Spořitelna zpoplatní ověřovací SMS. Co další banky?

Ono by to vcelku dávalo smysl, kdybyste se hned vedle nedomáhal pokračování autentizace naprosto děravým protokolem SS7 na vašem "tlačítkovém" telefonu, o kterém na rozdíl od aplikace (o které nic, jak říkáte, nevíte) víme naprosto přesně, že je špatně.
Nicméně aby bylo jasno, já s vámi ohledně FIDO2 souhlasím, jen vám kladu otázky, na které byste měl znát odpověď dříve, než to začnete implementovat.

Píšu jasně, že když na těch otevřených standardech budou chtít napsat vlastní aplikaci, tak jim v tom nikdo nebrání, pro klienta upřednostňujícího "autorizační appku od banky" to pak bude úplně stejné jako dosud. Rozdíl bude jen v tom, že klient bude mít možnost použít řešení jiné, které bude víc vyhovovat jemu. Desítky a stovky velkých firem, včetně bank (bohužel ne našich) s tím nemají problém, nemá s tím problém ani náš stát pro dost důležité aplikace, jen u našich bank by to fungovat nemohlo? To je prostě jen hledání výmluv, nic víc.
Rozhodně budu víc věřit otevřenému a široce používanému standardu založenému na mnohokrát auditovaných algoritmech a protokolech a jeho otevřené implementaci než nějaké pokoutní aplikaci upatlané interně pro potřeby jedné banky, o které veřejnost neví vůbec nic, tedy kromě PR prohlášení, jak je to super bezpečné a že tomu můžeme (nebo spíš musíme) věřit, protože... no prostě protože to říkají a basta.

A tu podporu, až to klientovi nepojede (protože to neumí nainstalovat) bude řešit kdo? A odpovědnost za ta hotová řešení třetích stran ponese v případě neautorizované transakce kdo?

Já to ale vidím spíš tak, že kdyby to postavili např. na FIDO2, tak klient může vybírat z řady hotových a už existujících řešení a ani oni nebudou muset na svém konci vyvíjet něco samodomo na zelené louce, ale budou moci vycházet z už hotových implementací. A když na tom budou mermomocí trvat, implementaci pro klienta v podobě smartphone aplikace s vlastním logem můžou udělat taky. To je právě ta výhoda řešení postaveného na univerzálních a otevřených standardech.

Co je bezpečnějšího na tom, že ze zařízení které zadává příkaz dochází i k potvrzení platby? Články typu nový malware umí vykrádat i data z bankovní aplikace asi píše ten co chce i nadále používat SMS , a píše to záměrně jako poplašné zprávy aby vás poškodil? V aplikaci není nutné nic přepisovat a není možno udělat chybu... není vám na tom něco divné? O jakem zabezpečení to hovoříme? Apka je na mém zařízení a nakonec si vlastně za malware na svém telefonu a vykradený účet mohu sám. To je přenesení zodpovědnosti , chcete tvrdit, že aplikace je bez jediné bezpečnostní chyby nebo snad Android na smartfonu?

Hloupým telefonem se zbavíte pouze potenciálního problému s Malwarem, který ovšem jako uživatel můžete ovlivnit svým chováním (a malware se tak vyhnout). Kromě toho se toto riziko týká zejména SMS a nikoliv přímo bankovní aplikace. Všechny ostatní zranitelnosti týkající se technologie GSM/SMS vám zůstanou a ty ovlivnit nemůžete.

Jistě, vy i já máme možná USB token (dluhopisy jsem raději koupil on-line přímo u MF pomocí MojeID a tam je GoTrust Idemkey nutnost). Ale kolik nás asi bude? Jako IT profesionál nepochybně chápete, že banky nebudou vyvíjet a hlavně pak supportovat řešení pro závratných 5 uživatel, protože průměrný klient si to prostě nekoupí, zatím co chytrý telefon má téměř každý a funkčně to je ekvivalentní řešení.
Ano, HW token by byl skvělá volba. Ale buď k tomu přesvědčíte milion svých spoluobčanů, nebo buďte realista.

Opravdu? Takže vy jste v roce 2001 měl smartphone, že je pro vás neuvěřitelné, že by ho někdo "v 21. století" neměl? A co myslíte, budou ho "všichni" mít za samozřejmost i v roce 2099?

Vraťte se do pralesa. Děkujeme. V 21.století neuvěřitelné.

Co na tom čtu blbě? Píšete, že malware je jeden z důvodů pro přechod od SMS na aplikaci. Na normální (jak vy říkáte hloupý) telefon prakticky žádný malware není. Takže neexistující malware je důvod přejít na zařízení, pro které malware existuje. Mám si tedy způsobit problém (potencionální malware), abych ho mohl řešit (přejít na aplikaci). Nebo obráceně - měl bych řešit problém, který nemám, tím, že si ho napřed způsobím.

Pokud by karta bez čipy byla zdarma a karta s čipem za 1000 Kč, asi málokdo by chtěl s čipem. Tady nejde o odmítání technologie, ale o odmítání (pro některé) zbytečných nákladů. Pokud už smrtfoun vlastníte z jiného důvodu, tak náklady navíc nemáte. Ale pořizovat si zařízení za jednotky až desítky tisíc jen a pouze kvůli přístupu do banky je, slušně řečeno, nepříjemné.

Především je tu pořád to falešné dilema: buď smartphone aplikace nebo SMS. Ale tak to není, existuje i řada jiných možností, to jen pro banky je pohodlnější předstírat, že existují jen tyhle dvě.

Ne nejsou odvážní. Jsou jen nenasystní, když jinde to jde zdarma. Kdyby byly odvážní, zrušili by SMS úplně.

Ve Spořce jsou mezi prvními odvážnými, ale časem se tomu lidé stejně nevyhnou nikde. To je jako kdyby teď někdo ještě chtěl po bance platební kartu bez čipu nebo bez NFC technologie...má prostě smůlu, bez toho už se to nedělá. Taky před pár lety někteří jedinci s hrůzou křičeli, ŽE BEZKONTAKTNÍ PLACENÍ NIKDY !!!! Prostě se tento segment nějak vyvíjí a od určitého momentu už nezbude člověku než se přizpůsobit.
A může si tu nějaký "odborník" pindat něco o nebezpečnosti tohoto způsobu zabezpečení ... je to jeho věc. Já tomu nerozumím vůbec, ale selský rozum mi říká, že těžko bude takto solidní instituce jako je banka někoho tlačit do riskantnějšího řešení, než je SMS klíč. Ono je to naopak.
Cenová politika je věc druhá a banka tímto jasně říká, že v rámci "mladší" generace o nepřizpůsobivé klienty zájem nemá. A je to její právo. Klient si může účet svobodně zrušit a odejít tam, kde to ještě chvíli bude moct dělat podle svého.

A proč by to vůbec mělo být vázané na telefon? Existuje řada jiných - a bezpečnějších - řešení pro druhý faktor, ke kterým není potřeba vůbec žádný telefon. To jen banky pořád zarputile trvají na tom, že není jiná cesta než smartphone aplikace nebo SMS. :-(

Tady asi došlo k nedorozumění, já nemám (a ani jsem nikdy neměl) účet u České spořitelny. (Ale zřizoval jsem si přes ně účet pro státní dluhopisy, takže je možné, že mne v těch čtyřech milionech evidují taky.) Ale tahle problematika mne samozřejmě zajímá, protože by příklad ČS mohly časem následovat i jiné banky. Koneckonců i banka, u které účet mám, se před časem chystala znemožnit potvrzování plateb kartou jinak než smartphone aplikací - ale naštěstí po negativní reakci klientů nakonec názor změnila.

Dobrý den, poplatky, které za používání sms zpráv vybereme, pokryjí náklady, které s touto metodou máme, přičemž se nejedná jen o samotnou cenu za sms, kterou platíme mobilním operátorům. Jde o udržení celého autorizačního systému na straně banky, který musí hlídat celý proces přihlášení a placení.
S ohledem na skutečnost, že zabezpečení účtů našich klientů vnímáme jako prioritu, nám stojí za to přimět co největší počet klientů používat naši bezpečnostní aplikaci George klíč.
Z našeho pohledu je jen otázkou času, kdy k podobnému kroku přistoupí i jiné banky a přestanou zastaralou metodu autorizace za pomoci sms kódů nabízet. Budou to mít teď o dost jednodušší, když jsme jim prošlápli cestu.

To čtete blbě. Shrnutí je, že pro hloupý telefon neexistuje možnost bezpečné 2FA protože většinu rizik nemůžete vůbec ovlivnit. Pro chytrý telefon taková možnost existuje, využíváte-li místo SMS k autentizaci aplikaci a případná rizika ovlivnit svým chováním můžete.

Od této společnosti jsem utekl již v 90letech minulého století a nikdy více.

Cituji: "Dobrý den, chápeme, že ne všichni budou ochotní přejít na dokonalejší a bezplatný způsob ověřování a raději začnou spolupracovat s jinou bankou, nicméně to je riziko, se kterým musíme počítat."
OK. Takže SMS zůstanou, banka je nezruší. Klienti, kteří nehodlají přistoupit na změnu, omezí používání služeb. Někdo úplně odejde. Opravdu to za ty vybrané polatky navíc při dnes zveřejněném zisku za první čtvrtletí vaší bance stojí? Banka vydává náklady na získání nových klientů, a tady se klidně zbaví stávajících.