Ověření při platbě kartou vylepší i ČSOB. Opisování SMS končí

jojo, už je řeší ČNB, neb podmínky pro dvoufaktorovou autentizaci prostě tou svou srandou s behaviorálnimi/risk based daty prostě nesplňují. ePinu se nevyhnou ...

Neumím anglicky natolik dobře, abych si v rozumném čase přelouskal 10stránkový text, zvlášť když je plný odborných termínů. Ale podle těch tabulek to vypadá, že kategorie "co jsem" (inherence elements) je v podstatě použitelná jen se smartfounem. I když čtečku otisků prstů mám i v notebooku, ale ještě nikdy jsem neviděl její jiné použití než pro přihlášení do Windows.
Do kategorie "co mám" (possession elements) patří tokeny, které už asi málokterá banka používá, a mobil, na který přijde jednorázová SMS (to je předpokládám to OTP). A možná čipová karta - třeba občanka s čipem? Každopádně z této kategorie používají banky asi jen SMS.
A poslední "co vím" (knowledge elements) jsou hesla všeho druhu: PINy, fráze, odpovědi na otázky, gesta.
Takže pokud mi něco neuniklo, když banka úplně ignoruje "co mám" (tedy SMS), tak s její kartou na internetu nezaplatím - aspoň u nás, protože z Číny dosud nakupuji jen s číslem karty bez SMS nebo čehokoliv dalšího.

Myslím, že je to tak. V tom dokumentu je kdyžtak i podrobnější přehled - tabulky, co patří do jednotlivých kategorií.

Takže karta je "nic", SMS je "co mám", ePIN "co vím" a prst / obličej "co jsem" ?

Je to tím, že samotná karta (údaje z ní) bohužel podle EBA nepatří ani do jedné z těch kategorií. Psal jsem o tom v některém z loňských textů, sama EBA to píše třeba jako bod 28 tady: https://eba.europa.eu/sites/default/documents/files/documents/10180/2622242/4bf4e536-69a5-44a5-a685-de42e292ef78/EBA%20Opinion%20on%20SCA%20elements%20under%20PSD2%20.pdf

Pořád mi není jasné několik věcí. Pro dvoufaktorové ověření se mají, pokud se nepletu, použít 2 ze 3 "věcí". Něco co mám (karta?), co vím (ePIN?), co jsem (otisk prstu?). Do které kategorie spadá SMS? Protože všichni tvrdí, že SMS nestačí, hádal bych do první (něco co mám). Když mám obyčejný telefon, je třetí kategorie (co jsem) mimo hru a zbývá první a druhá. Takže by měla stačit karta (údaje z ní) a ePIN. Jenže všude se uvádí "nemá stačit JENOM kód z SMS", jako bych od nového roku pro platbu potřeboval kartu, SMS a ePIN. Není SMS nadbytečná? Pokud by byla SMS nahrazena ePINem, nic bych proti tomu neměl. Bylo by to asi i rychlejší, než čekat na SMS.