🏦 Banky tlačí na své klienty, aby místo 📱 SMS používali mobilní bankovní aplikace. SMS přitom mnoha uživatelům stačí a vyhovují a tito lidé se rozčilují 😠, proč jim banky klasické ověřování pomocí SMS vypínají. 🛑

Napsal jsem pro Měšec.cz 💰 článek, kde jsem vysvětlil, proč banky od SMS ustupují a že důvodem nejsou zdaleka jen platby operátorům. 💡

https://www.mesec.cz/clanky/overeni-pomoci-sms-je-nebezpecne-banky-tlaci-klienty-do-aplikaci/

@krcmar Kdyby to bylo jen kvůli bezpečnosti a pohodlí, tak nemají banky problém implementovat webauthn nebo std. OTP. Mít ke každé službě druhý faktor ve formě speciální app je hloupost.

@jackc WebAuthn má bohužel tu vlastnost, že na identifikátoru není vidět, co se potvrzuje. Speciálně u bankovních transakcí je to vážný nedostatek.

@krcmar
Nezmínil jsi HW TOTP, které se stále používají (mám od Patrie) a jsou mnohem jednodušší na použití než "kalkulačky" (nic se nepřepisuje). Pokud jsou navíc chráněny otiskem prstu, je to velmi dobrá alternativa k mobilní aplikaci.

@aikencz @krcmar Ale TOTP ti nedává žádnou šanci vědět, co vlastně potvrzuješ. To se dá zneužít pro phishing. Z tohohle pohledu jsou možná i ty SMS zprávy lepší (tam se většinou píše, co potvrzuješ).

@aikencz @krcmar Dobře, že to stále někdo podporuje. navíc je to nezávislé na Androidu nebo iOSu. Bezpečnost mobilní aplikace na starém (nepodporovaném) Androidu - třeba Android 10 - je taky celkem diskutabilní záležitost.

@krcmar @jackc To je otázka, jestli zrovna u Webauthn je to problém, protože ta technologie je udělaná tak, že je prakticky nemožné potvrdit něco jiného než to, co před sebou právě vidíš na obrazovce.

Jinými slovy, zatímco u SMS nebo aplikace musí člověk zkontrolovat, jestli údaje v SMS nebo App odpovídají údajům na obrazovce, Webauthn to udělá za tebe.

@Oskar456 @krcmar @jackc Bohužel bankovní aplikace mají zabudovaný vendor-lock a security-by-obscurity. Ano dobře řeší podvržení URL (jeden vektor pro útok soc. inženýrstvím), i zmíněný SIM swap, ale kvůli "pohodlnosti ovládání" se dají provozovat i na nepodporovaném Androidu, protože ho hodně lidí má - někde se ten bezpečnostní kompromis stejně nakonec udělá - a chybí bohužel standardizace.

A proč rovnou nezrušit celé webové bankovnictví: https://zpravy.aktualne.cz/ekonomika/internetove-bankovnictvi-by-melo-byt-zruseno-je-nebezpecne-r/r~f59dfe1a893911eea9eeac1f6b220ee8/ Pravda to je, ale ty side-efekty - stojí za to?

@belohoub tohle asi nevyhnutelné. Banky mají hodně rády kontrolované prostředí, kde mohou například zablokovat screenshoty (🙄) nebo detekovat přítomnost superuživatele.

Takže i starý nepodporovaný android plný děr je pro ně asi lepší než webové bankovnictví, kde nic z toho kontrolovat nejde.

@Oskar456 @belohoub security by obscurity nebo taky hromada kouricich sracek. Kdyz nejde screenshot, tak dam monitor do kopirky. Tenhle pristup ve skutecnosti s bezpecnosti nema neci spolecneho.

@krcmar Hele nevim. Android je spyware od googlu, a trochu bych se divil kdyby bankovni aplikace nespehovala (nebude open-source, ze?). Plus vyrobci telefonu... rekneme... nejsou s bezpecnosti tak poctivy jako Linuxove distribuce. Mam dve zarizeni -- relativne bezpecne PC a neprilis bezpecny telefon, a utocnik by musel kontrolovat obe. S bankovni aplikaci mu staci kontrolovat jedno... Chapu ze SMS nejsou uplne bezpecne (ale to spousta bankovnich veci taky neni, treba m-bank si s bezpecnosti hlavu v podstate nelame), ale porad to jsou dve zarizeni misto jednoho.