Ušetřete

Názory k článku
Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 8:04 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Koukam autor je pekne choromyslnej clovek ... podobnou splacaninu totiz zdravej clovek napsat nemuze.

Takze vazeny, az budou banky pristupovat k zabezpeceni uctu tak, ze je to predevsim jejich vec a ze predevsim banka je odpovedna za to, co se stemi penezi deje, pak me (a nejspis i vsem ostatnim) bude zcela uprdele, jestli jim jako login staci usmev a mrknuti okem.

Do ty doby tvrdim, ze mamlasy s podobnymi nazory by bylo treba verejne bicovat.

Ze tech kazdorocne zverejnenych pruseru se zabezpecenim uctu je malo co ... a to se verejne probira tak promile reality, protoze je samo v zajmu bankto pekne tutlat. Ze trebas takova RB v ramci "bezpecnosti" klientum zrusi moznost internetovych plateb, co ... a to opakovane ...

Miroslav Bajgar aura:89
7. 5. 2013 8:38 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

On autor popisuje vlastně Mobilní eKonto od RB. A celý článek je dobře vyargumentovaná obrana její jednoduchosti. Sám ji používán (a dokonce mám jen 4 místný PIN) a popravdě řečeno stojí mi za to kvůli jedné platbě prohledat půl bytu, abych zjistil, kde ten tablet zase leží než abych posílal platbu přes desktop a luštil z mobilu 2x potvrzovací SMSku.
Akorát mám obavu, že pokud se takový přístup rozšíří na více bank bude spearphising velmi rychle zase o něco výdělečnější. Umím si představit aplikaci, která sleduje otevřené aplikace a snímá tapnutí na konkrétní místa obrazovky. Jakmile uspěje, pošle signál a muže nastoupit místní lapka a zajistit fyzicky dané zařízení. Takže pak je to jen otázka toho jak aplikaci doručit do mobilu/tabletu. A zase jsme zpátky u edukace uživatelů.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 10:07 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Ano, je to v podstatě tak... Ale v případě, že aplikace na mobilním zařízení dokáže sledovat tapnutí a posílat data bez vědomí uživatele atd., tak s velkou pravděpodobností nemusí nastupovat místní lapka a vše se dá vyřešit softwarově. Pomocí nástrojů typu Cycript se dá pokusně odzkoušet, že runtime mobilních aplikací je poměrně křehký..

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 10:05 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Choromyslnost již v mládí budiž mi vykoupení ve stáří. :)

Ale nyní k věci. Ta otázka stojí v podstatě jednoduše: Chce banka dělat "reálnou bezpečnost", která zabezpečí peníze klienta vůči předem definovaným hrozbám, nebo "bezpečnost na oko", která vylepší hodnocení na App Store a Google Play?

Je SMS na mobilu reálná bezpečnost? Je dlouhé a složité heslo na mobilu při dílčím ověřování hesla vůči serveru reálná bezpečnost? Je okamžité odhlašování při přechodu na pozadí v případě podepisování aktivních operací PINem reálná bezpečnost?

Zkuste si prosím odpovědi v článku vyfiltrovat. Pokud Vám jde o bezpečnost na oko, pak Vás článek zcela jistě a nutně pohoršil. Pokud máte konkrétní připomínky k obsahu, rád je s Vámi proberu osobně - kontakt je v článku.

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 11:19 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

A navic negramot ... takze znova a pomalu ...

Me je uplne jedno jak banka zajisti bezpecnost tech penez, i kdyby bezpecnost spocivala v tom, ze proste natiskne dalsi (coz stejne dela) ...

Pokud to bude fungovat tak, ze zavolam, reknu "tohle sem neplatil" a banka mi obratem vrati ty prachy na ucet. Az se bude banka takto chovat a nebude tu odpovednost za svoji neschopnost prenaset na me, tak nebudu resit autorizaci nezavislym kanalem.

A i pomerne blbej clovek docela dobre pochopil, ze pravdepodobnost, ze mu nekdo nadalku napadne desktop, vs pravdepodobnost, ze mu k tomu jeste in natura v realu slohne telefon ... je celkem vyrazne jina.

Zato pri zabezpeceni typu RC + 4mistnej pin ... (coz sem videl tusim u KB ...) je pravdepodobnost, ze se nekdo trefi jen otazkou (velmi kratkeho) casu. O tom, ze znam nemalo lidi, kteri pouzivaji (presne v souladu s temi pindy v clanku) vsude stejne heslo (takze staci pockat, az se budou prihlasovat na fuckbook a odchytit si to ...) radsi ani nemluvit ...

A pak se najde chorej mozek, kterej jim jeste tvrdi, ze je to vlastne OK ...

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 11:28 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Některé lidi... můžete potěšit někdy jindy. :)

Dejte si kávu a článek si přečtěte ještě jednou, pomaleji... Nebo mi rovnou popište, jak zaútočíte na můj účet u Raiffeisenbank, kde mám pro přihlášení pouze 4 místný číselný PIN.

tom
tom (neregistrovaný) ---.207.broadband.iol.cz
7. 5. 2013 12:14 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Velice jednoduse odesle bambilion spamu s tim ze vase banka vam zablokovala kvuli bezpecnosti ucet a muze te si ho odblokovat kliknutim na odkaz www.Reiffeisenbonk.cz kde ten vas pin zadate a ne malo troubu se najde co ho tam zadaj... ja jako fakt nevidim nic nepohodlneho na tom ze z moji banky mi prijde sms (pouze pokud chci penize prevest mimo moje ucty) s petimistnym kodem, ktery opisu... mit zajisten pristup do banky jen pinem je jako mit naditou srajtofli vykukujici ze zadni kapsy kalhot v precpane mhd

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 12:21 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Zdravím Tome, bavíme se o mobilním bankovnictví, ne internetovém bankovnictví. Klidně Vám můj PIN řeknu - je Vám na nic dokud nebudete mít v ruce můj telefon s aktivovaným bankovnictvím...

tom
tom (neregistrovaný) ---.207.broadband.iol.cz
7. 5. 2013 13:00 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

a sorry moje hloupost pletu si dojmy s pojmy jaksi jsem to "mobilni" prehledl

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 14:47 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Ale to pak po tobě na www.Reiffeisenbonk.cz můžou chtít opsat kód ze SMS a ty to určitě rád uděláš. A protože má útočník pod kontrolou počítač, nemusí to vlastně ani Reiffeisenbonk

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 11:00 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Mně by to jedno nebylo, přecijen banka musí na ty ztráty někde vzít peníze. Nejspíš je vezme od klientů.

Jirka
Jirka (neregistrovaný) ---.anonymouse.org
7. 5. 2013 11:02 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Takdy nekdo upadnul mamince v porodnici na hlavicku, ze?

Ondřej Bouda
Ondřej Bouda (neregistrovaný) 193.86.153.---
7. 5. 2013 8:22 Nový

Viry zatím nejsou

celé vlákno

Tenhle argument moc neberu - je jenom otázka času, kdy to propukne. A až to propukne, tak někdo přijde o peníze (jinak by toho vira nikdo nedělal).

Takže ano: dnes nic nehrozí. Jenže "normální smrtelník" (ne ten, kdo sleduje techologie) má docela slušnou šanci na to, že až "něco" začne hrozit, nedozví se to včas. Tzn. má slušnou šanci stát se obětí.

Přičemž ta "slušná šance" má dvě varianty:

(A) Postihne to jen pár nešťastníků - ty nejspíš banka podrží (protože je pro ni levnější je podržet než aby se rozmazávalo v médiích, jak je ta banka "zlá").

(B) Bude to fakt masivní - banka udělá na postižené dlouhý nos, protože sanovat jejich blbost by stálo moc. Čili spousta lidí přijde o peníze.

Obě varianty mi přijde stejně pravděpodobné - útočník se bude snažit o B, ale aby byl úspěšný, bude muset mít kromě velkého talentu i štěstí.

Takže když to sečtu: je jenom otázka času, kdy to přijde. A až to přijde, tak je to 50:50 - buď to zaplatí banka, nebo klient.

none
none (neregistrovaný) ---.221.broadband15.iol.cz
7. 5. 2013 9:06 Nový

Re: Viry zatím nejsou

celé vlákno

Ztráty vždy zaplatí klienti banky - tato logika už zazněla ve filmu Firewall: snížíme zabezpečení aby to měli klienti jednoduché a případné ztráty zaplatí stejně oni (na poplatcích).

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 9:58 Nový

Re: Viry zatím nejsou

celé vlákno

Ano, souhlasím, že k tomu s vysokou pravděpodobností jednoho dne dojde a mobilní malware bude legitimní hrozba. Problém je, že dnes není k dispozici řešení, které není přehnaně drahé a zároveň je rozumně pohodlné.

Je tedy otázka, zda má banka již teď snižovat pohodlí klienta a utrácet za extra zabezpečení (což zaplatí klienti). Ty diskuze se vedou již nyní, takže to nebude tak, že si jednoho dne řekneme "Ty jo, a jo..." :)

Osobně vkládám naději v to, že se podaří zpropagovat a zpřístupnit ARM TrustZone.

Ondřej Bouda
Ondřej Bouda (neregistrovaný) 193.86.153.---
7. 5. 2013 11:01 Nový

Re: Viry zatím nejsou

celé vlákno

Jo, myslím že se vcelku shodujeme - ze strany banky je to OK. Ze strany klienta taky - když ví, že hrozby se v čase mění. Akorát ze strany BFU klienta, který si náhodou přečte Váš článek, řekne si "bezva, nemám se čeho bát" a u tohoto názoru setrvá několik dalších let (protože se o téma aktivně nezajímá), to OK není.
Já jen aby pak na Vás někdo nebyl naštvanej, že tomu uvěřil a nevyšlo to :)

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 11:10 Nový

Re: Viry zatím nejsou

celé vlákno

To riziko tu samozřejmě je a třeba se mi článek za pár let ošklivě vrátí. :)

Ono ten "náběh na novou bezpečnost" bude ideálně pozvolný - již nyní vedeme diskuze, jak věc s malware řešit. Vůči běžným uživatelům se to (doufejme - třeba je druhá strana napřed:)) vykomunikuje rovněž včas a postupně.

Každopádně čím častěji se o tématu bude mluvit s důrazem na aktuální stav věcí, tím lépe...

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 11:05 Nový

Re: Viry zatím nejsou

celé vlákno

Kolik může stát nákup/výroba autentizačních kalkulátorů bankou ve velkém? Přijde mi, že dneska už má na kryptografii dostatečný výkon i Tamagoči z tržnice. Displej to má taky a co víc si přát?

Michal Kára
Michal Kára (neregistrovaný) ---.jablonka.cz
7. 5. 2013 11:08 Nový

Re: Viry zatím nejsou

celé vlákno

Co si přát? Uživatele, které baví přeťukávat údaje o platbě ještě do kalkulátoru :D

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 11:16 Nový

Re: Viry zatím nejsou

celé vlákno

Moje Tamagoči jde připojit k počítači a data mu prostě poslat.

AAA
AAA (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 12:08 Nový

Re: Viry zatím nejsou

celé vlákno

a neni to presne proti jeho smyslu?

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 14:48 Nový

Re: Viry zatím nejsou

celé vlákno

Ne, proč by bylo? Připojím Tamagoči, na displeji se objeví "posíláte 10000000 Kč na 19-105881/0710" a já zmáčknu buď OK nebo Cancel.

Michal Kára
Michal Kára (neregistrovaný) ---.jablonka.cz
7. 5. 2013 20:05 Nový

Re: Viry zatím nejsou

celé vlákno

No, a teď to důležité: Jak IB dostane ta data do Tamagoči?

Jenda
Jenda (neregistrovaný) 2001:67c:2190:----:----:----:----:----
8. 5. 2013 1:29 Nový

Re: Viry zatím nejsou

celé vlákno

Taky přes USB. Samozřejmě to neumí samotný prohlížeč, je potřeba driver.

Michal Kára
Michal Kára (neregistrovaný) ---.jablonka.cz
8. 5. 2013 9:52 Nový

Re: Viry zatím nejsou

celé vlákno

Spíš bych tipoval, že se to bude dělat přes plugin do prohlížeče. Stejně je to ale pro BFU zbytečně komplikované a dá radši přednost bance, kde placení bude jednodušší.

MCE aura:10

Re: Viry zatím nejsou

celé vlákno

Stačí jakýkoliv optický snímač, který z obrazovky sejme kód a čip, který ho dekóduje a na displeji zobrazí cílový účet, částku a OTP, které uživatel přepíše, viz http://www.cleverandsmart.cz/autorizace-transakce-v-internetovem-bankovnictvi-jednorazovym-heslem/.

Filip Jirsák
7. 5. 2013 11:55 Nový

Re: Viry zatím nejsou

celé vlákno

eKonto (ještě v rámci Expandia banky) na autentizačních kalkulátorech začínalo. Jenže to není moc uživatelsky přívětivé. Mobil s sebou nosím pořád, tahat s sebou pořád kalkulátor se mi nechce. Proto jsem já osobně kdysi z kalkulátoru přešel na šifrované SMS – tehdy jsem vědomě obětoval trochu bezpečnosti za větší pohodlí.

lojza
lojza (neregistrovaný) 81.90.252.---
7. 5. 2013 12:16 Nový

Re: Viry zatím nejsou

celé vlákno

Mobil s sebou sice nosím, ale signál všude pořádný nemám, takže už jsem pobíhal s mobilem po dvorku než se chytne a dostanu potvrzovací sms a budu se moci vrátit ke kompu a potvrdit transakci.

Nalim
Nalim (neregistrovaný) ---.net.upcbroadband.cz
8. 5. 2013 10:45 Nový

Re: Viry zatím nejsou

celé vlákno

Kdepak uz to propuklo. Cca pred 2mesici byl o tom v Chipu clanek, ze utocnici pomoci malware napadli pocitace v evropskych zemich a take napadli Anroid smartfouny. No a pak si pockali, az se uzivatel prihlasi do internetoveho bankovnictvi a malware si ulozil jejich heslo. Pak si sparovali konkktretni smartfoun s tim konkretnim bankovnicvim a pak mu normalne prevedki penize z internerovaho bankovnictvi na sve ucty (kod z potvrzovaci sms jim poslal ten napadeny mobil). Uz si nepamatuji cisla uplne presne, ale podarilose jim tak napadnout cca 100 000 uctu/uzivatelu a ukrast jim cca 30 000 000 euro (dohromady).
V clanku uz ale nepsali, co s tim udelali banky.

MCE aura:10

Re: Viry zatím nejsou

celé vlákno

Dokonce i v případě, že by se útočníkovi podařilo zcela ovládnout smartphone oběti nějakým malwarem a do banky poslat požadavek na převod peněz na jiný účet, nemusí být tato transakce vůbec realizována. Záleží to do značné míry i na tom, zda banka nasadila nějaký FMS nebo ne, viz https://www.soom.cz/index.php?name=articles/show&aid=508&title=Internetove-bankovnictvi-a-boj-s-Frodem.

anon
anon (neregistrovaný) ---.trionet.cz
7. 5. 2013 9:01 Nový

Counter-Flattr

celé vlákno

Neplánuje Lupa zavést něco jako NEodměnit autora? Třeba by to podobné mamlasy odradilo od podobných pseudočlánků.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 10:14 Nový

Re: Counter-Flattr

celé vlákno

Zdravím. Dejte vědět, co přesně Vám v článku nesedí - cílem článku rozhodně nebylo někomu zkazit den. :-)

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 11:07 Nový

Re: Counter-Flattr

celé vlákno

Mně tam nesedí to rejpnutí do Mironetu - když nechci, aby moje heslo znali, tak jim ho přece neposílám, ne?

Jinak první polovina článku mi přišla (triviálností obsahu) nic moc (až jsem přemýšlel, že to zavřu), ale pak už to bylo fajn. Možná by stálo za to rovnou začít popisem bezpečné mobilní aplikace, který je až za půlkou.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 11:32 Nový

Re: Counter-Flattr

celé vlákno

Ale ano - to rýpnutí jsem si mohl odpustit, hlavně v době, kdy hesla ukládají správně... Ale byl to celkem pěkný "case" ukazující, že naše hesla nejsou v databázích uložena tak bezpečně, jak by měla být.

Příště se do toho obuji rovnou. :)

Matkal
Matkal (neregistrovaný) ---.cust.termsnet.cz
7. 5. 2013 23:57 Nový

Re: Counter-Flattr

celé vlákno

No vidíte a já si zase celou dobu říkám, že ten článek byl moc dlouhý a ve druhé polovině příliš podrobný na to, aby se trefil do cílové skupiny.

Protože když už se vůbec publikuje na Lupě, tedy mezi lépe až dobře informovanými uživateli, popisem možných útoků na heslo je neoslovíte, zato rozsahem článku spolehlivě odradíte skupinu lidí, kteří jsou nedostatečně erudovaní, aby chránili svůj mobil/pin, což jsou přesně ti, kteří tu buď vůbec nejsou a nebo budou mít problém dočíst něco tak dlouhého do konce.

To mě samozřejmě vůbec předem nenapadlo, že se v diskuzi objeví trolové, kterým nebude zatěžko hrubě urážet pod rouškou anonymity a zpochybňovat podstatu článku, který minimálně nutí k zamyšlení, že vůbec nějaký problém může existovat.
K nim mám tedy dotaz, zajímaly by mě ty stovky případů napadení účtů, které jsou způsobeny internetovým bankovnictvím a jeho zabezpečením. Argument, že RB zablokovala platby přes internet je trochu mimo, neboť to udělala z úplně jiných důvodů (šlo o platební karty).
Věřím totiž, že pokud by došlo k nějakému častějšímu prolomení přístupů na ib z jiných důvodů, než hlouposti uživatelů, mohla by to banka tajit jak by chtěla, ale už by se to dávno propíralo na každém serveru.

Z toho pro mě vyplývá, že komfort uživatele má oprávněně přednost před honbou vše uzamknout pod deset hesel.

BTW přenosné certifikáty u KB byly důvodem, proč se jejich bankovnictví nechytilo, ačkoli bylo druhé na trhu hned po expandia bance. eB pomohlo právě přenesení na mobilní telefony, protože s kalkulačkami by dodnes banka živořila na tisíci klientech.

Filip Jirsák
8. 5. 2013 10:02 Nový

Re: Counter-Flattr

celé vlákno

Protože když už se vůbec publikuje na Lupě, tedy mezi lépe až dobře informovanými uživateli,

To mě samozřejmě vůbec předem nenapadlo, že se v diskuzi objeví trolové, kterým nebude zatěžko hrubě urážet pod rouškou anonymity a zpochybňovat podstatu článku, který minimálně nutí k zamyšlení, že vůbec nějaký problém může existovat.

Myslím, že jste si sám odpověděl :-)

Filip Jirsák
7. 5. 2013 9:10 Nový

forma × obsah

celé vlákno

Když budu hodnotit známkami jako ve škole: obsah 1-, forma 4-. Což je škoda.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 9:53 Nový

Re: forma × obsah

celé vlákno

Ano, tohoto jsem si vědom - článek původně vznikl pro osobní blog, Lupa jej převzala, takže forma článku je "osobní blog". Jistě by se to dalo lépe uhladit, ale jednak jsem rád, že obsah se dá odfiltrovat, druhak jsem potřeboval docílit toho, aby článek mohl číst i člověk, který není úplně zběhlý v kryptografii a bezpečnosti on-line aplikací...

Filip Jirsák
7. 5. 2013 11:09 Nový

Re: forma × obsah

celé vlákno

Bohužel si myslím, že člověk, který není zběhlý v kryptografii a bezpečnosti, právě k tomu obsahu proniknout nedokáže. Např. proto, že nedokáže odlišit, co je myšleno ironicky a co vážně.

SB
SB (neregistrovaný) ---.bnsoft.cz
10. 5. 2013 8:42 Nový

Re: forma × obsah

celé vlákno

Přesně. V případě, kdy netušíte, o co jde, ironie mate.
Mimoto je tam hodně chyb.
Jinak článek je zajímavý, ale nepřehledný.

Ondřej Bouda
Ondřej Bouda (neregistrovaný) 193.86.153.---
7. 5. 2013 11:03 Nový

Re: forma × obsah

celé vlákno

Forma je popularizující a povedená - tedy na 1. Akorát na Lupu se zrovna moc nehodí, ale za to nemůže autor, za to může redakce.

Filip Jirsák
7. 5. 2013 11:59 Nový

Re: forma × obsah

celé vlákno

Podle mne není povedená, protože neznalý člověk (kterému především byl článek určen), se v tom ztratí. To, že se autor o popularizaci pokusil, neznamená, že se mu to povedlo. A to nemyslím vůči autorovi nijak zle – ono je to dost těžké psát tak, aby to bylo srozumitelné laikovy, bylo to dostatečně přesné a neuráželo to odborníky, a aby to ještě bylo čtivé.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 12:03 Nový

Re: forma × obsah

celé vlákno

Ale tak já myslím, že se právě ty myšlenky ve formě zatím ještě neztrácí... :) Ostatně kdybyste měl v bodech vypsat, o čem článek je, je to problém?

Ale asi je to o vkusu a o osobním pohledu, je celkem těžké najít ten balanc, pro příště to posunu do "více klidné roviny".

Filip Jirsák
7. 5. 2013 15:15 Nový

Re: forma × obsah

celé vlákno

Já sám sebe nepočítám mezi „poučitelné laiky“ v oblasti počítačové bezpečnosti – takže to, že já ten výtah z článku udělám, (doufám) ještě nic neznamená.

„Více klidná rovina“ není potřeba, stačí udržet stejný styl v celém článku – ale je pravda, že udržet stejný styl ve vážné rovině je jednodušší, než v rovině žertovné. Na druhou stranu je dobré serióznějším textem začít, na něm se naučit a teprve pak zkusit náročnější žánr.

Jenom pro jistotu – nekritizuju formu proto, abyste se na to vykašlal a radši už nic nepsal, ale proto, abyste měl nějaká vodítka, jak to příště třeba napsat lépe. Protože vítám jakýkoli článek o bezpečnosti pro laiky, kde není žádná Alice a Bob a který nenabádá uživatele k pravidelnému měnění hesla, ale který vysvětluje, proti jakým metodám útoku chrání které bezpečnostní prvky.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 15:55 Nový

Re: forma × obsah

celé vlákno

Však já si také z každé kritiky něco beru a děkuji za ní... :)

Jinak seriózních článků jsem si před pár lety užil na firemním blogu, taky to fungovalo, ale chtěl jsem zkusit něco nového.

Mard
Mard (neregistrovaný) ---.net.upcbroadband.cz
8. 5. 2013 23:57 Nový

Re: forma × obsah

celé vlákno

No moc se Vám omlouvám, ale raději příště pište články o něčem jiném, pokud vůbec. Má to přišlo jako psychopatický tok neuspořádaných myšlenek spojený s propagací jedné metody a dehonestací všech ostatních. Pohybuji se kolem počítačů již od dob Sinclair ZX81, takže snad dovedu rozlišit podstatu v článku uváděných tvrzení a děsí mne jakou škodu může napáchat u nějakých BFU :-(

Ondřej Bouda
Ondřej Bouda (neregistrovaný) 193.86.153.---
7. 5. 2013 13:26 Nový

Re: forma × obsah

celé vlákno

Já mám z formy opačný pocit: že je obyčejnému člověku srozumitelná. Ale nejsem schopen to nezaujatě posoudit - chtělo by to nějaké testovací subjekty.

admin . aura:23
7. 5. 2013 9:10 Nový

pr článek

celé vlákno

jak tak koukám tak už lupa pr články neoznačuje tohle je jasná reklama na rajfajzen banku

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 9:51 Nový

Re: pr článek

celé vlákno

Ahoj, ač mi to nebudete věřit, tak není. Podobné záležitosti řešíme i s ostatními bankami a Mobilní eKonto je jen velmi pěkná case study, kde se všechny ty věci dají i ukázat prakticky. Banku si vybírejte podle produktů, ne podle mobilního bankovnictví...

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 11:09 Nový

Re: pr článek

celé vlákno

Bankovnictví je jedním z produktů. A taky třeba důvod, proč bych si nevybral banku, která má IB v Javě nebo Flashi a plánuji odchod od banky, která v IB začala používat JS Google Analytics (ČSOB/PS/ERA/jak se zrovna jmenujou).

misch
misch (neregistrovaný) ---.ext-brno.czechin.cz
7. 5. 2013 10:07 Nový

dlouhá hesla

celé vlákno

s povinnou kombinací znaků jsou čistě alibismus bank. Někdo zjevně nedokáže pochopit, že si člověk vlastnoručně zvolené heslo např. "banka: kobyla ma MALY b0k." může zapamatovat a udržet v tajnosti. Uměle zvolené heslo typu "xf6%Zrp58,x" jen vypadá komplikovaně, ale jeho praktická použitelnost je nulová a stejně ho budu muset mít někde poznamenané.

Nenávidím služby které mě nutí volit heslo podle JEJICH představ o bezpečnosti, nedejbože když je tam navíc omezení i na maximální délku hesla :(.

soumar
soumar (neregistrovaný) ---.87.broadband14.iol.cz
7. 5. 2013 10:29 Nový

Re: dlouhá hesla

celé vlákno

Plně souhlasím. V předchozím zaměstnání nám nastavili pravidla pro přístup do sítě tak, že heslo muselo být minimálně 9 znaků dlouhé a musela se tam vyskytovat minimálně jedna číslice a jeden nealfanumerický znak. Navíc se heslo muselo každý měsíc měnit. To vám po pár měsících dojdou nápady na snadno zapamatovatelné heslo a stejně si ho budete muset někam poznamenat. Není větší zábava než vzpomínat na heslo po 14 denní dovolené, když jste ho musel dva dny před dovolenou změnit.

Pavel
Pavel (neregistrovaný) 62.168.56.---
7. 5. 2013 10:50 Nový

Re: dlouhá hesla

celé vlákno

Něco podobného nám zavedli taky. Řešením je číslování hesla - heslo je stejné, liší se jen jednou číslicí, kterou točím od nuly do devítky. A protože si systém pamatuje jen sedm posledních hesel, už to takhle "bezpečně" provozuji pět let.

Ondřej Bouda
Ondřej Bouda (neregistrovaný) 193.86.153.---
7. 5. 2013 11:06 Nový

Re: dlouhá hesla

celé vlákno

leden2013
unor2013
brezen2013
...
plus, samozřejmě, nějaká (konstantní) omáčka... vystačí to navěky a na rozpomenutí stačí pohled do kalendáře :)

AAA
AAA (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 11:33 Nový

Re: dlouhá hesla

celé vlákno

pak ti zavedou minimalni pocet znaku ve kterych se musi heslo lisit od predchoziho a bude to k prdu...

Pavel
Pavel (neregistrovaný) 62.168.56.---
7. 5. 2013 13:09 Nový

Re: dlouhá hesla

celé vlákno

No, tak těch číslic bude více. A způsoby řešení jsou i jiné. Před časem naši bezpečáci vymysleli naprosto uhozenou kontrolu "bezpečných" hesel. Když zjistili, že to vedlo k "heslu dne" napsanému na tabuli nad recepcí, tak zase ve svém nadšení rychle polevili.

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 16:11 Nový

Re: dlouhá hesla

celé vlákno

No vidite, pribuzna delala v bance a chodili jim pravidelne kontrolovat, jestli nemaji heslo napsane pod klavesnici/na monitoru ... a pokud se pamatuju, menit ho museli co 14 dnu + si to pamatovalo 2 roky zpet.

Pokud se u nekoho to heslo naslo napsane, dostal na hodinu padaka.

Pavel
Pavel (neregistrovaný) 62.216.147.---
7. 5. 2013 17:08 Nový

Re: dlouhá hesla

celé vlákno

No, a teď si vemte, co se stalo v jedné z našich big four bance.

Koupili si od nás SW s full service, tak jsem jim ho naklusal nainstalovat. Přijdu do kanclu, tam mě prstem ukážou na počítač, a že tam to mám dát. Já je požádám o přihlášení na administrátorský účet, oni že to neznají, že mají správu počítačů outsoursovanou, ať si zavolám na číslo xxxxxxxxx. Tak tam volám: Haló, tady já, potřebuju administrátorské jméno a heslo. To já vám neřeknu, my heslo odvozujeme se sériového čísla počítače takto: a následoval popis postupu. Já v tom okamžiku měl administrátorský přístup ke všem počítačům v oné bance!

Hlavně že pak honěj chuděry na přepážce, jestli nemají heslo někde na papírku.

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 17:17 Nový

Re: dlouhá hesla

celé vlákno

Tak on je jeste celkem zasadni rozdil mezi admin pristupem k desktopu a pristupem do aplikace. Ale samo, podobnych situaci sem zazil ... (napr dostat se v nekterych firmach fyzicky k serverum, je otazka dostatecneho sebevedomi pri vstupu ...)

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 17:42 Nový

Re: dlouhá hesla

celé vlákno

„Tak on je jeste celkem zasadni rozdil mezi admin pristupem k desktopu a pristupem do aplikace.“

Například ten, že admin může aplikaci backdoornout, aby mu heslo řekla? :)

Jirka
Jirka (neregistrovaný) ---.157.broadband4.iol.cz
9. 5. 2013 1:45 Nový

Re: dlouhá hesla

celé vlákno

A jak poznali, že má na monitoru napsáno heslo? To se jich na jejich heslo ptali? Co když na monitoru byl lísteček "Do 16:00 zavolat Petrovi"?

Pavel Šrubař aura:85
8. 5. 2013 10:52 Nový

Re: dlouhá hesla

celé vlákno

Zavedením takového opatření by ale přiznali, že ukládají otevřená hesla namísto jejich otisků, jinak by to přece nebyli schopni kontrolovat. A od takové firmy je lepší utéct.

Jirka
Jirka (neregistrovaný) ---.157.broadband4.iol.cz
9. 5. 2013 1:53 Nový

Re: dlouhá hesla

celé vlákno

Ne nutně - jedno možné schéma by bylo uchovávat hashe všech podposloupností hesla o jeden znak kratších. Nové heslo se pak nesmí shodovat v žádném z těchto hashů (což může zakázat i některá další hesla, záleží jak to implementujete, ale to by nemuselo tak vadit).

Petr
Petr (neregistrovaný) ---.55.broadband12.iol.cz
9. 5. 2013 8:12 Nový

Re: dlouhá hesla

celé vlákno

Tohle jsem vůbec nepochopil a myslím že nevíte, jak funguje hash.

Jirka
Jirka (neregistrovaný) ---.157.broadband4.iol.cz
9. 5. 2013 12:07 Nový

Re: dlouhá hesla

celé vlákno

Je pěkné, když poznáte, co kdo neví, z toho, že něco nepochopíte. Jinak jak funguje hash vím, zřejmě vy nevíte, co je podposloupnost.

Filip Jirsák
9. 5. 2013 12:15 Nový

Re: dlouhá hesla

celé vlákno

Myslím, že by uživatelé velmi rychle přišli na to, že onu měněnou číslici je potřeba zdvojit.

Jirka
Jirka (neregistrovaný) ---.157.broadband4.iol.cz
9. 5. 2013 13:53 Nový

Re: dlouhá hesla

celé vlákno

Tím by ale pravidla splnili, tak o co jde :)

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
9. 5. 2013 17:17 Nový

Re: dlouhá hesla

celé vlákno

No tak ji dám třeba na začátek.

Jirka
Jirka (neregistrovaný) ---.157.broadband4.iol.cz
9. 5. 2013 18:08 Nový

Re: dlouhá hesla

celé vlákno

?

Co, kam a co z toho?

Jenda
Jenda (neregistrovaný) 2001:67c:2190:----:----:----:----:----
10. 5. 2013 0:51 Nový

Re: dlouhá hesla

celé vlákno

No tu číslici. A to pak hash oříznutý o poslední znak nezjistí.

Filip Jirsák
10. 5. 2013 8:45 Nový

Re: dlouhá hesla

celé vlákno

Jirka psal o uchování všech hashů řetězců, které vzniknou z původního hesla odstraněním právě jednoho znaku – těch hashů bude stejně, jako je počet znaků hesla. T.j. z hesla "abcd" si poznamenám hashe pro "bcd", "acd", "abd" a "abc". To samé pak udělám pro nové heslo (např. "abce" -> "bce", "ace", "abe", "abc") a porovnám, zda neexistuje nějaký hash, který je v obou skupinách.

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
10. 5. 2013 23:17 Nový

Re: dlouhá hesla

celé vlákno

Aha, nějak jsem četl, že mu jde jen o oříznutí posledního znaku.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 10:31 Nový

Re: dlouhá hesla

celé vlákno

Ano, je to přesně tak - umělá hesla jsou dobrá maximálně tak pro první přihlášení, nebo v extra kontrolovaném prostředí...

Jen jedna poznámka k maximální délce hesla. Někdy je vhodné ji zvolit, ale musí se vědět, co se dělá. Opět udělám malou "reklamu" appce od RB, která používá číselný PIN. Abychom jej v aplikaci dokázali perfektně zabezpečit, používáme schéma založené na Vernamově šifře. K tomu je nutné předem vygenerovat permutační matice a k nim inverzní permutační matice. A při tom právě z technických důvodů omezujeme délku hesla. Je to popsané zde:

http://www.slideshare.net/PetrDvok/note-on-the-mobile-security-or-how-a-brave-permutation-saved-a

mish
mish (neregistrovaný) 91.233.248.---
7. 5. 2013 10:18 Nový

facebook a google

celé vlákno

Na facebooku a aj na google sa da nastavit dvojfaktorova autentifikacia, bud SMS spravou alebo tokenom z aplikacie na mobilnom telefone! Zadarmo.

Google ponuka aj specialne hesla zlast pre kazdu aplikaciu/zari­adenie, ktore pouzivate.

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 11:12 Nový

Re: facebook a google

celé vlákno

A co přesně se tou SMS zprávou chrání?

mish
mish (neregistrovaný) 91.233.248.---
7. 5. 2013 12:16 Nový

Re: facebook a google

celé vlákno

Je chranene prihlasenie. Napriklad po ukradnuti prihlasovacich udajov trojkym konom, atd... Co sa chrani, zalezi na tom aky obsah tymto sluzbam zverujete :-)

Mna by celkom mrzelo, ak by niekto kompromitoval moje google konto a nebodaj aj zmenil hesla a kontaktne udaje a konto tym padom pre mna zablokoval...

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 14:51 Nový

Re: facebook a google

celé vlákno

Tyhle služby nepoužívám, ale nestačí útočníkovi ukrást session?

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 16:12 Nový

Re: facebook a google

celé vlákno

Pokud je to dobre udelane (nevim), tak je mu to k prdu, protoze minimalne ten telefon bez toho telefonu nezmeni.

PT
PT (neregistrovaný) 80.188.193.---
7. 5. 2013 10:32 Nový

domaci bankovnictvi

celé vlákno

Pochopil jsem spravne, ze internetove bankovnictvi je v RB reseno pres certifikat/klic? Protoze takhle to mela (asi stale ma) KB. Jenze to neni internetove bankovnictvi, ale __domaci__ bankovnictvi. Nebo si mam ten klic nahrat do telefonu a vsude s sebou tahat kabel? Tohle je uplne na pytel. Beru, ze pak prichazi k veci mobilni bankovnictvi, presto me certifikaty uprimne otravuji. Neni to neresitelne, ale je to podle autorova motta "trpim".

Jo a nevim jak je to s uhadnutelnosti PINu, ale vetsina lidi v nich bude mit cisla budto rodna, nebo narozeni nejblizsi rodiny nebo nejake to tel. cislo nejblizsi rodiny...
Tim se nechci nejak zvlast zastavat hesel, ale rict, ze PIN je lepsi diky tomu, ze to nikdo jiny nepouziva je sice fajn, ale je treba rict, ze na cisla lidi moc pamet nemaji a proto pak ta "sila" vypada.

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 11:15 Nový

Re: domaci bankovnictvi

celé vlákno

KB a RB (z článku) nejdou srovnávat, jedno je pro PC, druhé pro smartfouny.

Jinak doteď jsem nepochopil smysl toho procesu v KB. Opakovaně s tím prudím v diskuzích, když se někde objeví nějaký obhájce KB, a ještě mi nikdo nebyl schopen ukázat attack vector, kterému by ta Javovina mohla zabránit.

LIbb aura:41
7. 5. 2013 11:46 Nový

Re: domaci bankovnictvi

celé vlákno

Podle posledních informací už existuje varianta bez Javy, která akorát neumí pár věcí a hlavně existuje web mobilnibanka.cz, kde si v hlavní bance jednou autorizujete mobilní banku a můžete ho používat. Pro Android a iOS existují i aplikace.
No a na webu teď píšou, že už chystají verzi úplně bez Javy (hurá)

Filip Jirsák
7. 5. 2013 12:10 Nový

Re: domaci bankovnictvi

celé vlákno

Nevím, zda to KB používala (když to najednou umí i bez certifikátu, tak asi ne), ale podepisování transakcí elektronickým podpisem brání útokům zevnitř banky a chrání banku. Pokud bude mít příkaz k úhradě podepsaný uznávaným elektronickým podpisem klienta, každý v ČR musí uznat, že ten příkaz dal skutečně klient, že to není nějaká chyba (nebo záměr) banky. Pokud to bude jen obyčejný elektronický podpis, pořád má banka slušnou šanci prokázat, že za příkaz je zodpovědný klient. No a elektronický podpis z webového prohlížeče jinak než přes Javu neuděláte.

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 14:54 Nový

Re: domaci bankovnictvi

celé vlákno

S tím souhlasím, ale v této implementaci to přece vůbec nic neřeší - protože podepisování se děje v appletu poskytovaném (ještě k tomu při každém přihlášení znovu) bankou. A pokud by se banka rozhodla podvádět, pošle prostě klientovi backdoornutý applet.

Filip Jirsák
7. 5. 2013 15:23 Nový

Re: domaci bankovnictvi

celé vlákno

Souhlasím, že v téhle konkrétní implementaci uživatel stejně nejspíš nemá kontrolu nad tím, co podepisuje. Alespoň z mých pár setkání s tím appletem KB si nevybavuju, že bych se vůbec mohl podívat, co vlastně podepisuju. Na druhou stranu, ten applet musí být elektronicky podepsaný, stahuje se z nějakého webového serveru (který snad je oddělen od bankovního systému), ten applet pak má uživatel na disku a může jej analyzovat – nebo-li na případném podvodu by se muselo podílet víc lidí a existovalo by větší riziko prozrazení u klienta. Nejde ani tak o to, že by se pokusila podvádět banka jako taková (proti tomu stejně není obrana), ale že by se o to pokusila nějaká skupina zaměstnanců.

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
9. 5. 2013 7:08 Nový

Re: domaci bankovnictvi

celé vlákno

„Alespoň z mých pár setkání s tím appletem KB si nevybavuju, že bych se vůbec mohl podívat, co vlastně podepisuju.“

No právě o to mi jde.

„ten applet pak má uživatel na disku a může jej analyzovat“

Aha, takže uživatelé si mají ukládat všechny applety, co jim kdy byly poslány, aby je v případě nesrovnalostí mohli dát analyzovat, jestli v nich náhodou nebyla nějaká nekalost. Viděl jste nějaký takový požadavek v návodu k jejich bankingu? Kolik uživatelů to dělá? Kolik prohlížečů vůbec umožňuje nějak uživatelsky přívětivě zkopírovat applet?

„ale že by se o to pokusila nějaká skupina zaměstnanců“

Například že to místo skupiny, která dělá webový interface, udělá skupina, která dělá applet.

Filip Jirsák
9. 5. 2013 8:45 Nový

Re: domaci bankovnictvi

celé vlákno

V druhé části polemizujete s něčím, co jsem nikdy nenapsal. Ve třetí jste zapomněl na to, že by se musely ty dvě skupiny (pro webový interface a pro applet) spojit.

Jenda
Jenda (neregistrovaný) 2001:67c:2190:----:----:----:----:----
10. 5. 2013 0:54 Nový

Re: domaci bankovnictvi

celé vlákno

2: Tak co si představujete pod „ten applet pak má uživatel na disku a může jej analyzovat“?

3: Applety nedělám, ale neumí applet posílat HTTP požadavky v kontextu stránky, ve které je spuštěn?

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 16:22 Nový

Re: domaci bankovnictvi

celé vlákno

Jirsak jirsak, zase kravoviny ....

1) onen "uznavany" pospis (aneb to co vydava trebas posta), je uznavany (ze zakona) vyhradne organy statni spravy. V pripade komercnich subjektu (coz banka je), je to ciste na tom subjektu.

2) cimz se dostavame k bodu dva, kde svuj podpis, ma banka pod kontrolou, narozdil od cizich, kde nemuze nijak ovlivnit podminky, za kterych je vydavan.

V obou pripadech pak nelze nijak dokazat ani prokazat, ze podpis vykonala konkretni fyzicka osoba (narozdil od podpisu neelektronickeho, kde to lze s vysokou mirou pravdepodobnosti urcit, tim spis, pokud jde o podpis overeny trebas notarem)

2) a nyni se dostavame do bodu 3, coz bude pro Jirsaka novinka, ale autentizace certifikatem/klicem je kupodivu zcela standardni soucasti http. Jen to prakticky nikdo nepouziva. Zadna java na to neni treba.

Filip Jirsák
7. 5. 2013 16:30 Nový

Re: domaci bankovnictvi

celé vlákno

autentizace ≠ podpis

NN
NN (neregistrovaný) ---.212-5-197.telecom.sk
7. 5. 2013 11:11 Nový

Fajn čítanie

celé vlákno

Mne sa clánok páčil a stotožňujem sa s obsahom. Aj s formou, beriem to ako glosu. :-)

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 11:33 Nový

Re: Fajn čítanie

celé vlákno

Díky:)!

-=Vasek=-
-=Vasek=- (neregistrovaný) ---.karlov.mff.cuni.cz
7. 5. 2013 11:14 Nový

A co kreditka?

celé vlákno

Ja osobne moc nerozumim, proc banky maji na jedne strane nadstandartne zabezpecene online bankovnictvi, kdyz na strane druhe je platebni karta se zabezpecenim na smesne urovni. Z meho pohledu staci zadat par cisel (na ktere se stejne muze kazda pokladni podivat) do nejakeho eshopu a prachy jsou v pr... Jasne muzu mit limit 0 pro platby kartou na netu a pak ho zvysit jednorazove (dle autora jednoznacne utrpeni), jinou kartu (za kterou si samozrejme extra platim) jen pro net a jine obskurnosti... Myslim, ze to typicky zadny bfu nedela...
Ma otazka na autora, proc je tak slozite k platbe kartou na netu pridat dalsi overeni, treba pin?

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 11:36 Nový

Re: A co kreditka?

celé vlákno

Slozity to neni ... ale proc to delat ...ze ...

Videl sem, jak probihala platba po netu s expost autorizaci - jednoduse prisla SMS a dotycnej musel ze svyho uctu atutorizovat tu zablokovanou castku, ktera by bez autorizace proste neodesla.

Co vic, znamemu dokonce z banky zavolali, ze ma na ucte platbu v neobvykle mene do zahranici (v korunach ... ;D ) a jestli to mysli vazne (a to neslo o zadnou horentni sumu, cca $50).

Pripadne muzeme lehce jinam - kolega volal z US ... a do hovoru mu uplne normalne vstoupila operatorka, a ptala se, zda chce v hovoru pokracovat, protoze jiz prekrocil svou beznou mesicni utratu.

Nj, u nas se necha zakaznik provolat statisice, banka mu necha vykoupit ucet ... a pak se pise, jak byl blbej, ze pouzival jen 4mistnej ciselnej pin ...

BTW: Pro pobaveni (na tema bezpecnsot), kolegovi prislo celkem nedavno od M$ a toho jejich uloziste ... ze omezili delku hesla na 8 znaku ... a ze pokud mel delsi, tak ze ho ma proste oriznout ... lol ... => ukladani hesel jako otevreny text.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 12:12 Nový

Re: A co kreditka?

celé vlákno

Zdravím Vás a děkuji za dotaz! :) Odhlédneme-li od toho, jaká jsou pravidla pro HW, který může být použitý pro zadávání PIN kódu a toho, jak se s PINem následně kryptograficky pracuje, je klíčová otázka, co by se zadáním PINu na web vyřešilo? Prostě byste ho někam poslal spolu s ostatními údaji o kartě, čímž bezpečnost příliš nezvýšíte...

Pokud se pracuje se zabezpečením karty, musí to být na "jiném kanálu" než je platební brána.

Některé banky umožňují na kartách (typicky na debetních, které mají více pod kontrolou) provádět operaci "zamykání" nebo deaktivaci e-commerce transakcí. Tyto operace se dají povolit v internetovém nebo mobilním bankovnictví. Takže například já si před každým výběrem z bankomatu musím předem odemknout debetní kartu přes mobilní banku...

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 14:56 Nový

Re: A co kreditka?

celé vlákno

„Zdravím Vás a děkuji za dotaz! :) Odhlédneme-li od toho, jaká jsou pravidla pro HW, který může být použitý pro zadávání PIN kódu a toho, jak se s PINem následně kryptograficky pracuje, je klíčová otázka, co by se zadáním PINu na web vyřešilo? Prostě byste ho někam poslal spolu s ostatními údaji o kartě, čímž bezpečnost příliš nezvýšíte...“

Asi myslel na webu banky…

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 15:59 Nový

Re: A co kreditka?

celé vlákno

Budeme-li předpokládat, že se PIN zadává na "bezpečný web" (což není pravda úplně vždy), tak pak je tady např. situace s viry, dále pak VISA regulace toho, na jaký HW je možné zadávat PIN ke kartě (musí se jednat o odcertifikovaný HW, což osobní počítače s klasickou klávesnicí nejsou)...

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 16:35 Nový

Re: A co kreditka?

celé vlákno

No jo, ale současný stav je takový, že si prodavačka/číšník zapamatujou číslo a CVV, případně někdo ukradne databázi eshopu, kde jsem si něco objednával, a je vymalováno. Jinak nechtěl bych rovnou PIN ke kartě; spíš bych si představoval, že bych transakci potvrdil v rozhraní IB banky, stejně, jako jakýkoli jiný příkaz elektronického bankovnictví.

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 16:44 Nový

Re: A co kreditka?

celé vlákno

Coz se technicky umi, ale pouziva jen vyjimecne (videl sem to, platba zustavala na ucte jen zablokovana, az do autorizace). Technicky pak nevidim zadny problem v tom, umoznit nastaveni typu limit bez autorizace, pripadne defaultni chovani po nejake lhute (zaplatit/neza­platit) ...

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 17:05 Nový

Re: A co kreditka?

celé vlákno

Já v tom taky nevidím technický problém, ale přitom to banky nedělají (většinou ani jako opt-in). Hlavně, že se zavádějí bezkontaktní platební karty…

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
7. 5. 2013 17:21 Nový

Re: A co kreditka?

celé vlákno

Proc by mely ... kdyz za to nese vzdy odpovednost klient (v provedeni ala CR) ... Proc by banka mela investovat do zabezpeceni cizich penez ... neni duvod. Kdyz se neco stane, rekne se ze klient nekde neco nemel ... a tim je to vyreseny.

Pavel Flajšhans aura:56

Re: A co kreditka?

celé vlákno

Vygooglujte si něco o Secure3D při platbách kartou na netu. Pokud to banka podporuje (např. u mne Citibank), tak každou platbu na netu kreditní kartou musím potvrdit kódem, co mi přijde na mobil. Pokud obchodník (resp. jeho platební brána) nepodporuje Secure3D a já budu reklamovat platbu, je na obchodníkovi, aby prokázal, že jsem to platil opravdu já.

Miroslav Suchý aura:95

OTP bych bral

celé vlákno

Souhlasím s autorem že SMSka měla smysl v době kdy telefon nešlo hacknout. Dneska se dá hacknout telefon stejně snadno jako ten desktop. Proto bych uvítal kdybychom od banky dostali ty "čípečky". Ty jsou ohledně hackování na stejné urovní jako v minulém tisíciletí ty mobilní telefony, tj. hacknout prakticky nejdou.
Asi bych se vyvaroval SecureID kvůli jejich průserům v minulosti, ale jinak LinOTP, Yubikey, jakékoliv OTP. Člověk si to pověsí na klíče a nezavazí to. Náklady mizivé a bezpečnost je rázem někde jinde - člověk pak musí mít token, PIN a telefon.

Jo a asi jsem divnej, ale mě se ten neformální styl článku líbí.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 13:19 Nový

Re: OTP bych bral

celé vlákno

Děkuji! :)

Ano, SecurID jsem zvolil jako nejvíce profláknutý, ale je mnoho možností...

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 14:57 Nový

Re: OTP bych bral

celé vlákno

Počkej, opravdu ti proti útoku, kdy útočník drží počítač, pomůže OTP?

Miroslav Suchý aura:95

Re: OTP bych bral

celé vlákno

Ano.
Aby se někam dostal musí získat počítač/telefon kde jsou ty klíče. *A* OTP token. *A* ješte PIN.

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 16:03 Nový

Re: OTP bych bral

celé vlákno

Když má kontrolu nad tvým zařízením, bude ti hrát divadlo - na obrazovce se ti bude ukazovat, že posíláš pětistovku, ale ve skutečnosti se budou odesílat všechny peníze, co máš, někomu úplně jinému. Ty samozřejmě zadáš OTP a tím potvrdíš transakci - tu útočníkovu.

(Bavíme se o situaci, kdy útočník má (vyownovaný) počítač; pin můžeš zadávat do tokenu - pak se akce vůbec neúčastní, nebo do počítače - a pak ho útočník zná taky)

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 16:29 Nový

Re: OTP bych bral

celé vlákno

Toto je pravda - OTP takto použité (bez zobrazení podepisovaných dat) je stejně silné, jako autorizační SMS bez uvedení údajů o transakci, viz popis v článku. Ale minimálně zabrání chaosu na účtu a "mikrokrádežím".

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 16:35 Nový

Re: OTP bych bral

celé vlákno

Ale opět doplním: předpoklad je, že tu máme reálnou hrozbu mobilního malware. Což dnes ještě tak úplně není ten případ...

Nalim
Nalim (neregistrovaný) ---.net.upcbroadband.cz
8. 5. 2013 10:53 Nový

Re: OTP bych bral

celé vlákno

Bohuzel ten mobilni malware vykradajici ucty je uz realita -popisoval jsem to v jinem komentari. 100 000 evropanu uz bylo okradeno

Jantar
Jantar (neregistrovaný) 46.253.98.---
10. 5. 2013 12:46 Nový

Re: OTP bych bral

celé vlákno

Jen doplním o info pokud už nezaznělo že dnes máte možnost mít bezpečné SW OTP tokeny ve formě aplikace. Výhoda je ta, že klient nenosí žádné další zařízení, které navíc po cca 5 letech umře na baterii. Myslím, že to bude jedna z cest - je to rychlé, klienta to příliš neomezuje, banka má jednoduchou zprávu..........jen ceny jsou stejné jako u HW OTP, takže počítejme cca 1000,- Kč za kousek.....a banka to dá buďto jako prémiovou službu s tím že se bude hradit poplatek za zřízení nebo spíše to dá do standardu pak ale musí odepsat milionové investice....

Miroslav Suchý aura:95

Re: OTP bych bral

celé vlákno

Ty ceny úplně nechápu. SW OTP jsou zdarma (GAuthenticator) a HW se prodávají např za $20 (Yubikey).

Filip Jirsák
10. 5. 2013 13:04 Nový

Re: OTP bych bral

celé vlákno

O softwarovém řešení je celý článek a spousta příspěvků v diskusi. Nevýhoda SW řešení je, že je jen tak bezpečné, jako zařízení pod ním. Např. androidí mobily jsou bezpečnější, než desktopy s Windows – např. díky oddělení aplikací. Ale pořád tam jde dělat dost věcí, které umožňují ten SW token obelstít.

Jak už tady padlo, třeba Google Authenticator je softwarový OTP generátor a je zdarma. Samozřejmě generuje bezkontextová hesla, pro bankovní účely by bylo vhodné do generování hesla zapojit údaje o transakci – to ale není problém doprogramovat. Pokud jste těmi bezpečnými SW OTP tokeny myslel něco jiného, platí stále první odstavec spolu s tím, že PR řeči výrobce ještě nikdy nic nezabezpečily…

Martin Kučera
Martin Kučera (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 13:04 Nový

pýcha předchází pád

celé vlákno

Oslavnému článku bych věřil, kdyby ho napsal nějaký hacker.

Ale když si ho napíše sám autor aplikace, ve stylu "podívejte se, jak jsme dobří, na všechno jsme mysleli a tedy je to neprolomitelné", to smrdí!

Už jsem takových velkohubých prohlášení slyšel mnoho a často se ukázalo, že autor ve své nafoukanosti udělal nějakou triviální botu, která zapříčinila obrovský průser.

Mít na účtu pár tisíc, vem to čert. Ale dát si na mobil třeba bankovnictví k firemnímu účtu s pár miliony, to bych se fakt bál.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 13:18 Nový

Re: pýcha předchází pád

celé vlákno

Děkuji Vám za reakci, Martine, a dovolte mi zareagovat. Ono to takto rozhodně nemělo vyznít - za mě se nejedná o chlubení, ale o sdílení zkušenosti s tím, jak ve věci postupujeme, protože s tím přeci jen máme nějaké zkušenosti. Nedělali jsme jednu mobilní aplikaci pro jednu banku - máme už pár zářezů. :) Prosím odhlédněme od konkrétní implementace, bavme se o obecném tématu.

Myslím, že prvním krokem k bezpečnějším mobilním aplikacím je otevřenost a diskuze. Jistě se spíš chyba objeví tak, že stručně popíšu, jak věci děláme a podívá se na to odborná veřejnost. Budu rád, když na cokoliv, co se Vám nezdá, upozorníte. A za článek k mobilním aplikacím od nezávislého hackera bych byl osobně velmi rád...

Martin Kučera
Martin Kučera (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 13:59 Nový

Re: pýcha předchází pád

celé vlákno

Stejná firma, stejný tým, stejný kód, stejné chyby... pro několik bank?

No je to horší, než jsem myslel :)

Nedobytnou bezpečnost totiž jednoduše nemůžete postavit na jediném zařízení, nad kterým navíc nemáte plnou kontrolu. To je dané z principu a proto musíte udělat nějaký bezpečnostní kompromis.

A každý kompromis jde nějak prolomit. V bodu 4 třeba řešíte technika, který našel telefon. Co když ho nezačne kuchat, ale vrátí ho? Bude to tentýž mobil? Bude v něm tentýž software? Bude v něm vaše aplikace, nebo bude pozměněná?

Co když to neudělá technik s telefonem v ruce, ale falešnou či upravenou aplikaci podstrčí nějaký malware? Pak ani edukovaný uživatel není schopen poznat nic.

JD
JD (neregistrovaný) ---.skoda.cz
7. 5. 2013 14:42 Nový

Re: pýcha předchází pád

celé vlákno

Lepe bych to nenapsal. Navic ten zlovolny technik nemusi ani ten telefon drzet v ruce.
Jedna z technik socialniho inzenyrstvi je presvedcit zakaznika, aby si tu zakernou aplikaci nainstaloval sam. Nebezpecna a prekvapive efektivni technika ve svete PC (falesne antiviry, downloadery atd.)
V tu ranu ma neznamy utocnik mobil pod kontrolou a kdyz da dohromady pristup k zasifrovanemu klici a sledovani "tapu" ma vse co potrebuje.

PS: SMS ma smysl i dnes, pravdepodobnost ze utocnik dokaze uspesne kompromitovat pocitac, kde zadavam platbu i telefon je mala. Kdyz ale nekdo zada platbu v prohlizeci telefon, jsme zase zpatky u jedineho zarizeni.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 16:14 Nový

Re: pýcha předchází pád

celé vlákno

Bavíme se o mobilní bance. Tam SMS samozřejmě nemá smysl.

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
7. 5. 2013 16:36 Nový

Re: pýcha předchází pád

celé vlákno

Pokud nemáte dva mobily :-)

(jsou takoví, například když zjistili, že jim smartphone na jedno nabití vydrží sotva den)

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 16:14 Nový

Re: pýcha předchází pád

celé vlákno

Ale já s Vámi v podstatě souhlasím. :)

Co se stejného kódu týče: mohu Vás ujistit, že každá ze 4 bank, pro které jsme dělali mobilní banku, používá jiné, od začátku napsané schéma zabezpečení...

Ondřej Bouda
Ondřej Bouda (neregistrovaný) 193.86.153.---
9. 5. 2013 7:59 Nový

Re: pýcha předchází pád

celé vlákno

To je vcelku logické. On se při každé implementaci člověk poučí, že takhle to není úplně ono - a příště to udělá lépe... což vlastně znamená, že ta první banka má schéma zabezpečení nejslabší :)

Petr Dvořák
Petr Dvořák (neregistrovaný) ---.215.broadband5.iol.cz
9. 5. 2013 8:54 Nový

Re: pýcha předchází pád

celé vlákno

:) Ale nikoliv. Spíše byly kladeny jiné technické požadavky, např. na stavovost / bezstavovost schématu, na silnější ošetření zadávání hesla, na způsob uložení "hesla" na serveru, atd., které jsou dané tím, co banky měly "vzadu".

Petr
Petr (neregistrovaný) ---.55.broadband12.iol.cz
7. 5. 2013 14:07 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

To je sice pěkné, že potkáváte řadu lidí, kteří mobilním aplikacím nevěří, ale jak proboha mají vědět, že ty app fungují tak, jak jste popsal? Že se posílají deriváty klíčů, že PIN necestuje, že se používá vlastní zabezpečená klávesnice, PIN se v paměti chrání, .... Prostě je to appka na store a jak je zmaštěná nikdo neví. Vlastně ví, když jsem si přečetl popis mobilní app u mBank, hned jsem věděl, že tudy cesta nevede (klasické přihlašování). U internetového bankovnictví, kde se mi pošle sms se všemi údaji ke kontrole (to kupodivu/naštěstí dělá) mi to je celkem jasné, kde jsou případné slabiny, u mobilu mohu jen hádat, jak to je udělané.
U vás tedy máte PIN v mobilní aplikaci zcela jiný než kdekoliv jinde (z logiky věci by se asi měl zvolit po instalaci) a použije se jen k zakódování klíčů?

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
7. 5. 2013 16:18 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Dobrý den,

informace o tom jak funguje zabezpečení jednotlivých mobilních bankovnictví je typicky k dispozici přímo na webu banky, např. zde:

http://www.rb.cz/osobni-finance/bezne-ucty/prime-bankovnictvi/mobilni-bankovnictvi/bezpecnost-mobilniho-bankovnictvi/

V odkazovaném PDF je vše popsáno i celkem detailně...

Typicky je toto povídání doprovozeno obecnými zásadami bezpečnosti, které je nutné pro dané schéma dodržet:

http://www.rb.cz/osobni-finance/bezne-ucty/prime-bankovnictvi/mobilni-bankovnictvi/bezpecnost-zasady/

Jeden z důvodů, proč tento článek vznikl je i fakt, že popisy na straně bank jsou poměrně hůře stravitelné...

Petr
Petr (neregistrovaný) ---.55.broadband12.iol.cz
7. 5. 2013 17:59 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Jenže začátek článku působí obecně, že lidi jsou proti mobilním bankovnictvím (i když zmiňujete "v našich aplikacích", což okruh omezuje, i když nevím na které). Když se podíváte např. na zmíněnou mBank/Android, tak se vůbec nedivím, to prostě nejsem ochoten akceptovat a podle mě tam proti internet. bankovnictví chybí v tomto případě ten druhý kanál. Dokonce k zadání hesla se používá std. klávesnice, kterou má spousta lidí nainstalovanou kdoví jakou s právy úplně všude. Kdyby to bylo alespoň jak píšete, je to ok, jenže banky to neumí komunikovat, to jsou samé hovadiny, jako vlastní obrázek na kartě, ale podstatné info aby člověk věštil z koule.

Petr Ferschmann aura:85

Díky za výborný článek

celé vlákno

Děkuji za skvělý článek, který popisuje vnitřnosti. Ten poměr bezpečnosti a jednoduchosti použití je u eKonta opravdu skvělý.

Milan Veselý aura:10
7. 5. 2013 18:20 Nový

Re: Díky za výborný článek

celé vlákno

Ta debata pod článkem nebyla marná, ocenil jsem ty odpovědi svým způsobem k zamyšlení.

lzap
lzap (neregistrovaný) ---.tmcz.cz
7. 5. 2013 22:21 Nový

Ad Android

celé vlákno

Naprosto stejne je to na iOS i jinych mobilnich systemech. A je nesmysl, ze aplikace toto muze delat bez prideleni prava. To musi uzivatel aplikaci explicitne dat.

Petr Dvořák
Petr Dvořák (neregistrovaný) ---.215.broadband5.iol.cz
7. 5. 2013 23:02 Nový

Re: Ad Android

celé vlákno

Dobrý den,

děkuji za dobrou připomínku - ale zde to je podle mě spíše konflikt terminologie, než že bychom si nerozuměli. Pod pojmem "práva" si nepředstavím práva, která jsou uživatelem přidělená, ale systémová práva, možnost něco dělat jako "root".

SMS zprávy na OS Android může teoreticky číst například aplikace typu SMS Jízdenka, která to dělá poměrně legitimně. Ano, uživatel ji k tomu předtím dal práva - takže Android je alibisticky z obliga v případě, že podobná aplikace udělá něco nekalého... Vina je pak formálně na uživateli (ale je to právem???).

Naproti tomu na iOS není možné nikdy číst SMS bez toho, aby aplikace měl práva uživatele root. V iOS SDK pro to není podpora, pokud se to pokusím workaroundovat a vydat aplikaci, Apple mě s ní nepustí na App Store.

Teď se pouštím na tenký led, ale přeci... Oba systémy, iOS i Android mají své silné a slabé stránky. Domnívám se, že systém uživatelem přidělených oprávnění v OS Android je poměrně nevyhovující pro "běžné retailové klienty". Přidělení práv aplikaci v době instalace aplikace je něco, co uživatele po čase dotlačí k slepotě a automatickému potvrzování práv. Takže říkat pak uživateli "Je to Vaše chyba, že se něco stalo" je trochu alibistické. Přístup Apple je sice celkem drsný, ale pro masovou klientelu vhodnější.

JK
JK (neregistrovaný) 94.230.144.---
8. 5. 2013 0:39 Nový

Re: Ad Android

celé vlákno

Apple review nema sanci zachytit "workaroundovani", pokud se napise sikovne (a neni to nijak zvlast tezke). Vzdyt jak by to taky delali - trasovali ten kod instrukci po instrukci v nejakem debuggeru?

Cele app review je spis o kontrole obchodnich zajmu firmy Apple a trochu (mnohem min) o jednotnem vzhledu a ovladani apliaci.

Petr Dvořák
Petr Dvořák (neregistrovaný) ---.215.broadband5.iol.cz
8. 5. 2013 1:05 Nový

Re: Ad Android

celé vlákno

Apple na všechny aplikace spouští poměrně pokročilou statickou analýzu, čili typicky odhalí volání privátních API či jiné podezřelé části kódu. Dokonce zamítne aplikaci při false positive nálezu, jak jsme se sami přesvědčili. Existují samozřejmě mechanismy, jak se pokusit statickou analýzu zmást, ale jednak se to daří méně, než dříve, dále pokud se zpětně zjistí prohřešek, je aplikace stažena, a to včetně dopadu na vydavatele (který je na Apple povinně ověřen při zakládání účtu).

Proces app review je jistě i o ochraně obchodních zájmů Apple, ale nemyslím si, že to je jediný cíl... Stačí chvíli zagooglit na téma mobilního malware a zhodnotit jeho výskyty na iOS a OS Android. Nebo se třeba podívat na poměr vyloženě balastových aplikací...

JK
JK (neregistrovaný) 94.230.144.---
8. 5. 2013 1:46 Nový

Re: Ad Android

celé vlákno

Jakou analyzu delaji vi asi jen Apple, ale podle svych zkusenosti (par stovek app reviews jsem uz s nimi absolvoval), jedine co najdou je prima linker reference do privatniho frameworku.

Pristup Applu ma urcite pozitiva, nejsem proti tomu, Psat malware pro iOS je ale tezsi spis tim, ze se aplikace neda distribuovat jinak nez pres App Store, coz vede k nutnosti registrace vyvojare u Apple a zaplaceni rocniho poplatku (kreditkou). Pokud bude ale nekdo dostatecne motivovan a podari se mu registrovat treba na podvrzene osobni udaje, tak ho app review rozhodne nezastavi.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
8. 5. 2013 10:52 Nový

Re: Ad Android

celé vlákno

Ano. Tady je potřeba uvědomit si jednu věc: dostatečně motivovaný útočník vždy nakonec vyhraje. Jde o to, hodit mu pod nohy co nejvíc klacků, aby se mu útok nevyplatil pro svojí pracnost. Zde právě dělá Apple poměrně dobrou práci... Samozřejmě Android má své výhody jinde, ať nepůsobím zbytečně vyhraněně... :)

Co se statické analýzy Apple týče, tak my máme jednu velmi konkrétní zkušenost. Před tím, než v SDK byly "collection views", implementovali jsme náš vlastní grid view. Ten stále používáme např. v ČT24/4 pro iPad nebo aplikaci Hospodářských novin pro tvorbu gridového layoutu aplikace. Tento grid view implementoval delegate callback metody - např. "grid:cellForIn­dexPath:" - a Apple nám jednoho dne aplikaci s naším gridem zamítl, protože náš naming kolidoval s neveřejnými metodami v UIKitu. Tak jsme v našich objektech callback metody hromadně přejmenovali na "imtGrid:cellFo­rIndexPath" a byl pokoj...

Čili to je pěkná ukázka toho, jak nás Apple vypekl jen při pouhém podezření, že děláme něco s jeho privátním API...

JT
JT (neregistrovaný) 94.230.152.---
7. 5. 2013 23:05 Nový

Moc jsem nepochopil, o čem se tady dohadujete?!

celé vlákno

Existuje nějaké lepší zabezpečení, než má RB (eBanka)? Asi ne, že? Šifrované SMS zabezpečené extra BPINem na mobilu pro chránění přihlášení a pro každou operaci s účtem je naprosto bezkonkurenční řešení a žádná jiná banka nešahá v tomto RB ani po kotníky.

Co tady teda řešíte? Délku hesla k nějakým pofidérním bankovnictvím typu KB, ČSOB nebo Spořky? :-))

Petr Dvořák
Petr Dvořák (neregistrovaný) ---.215.broadband5.iol.cz
7. 5. 2013 23:20 Nový

Re: Moc jsem nepochopil, o čem se tady dohadujete?!

celé vlákno

Ale pane kolego, bavíme se o mobilním bankovnictví, ne o internetovém... :)

Roman
Roman (neregistrovaný) ---.81.broadband7.iol.cz
8. 5. 2013 9:00 Nový

Díky, skvěle napsáno

Už dlouho jsem nepotkal tak dobře napsaný článek. Skutečně svým provedením zaujal. Blahopřeji autorovi.

ee
ee (neregistrovaný) ---.net.upcbroadband.cz
8. 5. 2013 16:32 Nový

Jsou autoři placeny za počet slov?

celé vlákno

Ne, nejsem zastáncem krátkých a nic neříkajících článků. Mám rád smysluplné rozbory, jít do hloubky, pod povrch. Ale dost často se mi tu taky stává, že při druhém odstavci si začínám v duchu říkat, bla bla bla bla...bla bla. A při třetím mi dojde, že tímto přeci nebudu ztrácet čas. Škoda, třeba autor v desátém odstavci píše opravdu něco přínosného. ... Tento článek je pro mě právě takovým.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
8. 5. 2013 16:40 Nový

Re: Jsou autoři placeny za počet slov?

celé vlákno

Zdravím Vás - tento článek samozřejmě není honorován, napsal jsem ho ze zájmu a zápalu pro věc. Už v době psaní jsem si říkal, že by se mohl rozdělit do 3 článků, protože dnešní čtenáři jsou líní - ale ... tak si ho zazáložkujte a přečtete po kapitolách. :)

HB
HB (neregistrovaný) ---.cust.vodafone.cz
9. 5. 2013 9:24 Nový

SMS nezavislý kanal

celé vlákno

U KB jiz maji v podmínkách mobilního bankovnicvi jiné číslo mobilu pro SMS autorizaci než ze kterého běží aplikace. Opravdu stačí telefon za 500 Kč na SMS (čím hloupější tím lepší).
Přijde SMS kam kolik a potvrzovací kód. Pozorného nenapálí.
Útok typu man in smartphone neprojde.

Filip Jirsák
9. 5. 2013 9:32 Nový

Re: SMS nezavislý kanal

celé vlákno

Nebo vzroste zájem o dual-SIM smartphony.

Jinak když už s sebou mám nosit druhé zařízení jen kvůli bance, nesrovnatelně lepší je hardwarový generátor OTP. Měl by být levnější, není potřeba platit druhou SIM, není potřeba o něj pečovat (na jedno nabití vydrží roky).

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
9. 5. 2013 17:24 Nový

Re: SMS nezavislý kanal

celé vlákno

Jenže samotné OTP nestačí.

Na druhou stranu skutečný kalkulátor (tj. s displejem, na kterém se zobrazí číslo účtu a částka) taky nebude stát tolik a nebude o moc větší.

Filip Jirsák
9. 5. 2013 18:46 Nový

Re: SMS nezavislý kanal

celé vlákno

Skutečný "kalkulátor" s displejem, který zobrazí minimálně číslo účtu, specifický symbol, částku a měnu, je pořád generátor jednorázových hesel. A přesně takové zařízení jsem myslel tím hardwarovým generátorem OTP -- předpokládal jsem, že si každý odvodí z kontextu, že myslím něco použitelného pro rozumné ověření bankovních transakcí.

Jenda
Jenda (neregistrovaný) ---.net.upcbroadband.cz
9. 5. 2013 17:21 Nový

Re: SMS nezavislý kanal

celé vlákno

K tomu telefonu ještě potřebuješ SIM kartu. A AFAIK většina operátorů vyžaduje u předplacenek minimální roční dobití/útratu, jinak ti ji bloknou. Což je třeba u mě docela problém, protože za rok provolám asi 300 Kč, takže dvě minimální útraty (250 Kč) bych asi neudělal :)

nikdo
nikdo (neregistrovaný) ---.zelena.cz
16. 5. 2013 23:48 Nový

Re: SMS nezavislý kanal

celé vlákno

byly (snad ještě jsou?) taky paušály, kde platíš jen za odchozí komunikaci (např. kyslík zero), ideál na příjem SMS

Jan Elznic aura:98
9. 5. 2013 21:43 Nový

Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Jestli něco vážně krajně nesnáším, tak jsou to číselná klientská čísla u bank pro přihlášení k bankovnictví. Kdo si to má sakra pořád pamatovat?! Uživatelské jméno, nebo ještě lépe email, který navíc bývá unikátní, si snadno zapamatujete, číslo o hodně cifrách těžko. Navíc jsem nucený si ho takto někam poznamenat, čímž zvyšuji riziko jeho zcizení.

Co mě také dokáže řádně vytočit, je zablokování účtu po třikrát špatně zadaném hesle. Navíc když máte jako uživatelské jméno číslo, může se vám takto snadno zablokovat účet kdokoliv. Často je potřeba pak osobně navštívit pobočku, protože náhradní bezpečnostní kódy nebo jiná hesla většinou po ruce nemáte nebo o nich ani v horším případě nevíte. Vždyť kdo má všecka ta čísla pořád někde skladovat?! Nemluvě o tom, že návštěva pobočky stojí náklady i banku - pracovníky někdo platit musí.

Pěkný expert na tyhle problémy je např. Česká Spořitelna se svým Servisem 24. Přijde mi, že banky házejí klientům i sobě úplně zbytečně klacky pod nohy.

Petr Dvořák
Petr Dvořák (neregistrovaný) ---.215.broadband5.iol.cz
9. 5. 2013 22:58 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Dobrý den, problémy, které zmiňujete jsme v bankovních aplikacích nepotkali. Nestává se zkrátka to, že by si klient nezapamatoval 4-9 místný číselný PIN ani na pátý pokus (když tedy opět mluvím za Raifku). Podle mě to je především proto, že s takto jednoduchým přihlášením do aplikace klienti pro běžné operace chodí raději, než do internetového bankovnictví (pro přihlášení je potřeba SMS klíč, takže tak jako tak má uživatel nakonec svůj telefon v ruce). A když se do aplikace přihlašujete ob den, tak PIN zkrátka nezapomenete...

Martin Pištora aura:41
10. 5. 2013 2:46 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Tak do teď jsem velmi oceňoval povedený článek a Vaši argumentaci v diskusi, ale tady - úplně na konci v posledním příspěvku - s Vámi nesouhlasím. Naopak musím potvrdit předchozí příspěvek Jana Elznice. Asi se ale netýká mobilních aplikací, ale Servisu 24.
Pokud se do aplikace NEpřihlašujete ob den, ale třeba jednou za měsíc a podobných aplikací čí účtů máte desítky a speciálně ty bankovní si nikam nepíšete, je pravděpodobnost pozapomenutí či chyby poměrně velká. Heslo jsem obnovoval několikrát, pokaždé to byl nervák, ale vždy jsem to zvládl po telefonu (se smlouvou v ruce).

Na druhou stranu jste v článku p. Elznicovi už vysvětlil, proč musí být počet pokusů, než dojde k zablokování, malý.
Kuriózní je to u IB GE MB, kde vás sice ušetří složitého přihlašovacího jména, protože se používá číslo účtu. Pak ale mužete každého, kdo má účet u té banky, potrápit tak, že mu účet zablokujete několika pokusy o přihlášení.

Krátce už jsem okusil komfort mobilní aplikace v Android, kdy sice prvotní instalce nebyla triviální, ale další použití s jediným heslem je luxusní.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
10. 5. 2013 9:36 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Ano - samozřejmě já rozumím tomu argumentu, že hesel do různých systémů je mnoho, a že se pak špatně pamatují, ale myslím, že to je více problém u "velkého internetu" (který se právě používá jednou za čas) než na mobilech, které tím, že je máte po ruce používáte častěji. Ono ostatně článek byl i o tom, že ne vše, co "platí na beton" na desktopu platí i na mobilech. Ad SERVIS 24 - já osobně jsem zapomněl své klientské číslo, takže ten problém znám. Naštěstí mám zvláštní typ křeče v ruce, která když položím ruku na numerickou klávesnici píše klientské číslo do SERVIS 24. :)

Jan Elznic aura:98
10. 5. 2013 9:56 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Předem se omlouvám za poněkud delší reakci :-).

Bavíme se třeba o České Spořitelně, dobře. Tak tedy když bychom si rolbou shrnuli všechna ta čísla, tak:
- číslo svého účtu
- jednorázový kód pro mobilní bankovnictví
- PIN pro mobilní banku
- bezpečnostní kód z protokolu (který se mění při skoro každé návštěvě pobočky a vygenerování protokolu nového)
- klientské číslo
- přihlašovací heslo pro Servis24
- čtyřmístné bezpečnostní heslo pro komunikaci s operátorem
- PIN pro platební kartu
- číslo karty a datum její expirace pro možnost platit přes internet

Nemluvě o extra dlouhých IBAN a BIC/SWIFT variantách pro odesílání či přijímání plateb ze zahraničí.

To máme k uchování útctyhodných 12 číselných či písmenných formátu, které si nemohu nastavit podle sebe vůbec nebo mi banka diktuje, jak mají vypadat (pro různá PIN čísla nanejvýš 4 číslice, jinde zase musí obsahovat nejméně 8 znaků, kde alespoň jeden z nich je písmeno) či dokonce čas od času sama od sebe změní (třeba vygenerováním nového protokolu), a aby toho nebylo málo, tak internetová aplikace pro jistotu jednou po kratší době obtěžuje se změnou hesla, přičemž jako nové heslo nesmím použít žádné z těch, které sem už v minulosti používal.

A aby to bylo ještě méně jednoduché, tak Česká Spořitelna nepoužívá ani jednotnost v názvosloví. To co se někde jmenuje "Heslo pro mobilní banku" se jinde zase nazývá "PIN k mobilní bance". "Číslo z protokolu" je jinde nezváno zase "Bezpečnostním kódem".

Nutnost používat pro každou byť malou transakci SMS zprávy, které dnes už někdo ani vůbec nepoužívá, nebo má zařízení, které je ani nepodporuje (skoro všechny tablety), je už jen třešnička na dortu v otravování života klientům.

To a mnohem více mi na usnadnění přístupu ke službám elektronického bankovnictví, ať už toho mobilního, nebo stolního internetového, překáží nejen v pohodlí. A upřímně, neznám doposud nikoho, kdo by s těmito bariérami neměl alespoň jednou výrazný problém, a to že ve svém okolí mám lidí využívajících služeb ČS docela dost (řekněme desítky). Kolik návštěv poboček už bych si mohl uštědřit, mít trochu více snahy autorizaci do služeb usnadnit.

Já umím být za svou bezpečnost odpovědný a nepotřebuji být tímto balastem omezován - bere mi to akorát můj čas. Takže moje priorita při příštím výběru banky je jasná: JEDNODUCHOST.

A abych nenadával jen na Českou Spořitelnu, není to samozřejmě jen ona. Namítkou taková mBank (doporučuji článek Rikiho Fridricha na jeho blogu "Prečo nepoužívam mobilnú aplikáciu Mbanky" - http://content.fczbkk.com/preco-nepouzivam-mobilnu-aplikaciu-mbanky-aj-ked-je-dobra/ - který mi naprosto mluví z duše), dále Fio banka a další a další.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
10. 5. 2013 10:22 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Děkuji za reakci - délka reakce mi samozřejmě vzhledem k délce článku už z principu nesmí vadit. :)

Je pravda, že globálně těch čísel a hesel pro banku je velmi mnoho (některé ale do toho seznamu úplně nepatří - např. jednorázový kód se generuje jednou při aktivaci) a s některým ze systémů člověk zákonitě musí přijít do křížku. Je pak otázka, jestli jako "finální instance" může fungovat cokoliv jiného, než pobočka a osobní ověření. Věřím, že nikoliv, to pak maximálně tak vyústí ve speciální telefonickou linku se speciálním tajným kódem, jehož 3., 5. a 9. cifru musíte sdělit... Takže přibude nový problém.

Variabilita hesel je primárně dána tím, že pro různé kanály by měla být nastavena různá hesla, aby kompromitací autentizačního mechanismu jednoho kanálu nedošlo kompromitací všech kanálů.

Během čtení diskuze jsem například více prozkoumal i Vámi zmíněnou aplikaci mBank, která pro přihlášení požaduje klientské číslo a heslo stejné, jaké je použito pro internetové bankovnictví. Kompromitací mobilního zařízení tak hrozí kompromitace "velkého bankingu". Klienti mBank by se podle mě měli ozvat - toto není v pořádku a není to ani více user-friendly, než co mají jiné banky...

Za nekonzistentní naming hesel se musím omluvit. Samozřejmě se nám to v průběhu projektu také občas stává, typicky proto, že se název v půlce projektu (kdy řešíme zásadní a pro koncové uživatele nezbytnou otázku, jestli se "to" bude jmenovat "veverka" nebo "divný oranžový skoro mýval") změní na něco jiného (na "myš lezoucí po stromu z huňatým ocasem") ne nesprávně se to propaguje organizací... :(

Jan Elznic aura:98
10. 5. 2013 10:39 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Mně by nevadilo, že banky používají tolik kanálů v rámci autentizačního mechanismu, ale klient by měl mít možnost svobodně se rozhodnout, jakou úroveň zabezpečení si sám zvolí. Klienti mají odlišené potřeby - někteří řeší více jednoduchost a použitelnost, jiní zase bezpečnost. Banky by v tomto mohly vyjít uživatelům vstříc a i na základě těchto vylepšení získat poměrně důležitou konkurenční výhodu, protože těch, co na složitost autentizačních mechanismů nadávají, je opravdu hodně. Dost by mě třeba zajímal výsledek nějakého průzkumu, který by takového potřeby klientů bank zkoumal.

Petr Dvořák
Petr Dvořák (neregistrovaný) 193.165.245.---
10. 5. 2013 10:48 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Bohužel, zde Vás nepotěším - toto je (co jsem za tu chvíli, co se v oboru pohybuji pochopil) za banky poměrně staré téma. Za bezpečnost Vašich peněz odpovídá banka (a to minimálně z pohledu dopadu reputačního rizika). Není proto možné nechat nastavení nižšího zabezpečení na klientovi. Nikomu nikdy nevysvětlíte, že 50 000 klientů přišlo o peníze proto, že si sami zvolili v internetovém bankovnictví jednodušší přihlašování.

Podobně jako v diskuzi k Androidu výše se domnívám, že bezpečnost nemůže být dána do ruky uživatelům, protože přirozeně preferují komfort (zatímco přihlášení je časté, peníze Vám ukradnou jen jednou, a to kdo ví jestli)...

Jan Elznic aura:98
10. 5. 2013 11:01 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Ano, je mi už delší dobu jasné, že je to věc obav bank z negativního PR (a musím na druhou stranu uznat, že média jsou opravdu senzacechtivá), a proto je snažší naházet klacky pod nohy klientům, než-li na takový problém pohlížet i z jiného úhlu a snažit se vyhovět.

Minimálně co do počtu různých hesel a čísel, opětovným výzvám ke změně hesla nebo možnosti použít pro autentizaci e-mailovou adresu nebo uživatelské jméno, které se pamatuje lépe, by se daly udělat takové ústupky, při kterých by nedošlo k ohrožení bezpečnosti klienta, za to však by daleko užitečnější byla jednoduchost používání takových služeb.

Mimochodem, jak jsem již zmiňoval: Nutnost používat různá hesla a kódy nutí uživatele si je psát na různé lístečky nebo ukládat do poznámek v telefonu či počítači v nezašifrované podobě, což bezpečnosti dle mého názoru paradoxně spíše ubere, než-li přidá (spekulativní by mohl být asi jen počet takových případů - IMHO je jich ale opravdu hodně).

x
x (neregistrovaný) 2001:470:9e70:----:----:----:----:----
10. 5. 2013 11:50 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Ehm ... klienti budou siri pozitivni PR, pokud jim ty prachy banka obratem vrati ... jenze to je v CR scifi.

Jan Elznic aura:98
10. 5. 2013 11:57 Nový

Re: Číselná hesla nebo omezený počet pokusů? Blbost!

celé vlákno

Toť je otázka. Nemám tušení, do jaké míry toto upravuje legislativa, a určitě by záleželo také na konkrétní situaci, ale myslím, že pokud by za prolomení zabezpečení mohl svou nezodpovědností sám klient, neměl by mít na kompenzaci nárok. Pan Dvořák se tu ale tuším snažil naznačit, že i v takových případech by si média na bankách slupla, což docela chápu, protože čtenářům neseriózních plátků si stačí přečíst titulek, že "bezpečnost byla prolomena", a už se dále nedočtou, nebo je nezajímá, že vina je na straně klienta a nikoliv banky, která se potom neprávem pro ně stává nedůvěryhodná. Jde o to najít nějaký rozumný kompromis.

Milan555
Milan555 (neregistrovaný) ---.22.broadband6.iol.cz
10. 5. 2013 13:57 Nový

Návrh na větší bezpečnost

celé vlákno

Odpověď na otázku "jak dokážu nějakému systému, že já jsem opravdu já a né někdo jiný?".
Já navrhuji, že by se muselo říci nějaké slovo (do mikrofonu), a pomocí zjišťovače hlasu, by buď vás to přihlásilo, nebo ne.

Jirka
Jirka (neregistrovaný) ---.157.broadband4.iol.cz
10. 5. 2013 14:15 Nový

Re: Návrh na větší bezpečnost

celé vlákno

Aha, takže kdo stojí vedle nebo za vámi, zná heslo, a kdo má ještě navíc diktafon + ukradne zařízení, má přístup? Jo, to dává smysl.

MCE aura:10

Re: Návrh na větší bezpečnost

celé vlákno

Replay attack by neměl být tak snadný, viz http://www.cleverandsmart.cz/autentizace-hlasova-biometrie/. V National Australia Bank již autentizaci pomocí hlasu používají několik let. Samozřejmě i tato metoda má svá úskalí, viz http://www.cleverandsmart.cz/autentizace-uskali-hlasove-autentizace/.

Jiku aura:10

Bezpečnost aplikací se standardní klávesnicí

celé vlákno

Díky za super článek.
Taky jsem toho názoru, že dlouhé hesla, kombinace malých/velkách písmen, číslic apod. jsou zbytečná komplikace - stačí omezit počet pokusů o přihlášení.
Zarazila mě zmínka o možnosti vydolování hesla z mobilu a o šifrované klávesnici. U eKonta je to teda (snad) v pořádku, ale co jiné aplikace které používají standardní klávesnici? Na Androidu je to Fio, ČSOB, Mobito i mBank. Znamená to, že se dobře vybavený útočník dokáže dostat k heslům do těchto apliakcí? Nebo to jenom mají zabezpečené jinak?
PS: Proti RB mám sice spoustu výhrad, ale mobilní aplikace je skvělá. Mnohem lepší než u Fia, na které jinak nedám dopustit.

Petr Dvořák
Petr Dvořák (neregistrovaný) ---.215.broadband5.iol.cz
10. 5. 2013 23:51 Nový

Re: Bezpečnost aplikací se standardní klávesnicí

celé vlákno

Dobrý den,

bezpečnostní slabina způsobená absencí specializované klávesnice je na iOS poměrně malá (dnes umožní vydolovat data zadaná do klávesnice při útoku po ukradení na jail-breaknutých zařízeních) a na Androidu potenciálně velmi velká (spoléhání se na klávesnici, kterou si uživatel doinstaloval do systému, a která může dělat celou řadu věcí - to je trochu na hraně, že...).

Velmi hezky odborně toto téma rozebral Tomáš Rosa na "Smart Card and Devices Forum 2012". Prezentace je ke stažení zde:

http://crypto.hyperlink.cz/files/rosa_scforum12_v1.pdf

Velká část prezentace je o tom, že běžný iPhone/Android runtime je poměrně benevolentní z pohledu práce s pamětí a poté, co zadáte do textového pole text, tak i v případě, že se znaky opticky nezobrazují (resp. jsou hvězdičkované) zůstanou v paměti četné otisky zadaného textu. Screenshot otisku hesla "kubrt" zachyceného z memory dumpu na iOS je na slide s nadpisem "Illustration of Heap Pollution" - ať to nemusíte hledat. :)

Vtipná je jedna věc - o kousek před heslem "kubrt" je slovo "ubrt". To není náhoda - jedná se o derivát slova "kubrt", který systém generuje pro potřeby nabídnutí automatické korekce textu. Takže pokud si programátor nedá práci, "rozsprejuje" se mu heslo a jeho "deriváty" po paměti ani neví jak a kde... Jediný způsob, jak tomuto zabránit, je explicitně tuto situaci ošetřit...

Jiku aura:10

Re: Bezpečnost aplikací se standardní klávesnicí

celé vlákno

Hm, to abych si dával bacha jestli nemám stejné hesla do mobilního bankovnictví jako do internetového...a asi mám být rád, že jsem si neinstaloval jinou klávesnici, že?
Aby bylo jasno, o které paměti se tady píše? Jenom o RAM, nebo i ROM? Kdyby hesla zůstávaly jenom v RAM, tak to zas tak hrozné není. 1) RAM se průběžně čistí a 2) Po pár dnech provozu se telefon začne zpomalovat, tak ho vypnu/zapnu a tím RAM pročistím.

Petr Dvořák
Petr Dvořák (neregistrovaný) ---.215.broadband5.iol.cz
12. 5. 2013 19:07 Nový

Re: Bezpečnost aplikací se standardní klávesnicí

celé vlákno

Ano - jde samozřejmě jen o RAM paměť, ale ani tam vlastně přesně nevíte, kdy se citlivá data přemažou...

qwe
qwe (neregistrovaný) ---.140.broadband2.iol.cz
11. 5. 2013 22:40 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Docela pěkně se vykecal, žvanil.

Petr Dvořák
Petr Dvořák (neregistrovaný) ---.215.broadband5.iol.cz
12. 5. 2013 10:08 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

Viď, že jo... :)

iskaj
iskaj (neregistrovaný) 85.237.227.---
15. 5. 2013 9:47 Nový

Re: Mýty o bezpečnosti mobilního bankovnictví: jsou nutná dlouhá hesla a SMS?

celé vlákno

priste jenom k veci - zadne keci

bb
bb (neregistrovaný) ---.6.broadband7.iol.cz
24. 5. 2013 18:01 Nový

100% bezpečnost

Poznámka možná trochu off-topic, ale nedá mi to :) Jakožto skalní uživatel smartphone Blackberry jsem zatím před případnou kompromitací mobilního bankovnictví 100% (sic!) uchráněn. Žádná z českých bank totiž příslušnou aplikaci nenabízí ;)

petrph aura:51

jestli jsme si to zbytečně nezkomplikovali

Protože, na Západě ještě před internétem po desítky let fungoval jednoduchý neautorizovaný systém kreditních karet. Člověk při placení jen ukázal svou kartu, v obchodě si zaevidovali její číslo a na to číslo pak bance účtovali svoje nároky plateb. A majitel karty si jen na konci měsíce odškrtal platby které provedl, a pokud tam byly nějaké navíc, tak zavolal do banky, ať mu ty peníze vrátí na účet a řeší si to s tím kdo tu platbu požaduje.

Ale kupodivu v případě účtů přes internet daly banky přednost jinému řešení-za podvody při tom výběru z účtu nese ztráty sám klient, což pak ale zpětně tlačí banky ke stále složitějším technologiím autentizace a zabezpečení...

Cohen
Cohen (neregistrovaný) ---.net.upcbroadband.cz
7. 6. 2013 0:39 Nový

páté přes deváté

Nevím, jestli to tu již někde v diskusi zaznělo, nechce se mi jí celou číst. V zásadě nemám se závěry článku problém.

S čím ale problém mám, je fakt, že první dvě třetiny článku mne autor nutí přemýšlet o čem to, kurňa, ten týpek píše. A jakej matroš to hulí? Abych navázal na žoviální styl článku - který mi mimochodem nevadí, ale vadí mi v kombinaci s tím, že "nevim wo co go" - je mi fakt u prdu, jestli je to převzatý z nějakýho blogu, alespoň úvod, kde by se napsalo "autor je to a to a reaguje na to a to", by se šiknul...

adrii
adrii (neregistrovaný) 88.208.88.---
29. 6. 2013 12:43 Nový

pr clanok

pozrite si podpis, pan je priamo s firmy, ktora aplikaciu pre RB vyvinula, takze PR :-)

Zasílat nově přidané příspěvky e-mailem