-(. A starosti navis s myslenim na to, ze ten kram je potreba jednou za cas nabit i kdyz je vypnuty.

-3
+-
Reagovat na příspěvek

Další příspěvky v diskuzi (celkem 20 komentářů)

4. 10. 2020 1:25 | Michal Kubeček

Citace - L. / 03.10.2020 08:38

Takže jste ochoten zaplatit třeba 5000,- za specializovaný mobilní klíč, platit mu datový tarif a tahat ho s sebou? Nebo jste ochoten zaplatit 3000,- za offline kalkulačku, tahat ji s sebou a každou transakci zadávat 2x?
USB token - mimochodem, výrazně levnější, než vámi uváděné ceny - už mám a běžně ho jako druhý faktor používám. Takže žádná investice navíc, což by smartphone byl.
Ad "to není víra, to je znalost problematiky" - vidíte, to můžu říct klidně taky. Jen mám jiný úhel pohledu a jiné priority a vidím jiná rizika než vy.
"Spíš se nabízí otázka, proč aplikacím na počítači věříte a v mobilu ne?" -- Především proto, že v počítači mám nástroje a prostředky, jak si ověřit, co tam instaluji a co se tam opravdu děje. Smartphone je proti tomu skoro úplný blackbox. Mimochodem, instalaci Windows mám jen jednu ve virtuálu a používám ji jen na aktualizaci map v navigaci.
A když už tak bazírujete na zobrazení detailů transakce, abych měl stoprocentní jistotu, že potvrzuji opravdu to, co si myslím (což je pravděpodobně důvod, proč odmítáte klasický token a místo něj předpokládáte nějaké kalkulačky): ty detaily potvrzované transakce by mi zobrazoval ten důvěryhodný TPM nebo ta poteniálně nedůvěryhodná aplikace? Asi spíš ta aplikace, že? Takže když se tak moc bojíte, že v napadeném počítači vám někdo zobrazí jinou transakci než tokenem potvrdíte, proč se toho nebojíte ve smartphonu?
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

3. 10. 2020 8:38 | L.

Citace - Michal Kubeček / 02.10.2020 10:37

Naopak, chtěl bych používat bezpečnější metody.

Takže jste ochoten zaplatit třeba 5000,- za specializovaný mobilní klíč, platit mu datový tarif a tahat ho s sebou? Nebo jste ochoten zaplatit 3000,- za offline kalkulačku, tahat ji s sebou a každou transakci zadávat 2x? Ono internetová diskuse snese ledacos. Ale reálný zájem o tyhle metody je prakticky nulový. Jinak by je banky poskytovaly.

To není víra, to je znalost problematiky. Plus reálný fakt, že úspěšné překonání zabezpečení přes mobilní aplikaci je naprosto výjimečné.

Spíš se nabízí otázka, proč aplikacím na počítači věříte a v mobilu ne? Vždyť by to mělo být přesně naopak. Oddělení aplikací (možnost číst obrazovku, zachytávat klávesy a myš) ve Windows je dost chabé, ten systém na tom v principu není moc stavěný. Naopak pro mobilní systémy je oddělení aplikací základ. A pokud přistupujete do banky z počítače přes IB (což předpokládám), tak tam stačí, aby byl v prohlížeči doplněk, co může číst a měnit data na všech webech a máte bezpečnostní díru jak vrata. Přitom tahle práva potřebuje AdBlock, různé stylovací doplňky...
Plus u mobilu s biometrikou se transakce podepisují v odděleném TPM modulu a po úvodním předání klíčů není schopná aplikace tento podpis zfalšovat, i kdyby byla napadena, protože prostě nemá potřebný privátní klíč.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

2. 10. 2020 10:37 | Michal Kubeček

Citace / 02.10.2020 09:31

A nějaké argumenty na podporu tohoto tvrzení by nebyly? Proč trváte na tom, že chcete pro přístup do bankovnictví používat méně bezpečné metody?
Naopak, chtěl bych používat bezpečnější metody. Jen nesdílím vaši víru v to, že s bezpečností smartphone aplikací a prostředí, ve kterém fungují, je to tak skvělé, jak tvrdí reklamní materiály a vy. Stoprocentní důvěru nemůžu mít v nic, ale pokud se něco zásadně nezmění, nevidím způsob, jak bych mohl mít v aplikace běžící na smartphonu důvěru srovnatelnou s tím, co mi běží v počítači. A bohužel se to mění spíš k horšímu.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

2. 10. 2020 9:31

Citace - Michal Kubeček / 02.10.2020 08:21

Za mne tedy ne ... určitě bych se snažil vyhnout jeho používání pro přístup k bankovnímu účtu.

A nějaké argumenty na podporu tohoto tvrzení by nebyly? Proč trváte na tom, že chcete pro přístup do bankovnictví používat méně bezpečné metody?

Chápu, že z pohledu laika může "počet chyb v Androidu" vypadat děsivě. Jenže relevantních chyb (takových, které se týkají oddělení aplikací - sandboxingu) je velmi málo. A taková, která by dokázala překonat TPM modul není snad ani jedna. Rozhodně nevím, že by byl v praxi úspěšný útok tímto vektorem - na rozdíl od útoku přesměrováním SMS v síti operátora.

Navíc bankovní mobilní aplikace může kontrolovat, na jakém Androidu běží a pokud bude mít známou relevantní bezpečnostní chybu, může se odmítnout spustit, dokud uživatel neaktualizuje.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

2. 10. 2020 8:21 | Michal Kubeček

Za mne tedy ne. I kdybych si smartphone pořídil (což bohužel časem asi budu muset, šikana lidí, kteří je nemají, postupuje mílovými kroky), určitě bych se snažil vyhnout jeho používání pro přístup k bankovnímu účtu.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

2. 10. 2020 0:02 | L.

Citace - Michal Kubeček / 01.10.2020 21:46

Pokud to chcete brát takhle, tak prvotní problém je, že žádné ze dvou dosud používaných řešení (SMS, smartphone aplikace) vaše přísné nároky nesplňuje také.

Přiznám se, že moc nevím, jaké "přísné nároky" máte na mysli, protože já jsem žádné explicitně nenapsal :-)

Nicméně:

1) SMS. Má pro banku nějaké náklady (zhruba 1,- na SMS). Můžete na ní vidět, jakou operaci potvrzujete. Opisování kódu je lehce uživatelsky nešikovné, ale skousnutelné. Bezpečnost je problematická, zvlášť pokud je uživatel neopatrný a má smartphone, ale ani mobilní síť není moc bezpečná. V zahraničí vyžaduje mobilní síť.
2) Bankovní aplikace: Stojí nějaké peníze na vývoj a infrastrukturu, ale poskytuje spoustu další funkcionality. Samotné ověřování až tak náročné není. Pro uživatele je poměrně pohodlná, v případě používání biometriky dokonce velmi pohodlná. Spolehlivě zobrazovat podepisovanou transakci samozřejmě dokáže. Bezpečnost je slušná, u biometriky realizované přes kryptografický TPM modul dokonce velmi dobrá. V zahraničí jí stačí jakákoli Wi-Fi nebo mobilní data.
Za mě je potvrzování přes mobilní aplikaci pro běžné uživatele vlastnící chytrý telefon s biometrikou jednoznačně nejlepší. Je levné, pohodlné a (dostatečně) bezpečné.
-1
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

1. 10. 2020 21:46 | Michal Kubeček

Pokud to chcete brát takhle, tak prvotní problém je, že žádné ze dvou dosud používaných řešení (SMS, smartphone aplikace) vaše přísné nároky nesplňuje také.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

1. 10. 2020 15:24

Citace - Pendejo Trafficante / 01.10.2020 02:04

Takze s kazdou dalsi aplikaci roste riziko, ze tam mate neco, co jste ani trosku nechteli a co pozna bankovni aplikace a posle nekam prihlasovaci udaje.

Jelikož tam žádné přihlašovací údaje nezadávám, tak dost těžko :-D :-D :-D
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

1. 10. 2020 2:04 | Pendejo Trafficante

L: Hloupy telefon typicky nesmiruje, jenom operator vi, kde jste. Pokud tam vyrobce pred 10-20 lety dal nejakou smirovaci aplikaci, tak dost mozna staci zakazat data odchozi SMS u operatora.
Chytry telefon je zabezpeceny asi na urovni MS DOSu, nebo Windows 95 blahe pameti. Hodne aplikaci vyzaduje naprosto absurdni prava a odmita chodit bez nich. A Android nenabizi zadnou cestu, jak te aplikaci podvrhnout blbosti, kdyz se rozhodnem ji nejaka prava nedat, ale potrebujueme, aby to nepoznala. Jak to je na iOSu netusim, to si budete muset najit sam.
Takze s kazdou dalsi aplikaci roste riziko, ze tam mate neco, co jste ani trosku nechteli a co pozna bankovni aplikace a posle nekam prihlasovaci udaje.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

1. 10. 2020 15:23

Citace - Michal Kubeček / 01.10.2020 09:35

Tahle varianta by byla výhodná hlavně pro ty, kdo už token stejně mají a používají kvůli jiným aplikacím. (...) bohužel si to asi neuvědomují ani banky, ale současný model "smartphone aplikace nebo SMS" je pro klienty bez smartphonu hodně omezující.

Jenže on ten HW token má také spoustu nevýhod. Že by banka mohla "sdílet" token s jinou aplikací, to asi ne... Co se týče možností, tak jsou zhruba tyhle:

1) Offline token jako třeba ten klasický RSA, který ukazuje OTP, co se každou chvíli mění. Achilova pata tohohle řešení je, že u podepisování příkazu token neukazuje, co podepisujete. Tedy pokud máte na počítači breberku, tak vám počítač ukazuje, že posíláte pět stovek Pepovi za včerejší hospodu a přitom podepíšete převedení celého zůstatku do Konga. A tenhle offline token tomu nijak zabránit nedokáže.

2) Online token, který si z banky vyzvedne info o tom, co podepisujete a ukáže vám to na displeji. Vlastně takový malý mobil, vyhrazený pouze pro bankovní aplikaci. Bezpečné, ale dost drahé a v zahraničí to má stejné (nebo větší) problémy s konektivitou, jako mobilní token.

3) Offline autentizační kalkulačka jako měla eBanka. Teoreticky hodně bezpečné a použitelné i v zahraničí, prakticky drahé a počet lidí, co jsou ochotni přepisovat každou transakci 2x, se limitně blíží nule.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

1. 10. 2020 9:35 | Michal Kubeček

Citace - HonzaV / 01.10.2020 08:59

P.T.: token nevypadá zle, líbí se mi, že to je samostatná nezávislá věc, akorát jde o další "křapku", kterou nutno nosit s sebou, nezapomenout atd.
Tahle varianta by byla výhodná hlavně pro ty, kdo už token stejně mají a používají kvůli jiným aplikacím. Určitě bych to nenutil všem, jen bych ocenil, kdyby ho bylo možné použít jako další alternativu.
Lidé zvyklí na smartphone a zvyklí být s ním pořád online si to asi neuvědomují a bohužel si to asi neuvědomují ani banky, ale současný model "smartphone aplikace nebo SMS" je pro klienty bez smartphonu hodně omezující. I když pominu otázku bezpečnosti SMS, tak např. existují země, kde kvůli nekompatibilitě sítě SMS nepřijmu - a nejde o nějaké zaostalé země třetího světa, příkladem je třeba USA nebo Japonsko. Když budu v takové zemi (což momentálně naštěstí nehrozí), tak se do internet bankingu prostě nepřihlásím.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

1. 10. 2020 8:59 | HonzaV

P.T.: token nevypadá zle, líbí se mi, že to je samostatná nezávislá věc, akorát jde o další "křapku", kterou nutno nosit s sebou, nezapomenout atd.
Já chápu, že v roce 1999 platební příkazy na proužku papíru, podepsané a vhozené do sběrné schránky banky z ulice, nebyly ideální vynález. Ale asi bych se neupínal k možná až příliš komplikovaným technologiím. Ono to vypadá pohodlně. Ale pohodlný nerovná se jednoduchý. Kolega jezdil (teda před virovou panikou) po celé Evropě i dál, v podstatě jen s telefonem v kapse. Měl v něm letenku, platební karty (ty teda doufám i zvlášť - ale kdo ví), maily s adresou hotelu, firmy kde měl schůzky, kontakty na lidi, potvrzení z autopůjčovny... Jímá mě hrůza, když si představím, že o něj přijde - stačí krádež, pád nebo utopení. Jasně, existuje služba obnovení, tedy během půl dne je s novým hardwarem zase na svým, ale přijde mi to strašně komplikované - vždyť on by se do toho iStoru ani nedostal, nevěděl by kudy...
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

1. 10. 2020 8:55 | vodovod

Zlatá SMS . Doufám, že ji nezruší. Otisk prstu ? Je spousta lidí, kteří mají zničené prsty tak, že nemohou žádný otisk prstu poskytnout, ani Policii. A obličej ? No - nevím , nevím.
0
+-
Reagovat | Citovat | Nahlásit

1. 10. 2020 1:59 | Pendejo Trafficante

HonzaV: druha moznost je prejit k bance, ktera nabizi autentizacni token misto vsech nezabezpecitelnych pitomosti s telefony. Mam Unicredit a uz nema tak priserne bankovnictvi, jako mela (i kdyz na eBanku v roce 2002 nema ani nahodou). Od zalozeni uctu jsem na pobocce nebyl.
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 9. 2020 22:00 | HonzaV

Jasně, ale ne tak moc jak ten chytrý :)
+1
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 9. 2020 20:48 | L.

Citace - HonzaV / 30.09.2020 16:59

Bohužel celé to směřuje k stavu, kdy chytrý telefon (= fízlovací zařízení)...

Nebojte, fízlovací zařízení je i hloupý telefon :-)
0
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 9. 2020 20:18 | HonzaV

Asi jo, ale já používám hloupý telefon, nějaká N6300, ten mi funkčně zcela vyhovuje a aplikaci jaksi nemám kam nainstalovat, i kdybych chtěl. Váš scénář mě nejspíš čeká, až ty SMS zruší dočista.
+1
+-
Reagovat | Citovat | Nahlásit

Zobrazit celé vlákno

30. 9. 2020 17:45 | Pendejo Trafficante

Jak dlouho bude ksindlu trvat prijit na to, ze pri ukradeni telefonu potrebuji jeste otisk prstu, aby mohli vybilit konto ...
HonzaV: vzhledem k naproste nezabezpecitelnosti Androidu i iOSu to v praxi znamena mit jeden telefon bez SIM vypnuty a zamceny v supliku a nemit na nem ZADNOU! aplikaci, krome bankovni. Ani tak to neni bezpecne, jako autentizacni token :-(. A starosti navis s myslenim na to, ze ten kram je potreba jednou za cas nabit i kdyz je vypnuty.
-3
+-
Reagovat | Citovat | Nahlásit

30. 9. 2020 16:59 | HonzaV

Důležitá informace, ale prosím příště menší paniku v titulku, už jsem se lekl, že SMS kódy ruší. (Ono to asi časem nastane, ale zatím zůstávám tedy v klidu.)
Bohužel celé to směřuje k stavu, kdy chytrý telefon (= fízlovací zařízení) bude nezbytnou pomůckou k jakékoli transakci...
+1
+-
Reagovat | Citovat | Nahlásit

30. 9. 2020 12:13 | L.

Není to ani rok od uvedení "nové" bankovní aplikace a Fio už do ní stihlo doplnit esenciální funkcionalitu. To je ale tempo! Předpokládám, že celý tým pracoval i soboty + neděle, aby to v tak krátké době stihnul. Bravo, Fio!!!
0
+-
Reagovat | Citovat | Nahlásit

Ušetřete s Peníze.cz

Naši čtenáři s námi ušetřili už  13 137 466 Kč. Podívejte se na poslední poptávky a vyzkoušejte nás také. Vše je zcela zdarma.

Spočítejte si

Výpočet RPSN

Rozšířená verze kalkulačky

Další kalkulačky

Články na Heroine.cz

Co mě moje dvouletá dcera naučila o feminismu

Co mě moje dvouletá dcera naučila o feminismu

Díky narození dcery jsem si feministickou otázku začal uvědomovat mnohem palčivěji než...více

Může být věřící žena feministka? Jak to vidí mladé české křesťanky

Může být věřící žena feministka? Jak to vidí mladé české křesťanky

Jak se tisíce let stará pravidla slučují s postmoderní dobou a Instagramem? V čem moderním...více

Testujeme UFO 2 od Foreo. Efekt jako ze salonu za 90 vteřin

Testujeme UFO 2 od Foreo. Efekt jako ze salonu za 90 vteřin

Vyzkoušeli jsme účinky nové řady kosmetického přístroje UFO, které poskytuje hned tři...více

Přihlášení k newsletteru

Změny, novinky a aktuality ze světa osobních financí přehledně ve vaší schránce – čtěte náš pravidelný newsletter.

Informace ke zpracování osobních údajů

Souboj osobností

Kdo je vám sympatičtější? Hlasujte v našem souboji osobností a zvolte si svého oblíbence (případně menší zlo). Stačí kliknout na fotografii.

Milan Teplý

podnikatel, Madeta

Michal Sýkora

bývalý hokejista a investor

Milan Teplý
ÚSPĚŠNOST
59,04 %

z 166 duelů
×
Michal Sýkora
ÚSPĚŠNOST
65,43 %

z 188 duelů

Chci jiný souboj
Souhrnné výsledky duelů

Partners Financial Services

Používáte nástroj pro blokování reklamy. Pokud nám chcete pomoci, vypněte si blokování reklamy na našem webu. Zde najdete jednoduchý návod. Děkujeme.