Nevím, jestli to tu již někde v diskusi zaznělo, nechce se mi jí celou číst. V zásadě nemám se závěry článku problém.
S čím ale problém mám, je fakt, že první dvě třetiny článku mne autor nutí přemýšlet o čem to, kurňa, ten týpek píše. A jakej matroš to hulí? Abych navázal na žoviální styl článku - který mi mimochodem nevadí, ale vadí mi v kombinaci s tím, že "nevim wo co go" - je mi fakt u prdu, jestli je to převzatý z nějakýho blogu, alespoň úvod, kde by se napsalo "autor je to a to a reaguje na to a to", by se šiknul...
Protože, na Západě ještě před internétem po desítky let fungoval jednoduchý neautorizovaný systém kreditních karet. Člověk při placení jen ukázal svou kartu, v obchodě si zaevidovali její číslo a na to číslo pak bance účtovali svoje nároky plateb. A majitel karty si jen na konci měsíce odškrtal platby které provedl, a pokud tam byly nějaké navíc, tak zavolal do banky, ať mu ty peníze vrátí na účet a řeší si to s tím kdo tu platbu požaduje.
Ale kupodivu v případě účtů přes internet daly banky přednost jinému řešení-za podvody při tom výběru z účtu nese ztráty sám klient, což pak ale zpětně tlačí banky ke stále složitějším technologiím autentizace a zabezpečení...
Hm, to abych si dával bacha jestli nemám stejné hesla do mobilního bankovnictví jako do internetového...a asi mám být rád, že jsem si neinstaloval jinou klávesnici, že?
Aby bylo jasno, o které paměti se tady píše? Jenom o RAM, nebo i ROM? Kdyby hesla zůstávaly jenom v RAM, tak to zas tak hrozné není. 1) RAM se průběžně čistí a 2) Po pár dnech provozu se telefon začne zpomalovat, tak ho vypnu/zapnu a tím RAM pročistím.
Replay attack by neměl být tak snadný, viz http://www.cleverandsmart.cz/autentizace-hlasova-biometrie/. V National Australia Bank již autentizaci pomocí hlasu používají několik let. Samozřejmě i tato metoda má svá úskalí, viz http://www.cleverandsmart.cz/autentizace-uskali-hlasove-autentizace/.
Dobrý den,
bezpečnostní slabina způsobená absencí specializované klávesnice je na iOS poměrně malá (dnes umožní vydolovat data zadaná do klávesnice při útoku po ukradení na jail-breaknutých zařízeních) a na Androidu potenciálně velmi velká (spoléhání se na klávesnici, kterou si uživatel doinstaloval do systému, a která může dělat celou řadu věcí - to je trochu na hraně, že...).
Velmi hezky odborně toto téma rozebral Tomáš Rosa na "Smart Card and Devices Forum 2012". Prezentace je ke stažení zde:
http://crypto.hyperlink.cz/files/rosa_scforum12_v1.pdf
Velká část prezentace je o tom, že běžný iPhone/Android runtime je poměrně benevolentní z pohledu práce s pamětí a poté, co zadáte do textového pole text, tak i v případě, že se znaky opticky nezobrazují (resp. jsou hvězdičkované) zůstanou v paměti četné otisky zadaného textu. Screenshot otisku hesla "kubrt" zachyceného z memory dumpu na iOS je na slide s nadpisem "Illustration of Heap Pollution" - ať to nemusíte hledat. :)
Vtipná je jedna věc - o kousek před heslem "kubrt" je slovo "ubrt". To není náhoda - jedná se o derivát slova "kubrt", který systém generuje pro potřeby nabídnutí automatické korekce textu. Takže pokud si programátor nedá práci, "rozsprejuje" se mu heslo a jeho "deriváty" po paměti ani neví jak a kde... Jediný způsob, jak tomuto zabránit, je explicitně tuto situaci ošetřit...
Díky za super článek.
Taky jsem toho názoru, že dlouhé hesla, kombinace malých/velkách písmen, číslic apod. jsou zbytečná komplikace - stačí omezit počet pokusů o přihlášení.
Zarazila mě zmínka o možnosti vydolování hesla z mobilu a o šifrované klávesnici. U eKonta je to teda (snad) v pořádku, ale co jiné aplikace které používají standardní klávesnici? Na Androidu je to Fio, ČSOB, Mobito i mBank. Znamená to, že se dobře vybavený útočník dokáže dostat k heslům do těchto apliakcí? Nebo to jenom mají zabezpečené jinak?
PS: Proti RB mám sice spoustu výhrad, ale mobilní aplikace je skvělá. Mnohem lepší než u Fia, na které jinak nedám dopustit.
O softwarovém řešení je celý článek a spousta příspěvků v diskusi. Nevýhoda SW řešení je, že je jen tak bezpečné, jako zařízení pod ním. Např. androidí mobily jsou bezpečnější, než desktopy s Windows – např. díky oddělení aplikací. Ale pořád tam jde dělat dost věcí, které umožňují ten SW token obelstít.
Jak už tady padlo, třeba Google Authenticator je softwarový OTP generátor a je zdarma. Samozřejmě generuje bezkontextová hesla, pro bankovní účely by bylo vhodné do generování hesla zapojit údaje o transakci – to ale není problém doprogramovat. Pokud jste těmi bezpečnými SW OTP tokeny myslel něco jiného, platí stále první odstavec spolu s tím, že PR řeči výrobce ještě nikdy nic nezabezpečily…
Jen doplním o info pokud už nezaznělo že dnes máte možnost mít bezpečné SW OTP tokeny ve formě aplikace. Výhoda je ta, že klient nenosí žádné další zařízení, které navíc po cca 5 letech umře na baterii. Myslím, že to bude jedna z cest - je to rychlé, klienta to příliš neomezuje, banka má jednoduchou zprávu..........jen ceny jsou stejné jako u HW OTP, takže počítejme cca 1000,- Kč za kousek.....a banka to dá buďto jako prémiovou službu s tím že se bude hradit poplatek za zřízení nebo spíše to dá do standardu pak ale musí odepsat milionové investice....
Toť je otázka. Nemám tušení, do jaké míry toto upravuje legislativa, a určitě by záleželo také na konkrétní situaci, ale myslím, že pokud by za prolomení zabezpečení mohl svou nezodpovědností sám klient, neměl by mít na kompenzaci nárok. Pan Dvořák se tu ale tuším snažil naznačit, že i v takových případech by si média na bankách slupla, což docela chápu, protože čtenářům neseriózních plátků si stačí přečíst titulek, že "bezpečnost byla prolomena", a už se dále nedočtou, nebo je nezajímá, že vina je na straně klienta a nikoliv banky, která se potom neprávem pro ně stává nedůvěryhodná. Jde o to najít nějaký rozumný kompromis.
Ano, je mi už delší dobu jasné, že je to věc obav bank z negativního PR (a musím na druhou stranu uznat, že média jsou opravdu senzacechtivá), a proto je snažší naházet klacky pod nohy klientům, než-li na takový problém pohlížet i z jiného úhlu a snažit se vyhovět.
Minimálně co do počtu různých hesel a čísel, opětovným výzvám ke změně hesla nebo možnosti použít pro autentizaci e-mailovou adresu nebo uživatelské jméno, které se pamatuje lépe, by se daly udělat takové ústupky, při kterých by nedošlo k ohrožení bezpečnosti klienta, za to však by daleko užitečnější byla jednoduchost používání takových služeb.
Mimochodem, jak jsem již zmiňoval: Nutnost používat různá hesla a kódy nutí uživatele si je psát na různé lístečky nebo ukládat do poznámek v telefonu či počítači v nezašifrované podobě, což bezpečnosti dle mého názoru paradoxně spíše ubere, než-li přidá (spekulativní by mohl být asi jen počet takových případů - IMHO je jich ale opravdu hodně).
Bohužel, zde Vás nepotěším - toto je (co jsem za tu chvíli, co se v oboru pohybuji pochopil) za banky poměrně staré téma. Za bezpečnost Vašich peněz odpovídá banka (a to minimálně z pohledu dopadu reputačního rizika). Není proto možné nechat nastavení nižšího zabezpečení na klientovi. Nikomu nikdy nevysvětlíte, že 50 000 klientů přišlo o peníze proto, že si sami zvolili v internetovém bankovnictví jednodušší přihlašování.
Podobně jako v diskuzi k Androidu výše se domnívám, že bezpečnost nemůže být dána do ruky uživatelům, protože přirozeně preferují komfort (zatímco přihlášení je časté, peníze Vám ukradnou jen jednou, a to kdo ví jestli)...
Mně by nevadilo, že banky používají tolik kanálů v rámci autentizačního mechanismu, ale klient by měl mít možnost svobodně se rozhodnout, jakou úroveň zabezpečení si sám zvolí. Klienti mají odlišené potřeby - někteří řeší více jednoduchost a použitelnost, jiní zase bezpečnost. Banky by v tomto mohly vyjít uživatelům vstříc a i na základě těchto vylepšení získat poměrně důležitou konkurenční výhodu, protože těch, co na složitost autentizačních mechanismů nadávají, je opravdu hodně. Dost by mě třeba zajímal výsledek nějakého průzkumu, který by takového potřeby klientů bank zkoumal.
Děkuji za reakci - délka reakce mi samozřejmě vzhledem k délce článku už z principu nesmí vadit. :)
Je pravda, že globálně těch čísel a hesel pro banku je velmi mnoho (některé ale do toho seznamu úplně nepatří - např. jednorázový kód se generuje jednou při aktivaci) a s některým ze systémů člověk zákonitě musí přijít do křížku. Je pak otázka, jestli jako "finální instance" může fungovat cokoliv jiného, než pobočka a osobní ověření. Věřím, že nikoliv, to pak maximálně tak vyústí ve speciální telefonickou linku se speciálním tajným kódem, jehož 3., 5. a 9. cifru musíte sdělit... Takže přibude nový problém.
Variabilita hesel je primárně dána tím, že pro různé kanály by měla být nastavena různá hesla, aby kompromitací autentizačního mechanismu jednoho kanálu nedošlo kompromitací všech kanálů.
Během čtení diskuze jsem například více prozkoumal i Vámi zmíněnou aplikaci mBank, která pro přihlášení požaduje klientské číslo a heslo stejné, jaké je použito pro internetové bankovnictví. Kompromitací mobilního zařízení tak hrozí kompromitace "velkého bankingu". Klienti mBank by se podle mě měli ozvat - toto není v pořádku a není to ani více user-friendly, než co mají jiné banky...
Za nekonzistentní naming hesel se musím omluvit. Samozřejmě se nám to v průběhu projektu také občas stává, typicky proto, že se název v půlce projektu (kdy řešíme zásadní a pro koncové uživatele nezbytnou otázku, jestli se "to" bude jmenovat "veverka" nebo "divný oranžový skoro mýval") změní na něco jiného (na "myš lezoucí po stromu z huňatým ocasem") ne nesprávně se to propaguje organizací... :(
Předem se omlouvám za poněkud delší reakci :-).
Bavíme se třeba o České Spořitelně, dobře. Tak tedy když bychom si rolbou shrnuli všechna ta čísla, tak:
- číslo svého účtu
- jednorázový kód pro mobilní bankovnictví
- PIN pro mobilní banku
- bezpečnostní kód z protokolu (který se mění při skoro každé návštěvě pobočky a vygenerování protokolu nového)
- klientské číslo
- přihlašovací heslo pro Servis24
- čtyřmístné bezpečnostní heslo pro komunikaci s operátorem
- PIN pro platební kartu
- číslo karty a datum její expirace pro možnost platit přes internet
Nemluvě o extra dlouhých IBAN a BIC/SWIFT variantách pro odesílání či přijímání plateb ze zahraničí.
To máme k uchování útctyhodných 12 číselných či písmenných formátu, které si nemohu nastavit podle sebe vůbec nebo mi banka diktuje, jak mají vypadat (pro různá PIN čísla nanejvýš 4 číslice, jinde zase musí obsahovat nejméně 8 znaků, kde alespoň jeden z nich je písmeno) či dokonce čas od času sama od sebe změní (třeba vygenerováním nového protokolu), a aby toho nebylo málo, tak internetová aplikace pro jistotu jednou po kratší době obtěžuje se změnou hesla, přičemž jako nové heslo nesmím použít žádné z těch, které sem už v minulosti používal.
A aby to bylo ještě méně jednoduché, tak Česká Spořitelna nepoužívá ani jednotnost v názvosloví. To co se někde jmenuje "Heslo pro mobilní banku" se jinde zase nazývá "PIN k mobilní bance". "Číslo z protokolu" je jinde nezváno zase "Bezpečnostním kódem".
Nutnost používat pro každou byť malou transakci SMS zprávy, které dnes už někdo ani vůbec nepoužívá, nebo má zařízení, které je ani nepodporuje (skoro všechny tablety), je už jen třešnička na dortu v otravování života klientům.
To a mnohem více mi na usnadnění přístupu ke službám elektronického bankovnictví, ať už toho mobilního, nebo stolního internetového, překáží nejen v pohodlí. A upřímně, neznám doposud nikoho, kdo by s těmito bariérami neměl alespoň jednou výrazný problém, a to že ve svém okolí mám lidí využívajících služeb ČS docela dost (řekněme desítky). Kolik návštěv poboček už bych si mohl uštědřit, mít trochu více snahy autorizaci do služeb usnadnit.
Já umím být za svou bezpečnost odpovědný a nepotřebuji být tímto balastem omezován - bere mi to akorát můj čas. Takže moje priorita při příštím výběru banky je jasná: JEDNODUCHOST.
A abych nenadával jen na Českou Spořitelnu, není to samozřejmě jen ona. Namítkou taková mBank (doporučuji článek Rikiho Fridricha na jeho blogu "Prečo nepoužívam mobilnú aplikáciu Mbanky" - http://content.fczbkk.com/preco-nepouzivam-mobilnu-aplikaciu-mbanky-aj-ked-je-dobra/ - který mi naprosto mluví z duše), dále Fio banka a další a další.
Ano - samozřejmě já rozumím tomu argumentu, že hesel do různých systémů je mnoho, a že se pak špatně pamatují, ale myslím, že to je více problém u "velkého internetu" (který se právě používá jednou za čas) než na mobilech, které tím, že je máte po ruce používáte častěji. Ono ostatně článek byl i o tom, že ne vše, co "platí na beton" na desktopu platí i na mobilech. Ad SERVIS 24 - já osobně jsem zapomněl své klientské číslo, takže ten problém znám. Naštěstí mám zvláštní typ křeče v ruce, která když položím ruku na numerickou klávesnici píše klientské číslo do SERVIS 24. :)
Jirka psal o uchování všech hashů řetězců, které vzniknou z původního hesla odstraněním právě jednoho znaku – těch hashů bude stejně, jako je počet znaků hesla. T.j. z hesla "abcd" si poznamenám hashe pro "bcd", "acd", "abd" a "abc". To samé pak udělám pro nové heslo (např. "abce" -> "bce", "ace", "abe", "abc") a porovnám, zda neexistuje nějaký hash, který je v obou skupinách.
Tak do teď jsem velmi oceňoval povedený článek a Vaši argumentaci v diskusi, ale tady - úplně na konci v posledním příspěvku - s Vámi nesouhlasím. Naopak musím potvrdit předchozí příspěvek Jana Elznice. Asi se ale netýká mobilních aplikací, ale Servisu 24.
Pokud se do aplikace NEpřihlašujete ob den, ale třeba jednou za měsíc a podobných aplikací čí účtů máte desítky a speciálně ty bankovní si nikam nepíšete, je pravděpodobnost pozapomenutí či chyby poměrně velká. Heslo jsem obnovoval několikrát, pokaždé to byl nervák, ale vždy jsem to zvládl po telefonu (se smlouvou v ruce).
Na druhou stranu jste v článku p. Elznicovi už vysvětlil, proč musí být počet pokusů, než dojde k zablokování, malý.
Kuriózní je to u IB GE MB, kde vás sice ušetří složitého přihlašovacího jména, protože se používá číslo účtu. Pak ale mužete každého, kdo má účet u té banky, potrápit tak, že mu účet zablokujete několika pokusy o přihlášení.
Krátce už jsem okusil komfort mobilní aplikace v Android, kdy sice prvotní instalce nebyla triviální, ale další použití s jediným heslem je luxusní.
Dobrý den, problémy, které zmiňujete jsme v bankovních aplikacích nepotkali. Nestává se zkrátka to, že by si klient nezapamatoval 4-9 místný číselný PIN ani na pátý pokus (když tedy opět mluvím za Raifku). Podle mě to je především proto, že s takto jednoduchým přihlášením do aplikace klienti pro běžné operace chodí raději, než do internetového bankovnictví (pro přihlášení je potřeba SMS klíč, takže tak jako tak má uživatel nakonec svůj telefon v ruce). A když se do aplikace přihlašujete ob den, tak PIN zkrátka nezapomenete...
Jestli něco vážně krajně nesnáším, tak jsou to číselná klientská čísla u bank pro přihlášení k bankovnictví. Kdo si to má sakra pořád pamatovat?! Uživatelské jméno, nebo ještě lépe email, který navíc bývá unikátní, si snadno zapamatujete, číslo o hodně cifrách těžko. Navíc jsem nucený si ho takto někam poznamenat, čímž zvyšuji riziko jeho zcizení.
Co mě také dokáže řádně vytočit, je zablokování účtu po třikrát špatně zadaném hesle. Navíc když máte jako uživatelské jméno číslo, může se vám takto snadno zablokovat účet kdokoliv. Často je potřeba pak osobně navštívit pobočku, protože náhradní bezpečnostní kódy nebo jiná hesla většinou po ruce nemáte nebo o nich ani v horším případě nevíte. Vždyť kdo má všecka ta čísla pořád někde skladovat?! Nemluvě o tom, že návštěva pobočky stojí náklady i banku - pracovníky někdo platit musí.
Pěkný expert na tyhle problémy je např. Česká Spořitelna se svým Servisem 24. Přijde mi, že banky házejí klientům i sobě úplně zbytečně klacky pod nohy.
Skutečný "kalkulátor" s displejem, který zobrazí minimálně číslo účtu, specifický symbol, částku a měnu, je pořád generátor jednorázových hesel. A přesně takové zařízení jsem myslel tím hardwarovým generátorem OTP -- předpokládal jsem, že si každý odvodí z kontextu, že myslím něco použitelného pro rozumné ověření bankovních transakcí.
Jenže samotné OTP nestačí.
Na druhou stranu skutečný kalkulátor (tj. s displejem, na kterém se zobrazí číslo účtu a částka) taky nebude stát tolik a nebude o moc větší.
„Alespoň z mých pár setkání s tím appletem KB si nevybavuju, že bych se vůbec mohl podívat, co vlastně podepisuju.“
No právě o to mi jde.
„ten applet pak má uživatel na disku a může jej analyzovat“
Aha, takže uživatelé si mají ukládat všechny applety, co jim kdy byly poslány, aby je v případě nesrovnalostí mohli dát analyzovat, jestli v nich náhodou nebyla nějaká nekalost. Viděl jste nějaký takový požadavek v návodu k jejich bankingu? Kolik uživatelů to dělá? Kolik prohlížečů vůbec umožňuje nějak uživatelsky přívětivě zkopírovat applet?
„ale že by se o to pokusila nějaká skupina zaměstnanců“
Například že to místo skupiny, která dělá webový interface, udělá skupina, která dělá applet.
No moc se Vám omlouvám, ale raději příště pište články o něčem jiném, pokud vůbec. Má to přišlo jako psychopatický tok neuspořádaných myšlenek spojený s propagací jedné metody a dehonestací všech ostatních. Pohybuji se kolem počítačů již od dob Sinclair ZX81, takže snad dovedu rozlišit podstatu v článku uváděných tvrzení a děsí mne jakou škodu může napáchat u nějakých BFU :-(
Stačí jakýkoliv optický snímač, který z obrazovky sejme kód a čip, který ho dekóduje a na displeji zobrazí cílový účet, částku a OTP, které uživatel přepíše, viz http://www.cleverandsmart.cz/autorizace-transakce-v-internetovem-bankovnictvi-jednorazovym-heslem/.
Dokonce i v případě, že by se útočníkovi podařilo zcela ovládnout smartphone oběti nějakým malwarem a do banky poslat požadavek na převod peněz na jiný účet, nemusí být tato transakce vůbec realizována. Záleží to do značné míry i na tom, zda banka nasadila nějaký FMS nebo ne, viz https://www.soom.cz/index.php?name=articles/show&aid=508&title=Internetove-bankovnictvi-a-boj-s-Frodem.
Ne, nejsem zastáncem krátkých a nic neříkajících článků. Mám rád smysluplné rozbory, jít do hloubky, pod povrch. Ale dost často se mi tu taky stává, že při druhém odstavci si začínám v duchu říkat, bla bla bla bla...bla bla. A při třetím mi dojde, že tímto přeci nebudu ztrácet čas. Škoda, třeba autor v desátém odstavci píše opravdu něco přínosného. ... Tento článek je pro mě právě takovým.
Ano. Tady je potřeba uvědomit si jednu věc: dostatečně motivovaný útočník vždy nakonec vyhraje. Jde o to, hodit mu pod nohy co nejvíc klacků, aby se mu útok nevyplatil pro svojí pracnost. Zde právě dělá Apple poměrně dobrou práci... Samozřejmě Android má své výhody jinde, ať nepůsobím zbytečně vyhraněně... :)
Co se statické analýzy Apple týče, tak my máme jednu velmi konkrétní zkušenost. Před tím, než v SDK byly "collection views", implementovali jsme náš vlastní grid view. Ten stále používáme např. v ČT24/4 pro iPad nebo aplikaci Hospodářských novin pro tvorbu gridového layoutu aplikace. Tento grid view implementoval delegate callback metody - např. "grid:cellForIndexPath:" - a Apple nám jednoho dne aplikaci s naším gridem zamítl, protože náš naming kolidoval s neveřejnými metodami v UIKitu. Tak jsme v našich objektech callback metody hromadně přejmenovali na "imtGrid:cellForIndexPath" a byl pokoj...
Čili to je pěkná ukázka toho, jak nás Apple vypekl jen při pouhém podezření, že děláme něco s jeho privátním API...
Kdepak uz to propuklo. Cca pred 2mesici byl o tom v Chipu clanek, ze utocnici pomoci malware napadli pocitace v evropskych zemich a take napadli Anroid smartfouny. No a pak si pockali, az se uzivatel prihlasi do internetoveho bankovnictvi a malware si ulozil jejich heslo. Pak si sparovali konkktretni smartfoun s tim konkretnim bankovnicvim a pak mu normalne prevedki penize z internerovaho bankovnictvi na sve ucty (kod z potvrzovaci sms jim poslal ten napadeny mobil). Uz si nepamatuji cisla uplne presne, ale podarilose jim tak napadnout cca 100 000 uctu/uzivatelu a ukrast jim cca 30 000 000 euro (dohromady).
V clanku uz ale nepsali, co s tim udelali banky.
Protože když už se vůbec publikuje na Lupě, tedy mezi lépe až dobře informovanými uživateli,
To mě samozřejmě vůbec předem nenapadlo, že se v diskuzi objeví trolové, kterým nebude zatěžko hrubě urážet pod rouškou anonymity a zpochybňovat podstatu článku, který minimálně nutí k zamyšlení, že vůbec nějaký problém může existovat.
Myslím, že jste si sám odpověděl :-)
Jakou analyzu delaji vi asi jen Apple, ale podle svych zkusenosti (par stovek app reviews jsem uz s nimi absolvoval), jedine co najdou je prima linker reference do privatniho frameworku.
Pristup Applu ma urcite pozitiva, nejsem proti tomu, Psat malware pro iOS je ale tezsi spis tim, ze se aplikace neda distribuovat jinak nez pres App Store, coz vede k nutnosti registrace vyvojare u Apple a zaplaceni rocniho poplatku (kreditkou). Pokud bude ale nekdo dostatecne motivovan a podari se mu registrovat treba na podvrzene osobni udaje, tak ho app review rozhodne nezastavi.
Apple na všechny aplikace spouští poměrně pokročilou statickou analýzu, čili typicky odhalí volání privátních API či jiné podezřelé části kódu. Dokonce zamítne aplikaci při false positive nálezu, jak jsme se sami přesvědčili. Existují samozřejmě mechanismy, jak se pokusit statickou analýzu zmást, ale jednak se to daří méně, než dříve, dále pokud se zpětně zjistí prohřešek, je aplikace stažena, a to včetně dopadu na vydavatele (který je na Apple povinně ověřen při zakládání účtu).
Proces app review je jistě i o ochraně obchodních zájmů Apple, ale nemyslím si, že to je jediný cíl... Stačí chvíli zagooglit na téma mobilního malware a zhodnotit jeho výskyty na iOS a OS Android. Nebo se třeba podívat na poměr vyloženě balastových aplikací...
Apple review nema sanci zachytit "workaroundovani", pokud se napise sikovne (a neni to nijak zvlast tezke). Vzdyt jak by to taky delali - trasovali ten kod instrukci po instrukci v nejakem debuggeru?
Cele app review je spis o kontrole obchodnich zajmu firmy Apple a trochu (mnohem min) o jednotnem vzhledu a ovladani apliaci.
No vidíte a já si zase celou dobu říkám, že ten článek byl moc dlouhý a ve druhé polovině příliš podrobný na to, aby se trefil do cílové skupiny.
Protože když už se vůbec publikuje na Lupě, tedy mezi lépe až dobře informovanými uživateli, popisem možných útoků na heslo je neoslovíte, zato rozsahem článku spolehlivě odradíte skupinu lidí, kteří jsou nedostatečně erudovaní, aby chránili svůj mobil/pin, což jsou přesně ti, kteří tu buď vůbec nejsou a nebo budou mít problém dočíst něco tak dlouhého do konce.
To mě samozřejmě vůbec předem nenapadlo, že se v diskuzi objeví trolové, kterým nebude zatěžko hrubě urážet pod rouškou anonymity a zpochybňovat podstatu článku, který minimálně nutí k zamyšlení, že vůbec nějaký problém může existovat.
K nim mám tedy dotaz, zajímaly by mě ty stovky případů napadení účtů, které jsou způsobeny internetovým bankovnictvím a jeho zabezpečením. Argument, že RB zablokovala platby přes internet je trochu mimo, neboť to udělala z úplně jiných důvodů (šlo o platební karty).
Věřím totiž, že pokud by došlo k nějakému častějšímu prolomení přístupů na ib z jiných důvodů, než hlouposti uživatelů, mohla by to banka tajit jak by chtěla, ale už by se to dávno propíralo na každém serveru.
Z toho pro mě vyplývá, že komfort uživatele má oprávněně přednost před honbou vše uzamknout pod deset hesel.
BTW přenosné certifikáty u KB byly důvodem, proč se jejich bankovnictví nechytilo, ačkoli bylo druhé na trhu hned po expandia bance. eB pomohlo právě přenesení na mobilní telefony, protože s kalkulačkami by dodnes banka živořila na tisíci klientech.
Existuje nějaké lepší zabezpečení, než má RB (eBanka)? Asi ne, že? Šifrované SMS zabezpečené extra BPINem na mobilu pro chránění přihlášení a pro každou operaci s účtem je naprosto bezkonkurenční řešení a žádná jiná banka nešahá v tomto RB ani po kotníky.
Co tady teda řešíte? Délku hesla k nějakým pofidérním bankovnictvím typu KB, ČSOB nebo Spořky? :-))
Dobrý den,
děkuji za dobrou připomínku - ale zde to je podle mě spíše konflikt terminologie, než že bychom si nerozuměli. Pod pojmem "práva" si nepředstavím práva, která jsou uživatelem přidělená, ale systémová práva, možnost něco dělat jako "root".
SMS zprávy na OS Android může teoreticky číst například aplikace typu SMS Jízdenka, která to dělá poměrně legitimně. Ano, uživatel ji k tomu předtím dal práva - takže Android je alibisticky z obliga v případě, že podobná aplikace udělá něco nekalého... Vina je pak formálně na uživateli (ale je to právem???).
Naproti tomu na iOS není možné nikdy číst SMS bez toho, aby aplikace měl práva uživatele root. V iOS SDK pro to není podpora, pokud se to pokusím workaroundovat a vydat aplikaci, Apple mě s ní nepustí na App Store.
Teď se pouštím na tenký led, ale přeci... Oba systémy, iOS i Android mají své silné a slabé stránky. Domnívám se, že systém uživatelem přidělených oprávnění v OS Android je poměrně nevyhovující pro "běžné retailové klienty". Přidělení práv aplikaci v době instalace aplikace je něco, co uživatele po čase dotlačí k slepotě a automatickému potvrzování práv. Takže říkat pak uživateli "Je to Vaše chyba, že se něco stalo" je trochu alibistické. Přístup Apple je sice celkem drsný, ale pro masovou klientelu vhodnější.
Vygooglujte si něco o Secure3D při platbách kartou na netu. Pokud to banka podporuje (např. u mne Citibank), tak každou platbu na netu kreditní kartou musím potvrdit kódem, co mi přijde na mobil. Pokud obchodník (resp. jeho platební brána) nepodporuje Secure3D a já budu reklamovat platbu, je na obchodníkovi, aby prokázal, že jsem to platil opravdu já.
Jenže začátek článku působí obecně, že lidi jsou proti mobilním bankovnictvím (i když zmiňujete "v našich aplikacích", což okruh omezuje, i když nevím na které). Když se podíváte např. na zmíněnou mBank/Android, tak se vůbec nedivím, to prostě nejsem ochoten akceptovat a podle mě tam proti internet. bankovnictví chybí v tomto případě ten druhý kanál. Dokonce k zadání hesla se používá std. klávesnice, kterou má spousta lidí nainstalovanou kdoví jakou s právy úplně všude. Kdyby to bylo alespoň jak píšete, je to ok, jenže banky to neumí komunikovat, to jsou samé hovadiny, jako vlastní obrázek na kartě, ale podstatné info aby člověk věštil z koule.
No, a teď si vemte, co se stalo v jedné z našich big four bance.
Koupili si od nás SW s full service, tak jsem jim ho naklusal nainstalovat. Přijdu do kanclu, tam mě prstem ukážou na počítač, a že tam to mám dát. Já je požádám o přihlášení na administrátorský účet, oni že to neznají, že mají správu počítačů outsoursovanou, ať si zavolám na číslo xxxxxxxxx. Tak tam volám: Haló, tady já, potřebuju administrátorské jméno a heslo. To já vám neřeknu, my heslo odvozujeme se sériového čísla počítače takto: a následoval popis postupu. Já v tom okamžiku měl administrátorský přístup ke všem počítačům v oné bance!
Hlavně že pak honěj chuděry na přepážce, jestli nemají heslo někde na papírku.
Coz se technicky umi, ale pouziva jen vyjimecne (videl sem to, platba zustavala na ucte jen zablokovana, az do autorizace). Technicky pak nevidim zadny problem v tom, umoznit nastaveni typu limit bez autorizace, pripadne defaultni chovani po nejake lhute (zaplatit/nezaplatit) ...
No jo, ale současný stav je takový, že si prodavačka/číšník zapamatujou číslo a CVV, případně někdo ukradne databázi eshopu, kde jsem si něco objednával, a je vymalováno. Jinak nechtěl bych rovnou PIN ke kartě; spíš bych si představoval, že bych transakci potvrdil v rozhraní IB banky, stejně, jako jakýkoli jiný příkaz elektronického bankovnictví.
Jirsak jirsak, zase kravoviny ....
1) onen "uznavany" pospis (aneb to co vydava trebas posta), je uznavany (ze zakona) vyhradne organy statni spravy. V pripade komercnich subjektu (coz banka je), je to ciste na tom subjektu.
2) cimz se dostavame k bodu dva, kde svuj podpis, ma banka pod kontrolou, narozdil od cizich, kde nemuze nijak ovlivnit podminky, za kterych je vydavan.
V obou pripadech pak nelze nijak dokazat ani prokazat, ze podpis vykonala konkretni fyzicka osoba (narozdil od podpisu neelektronickeho, kde to lze s vysokou mirou pravdepodobnosti urcit, tim spis, pokud jde o podpis overeny trebas notarem)
2) a nyni se dostavame do bodu 3, coz bude pro Jirsaka novinka, ale autentizace certifikatem/klicem je kupodivu zcela standardni soucasti http. Jen to prakticky nikdo nepouziva. Zadna java na to neni treba.
Dobrý den,
informace o tom jak funguje zabezpečení jednotlivých mobilních bankovnictví je typicky k dispozici přímo na webu banky, např. zde:
V odkazovaném PDF je vše popsáno i celkem detailně...
Typicky je toto povídání doprovozeno obecnými zásadami bezpečnosti, které je nutné pro dané schéma dodržet:
Jeden z důvodů, proč tento článek vznikl je i fakt, že popisy na straně bank jsou poměrně hůře stravitelné...
Když má kontrolu nad tvým zařízením, bude ti hrát divadlo - na obrazovce se ti bude ukazovat, že posíláš pětistovku, ale ve skutečnosti se budou odesílat všechny peníze, co máš, někomu úplně jinému. Ty samozřejmě zadáš OTP a tím potvrdíš transakci - tu útočníkovu.
(Bavíme se o situaci, kdy útočník má (vyownovaný) počítač; pin můžeš zadávat do tokenu - pak se akce vůbec neúčastní, nebo do počítače - a pak ho útočník zná taky)
Budeme-li předpokládat, že se PIN zadává na "bezpečný web" (což není pravda úplně vždy), tak pak je tady např. situace s viry, dále pak VISA regulace toho, na jaký HW je možné zadávat PIN ke kartě (musí se jednat o odcertifikovaný HW, což osobní počítače s klasickou klávesnicí nejsou)...
Souhlasím, že v téhle konkrétní implementaci uživatel stejně nejspíš nemá kontrolu nad tím, co podepisuje. Alespoň z mých pár setkání s tím appletem KB si nevybavuju, že bych se vůbec mohl podívat, co vlastně podepisuju. Na druhou stranu, ten applet musí být elektronicky podepsaný, stahuje se z nějakého webového serveru (který snad je oddělen od bankovního systému), ten applet pak má uživatel na disku a může jej analyzovat – nebo-li na případném podvodu by se muselo podílet víc lidí a existovalo by větší riziko prozrazení u klienta. Nejde ani tak o to, že by se pokusila podvádět banka jako taková (proti tomu stejně není obrana), ale že by se o to pokusila nějaká skupina zaměstnanců.
Já sám sebe nepočítám mezi „poučitelné laiky“ v oblasti počítačové bezpečnosti – takže to, že já ten výtah z článku udělám, (doufám) ještě nic neznamená.
„Více klidná rovina“ není potřeba, stačí udržet stejný styl v celém článku – ale je pravda, že udržet stejný styl ve vážné rovině je jednodušší, než v rovině žertovné. Na druhou stranu je dobré serióznějším textem začít, na něm se naučit a teprve pak zkusit náročnější žánr.
Jenom pro jistotu – nekritizuju formu proto, abyste se na to vykašlal a radši už nic nepsal, ale proto, abyste měl nějaká vodítka, jak to příště třeba napsat lépe. Protože vítám jakýkoli článek o bezpečnosti pro laiky, kde není žádná Alice a Bob a který nenabádá uživatele k pravidelnému měnění hesla, ale který vysvětluje, proti jakým metodám útoku chrání které bezpečnostní prvky.
„Zdravím Vás a děkuji za dotaz! :) Odhlédneme-li od toho, jaká jsou pravidla pro HW, který může být použitý pro zadávání PIN kódu a toho, jak se s PINem následně kryptograficky pracuje, je klíčová otázka, co by se zadáním PINu na web vyřešilo? Prostě byste ho někam poslal spolu s ostatními údaji o kartě, čímž bezpečnost příliš nezvýšíte...“
Asi myslel na webu banky…
Ale to pak po tobě na www.Reiffeisenbonk.cz můžou chtít opsat kód ze SMS a ty to určitě rád uděláš. A protože má útočník pod kontrolou počítač, nemusí to vlastně ani Reiffeisenbonk
Lepe bych to nenapsal. Navic ten zlovolny technik nemusi ani ten telefon drzet v ruce.
Jedna z technik socialniho inzenyrstvi je presvedcit zakaznika, aby si tu zakernou aplikaci nainstaloval sam. Nebezpecna a prekvapive efektivni technika ve svete PC (falesne antiviry, downloadery atd.)
V tu ranu ma neznamy utocnik mobil pod kontrolou a kdyz da dohromady pristup k zasifrovanemu klici a sledovani "tapu" ma vse co potrebuje.
PS: SMS ma smysl i dnes, pravdepodobnost ze utocnik dokaze uspesne kompromitovat pocitac, kde zadavam platbu i telefon je mala. Kdyz ale nekdo zada platbu v prohlizeci telefon, jsme zase zpatky u jedineho zarizeni.
To je sice pěkné, že potkáváte řadu lidí, kteří mobilním aplikacím nevěří, ale jak proboha mají vědět, že ty app fungují tak, jak jste popsal? Že se posílají deriváty klíčů, že PIN necestuje, že se používá vlastní zabezpečená klávesnice, PIN se v paměti chrání, .... Prostě je to appka na store a jak je zmaštěná nikdo neví. Vlastně ví, když jsem si přečetl popis mobilní app u mBank, hned jsem věděl, že tudy cesta nevede (klasické přihlašování). U internetového bankovnictví, kde se mi pošle sms se všemi údaji ke kontrole (to kupodivu/naštěstí dělá) mi to je celkem jasné, kde jsou případné slabiny, u mobilu mohu jen hádat, jak to je udělané.
U vás tedy máte PIN v mobilní aplikaci zcela jiný než kdekoliv jinde (z logiky věci by se asi měl zvolit po instalaci) a použije se jen k zakódování klíčů?
Stejná firma, stejný tým, stejný kód, stejné chyby... pro několik bank?
No je to horší, než jsem myslel :)
Nedobytnou bezpečnost totiž jednoduše nemůžete postavit na jediném zařízení, nad kterým navíc nemáte plnou kontrolu. To je dané z principu a proto musíte udělat nějaký bezpečnostní kompromis.
A každý kompromis jde nějak prolomit. V bodu 4 třeba řešíte technika, který našel telefon. Co když ho nezačne kuchat, ale vrátí ho? Bude to tentýž mobil? Bude v něm tentýž software? Bude v něm vaše aplikace, nebo bude pozměněná?
Co když to neudělá technik s telefonem v ruce, ale falešnou či upravenou aplikaci podstrčí nějaký malware? Pak ani edukovaný uživatel není schopen poznat nic.
Děkuji Vám za reakci, Martine, a dovolte mi zareagovat. Ono to takto rozhodně nemělo vyznít - za mě se nejedná o chlubení, ale o sdílení zkušenosti s tím, jak ve věci postupujeme, protože s tím přeci jen máme nějaké zkušenosti. Nedělali jsme jednu mobilní aplikaci pro jednu banku - máme už pár zářezů. :) Prosím odhlédněme od konkrétní implementace, bavme se o obecném tématu.
Myslím, že prvním krokem k bezpečnějším mobilním aplikacím je otevřenost a diskuze. Jistě se spíš chyba objeví tak, že stručně popíšu, jak věci děláme a podívá se na to odborná veřejnost. Budu rád, když na cokoliv, co se Vám nezdá, upozorníte. A za článek k mobilním aplikacím od nezávislého hackera bych byl osobně velmi rád...
Oslavnému článku bych věřil, kdyby ho napsal nějaký hacker.
Ale když si ho napíše sám autor aplikace, ve stylu "podívejte se, jak jsme dobří, na všechno jsme mysleli a tedy je to neprolomitelné", to smrdí!
Už jsem takových velkohubých prohlášení slyšel mnoho a často se ukázalo, že autor ve své nafoukanosti udělal nějakou triviální botu, která zapříčinila obrovský průser.
Mít na účtu pár tisíc, vem to čert. Ale dát si na mobil třeba bankovnictví k firemnímu účtu s pár miliony, to bych se fakt bál.
Souhlasím s autorem že SMSka měla smysl v době kdy telefon nešlo hacknout. Dneska se dá hacknout telefon stejně snadno jako ten desktop. Proto bych uvítal kdybychom od banky dostali ty "čípečky". Ty jsou ohledně hackování na stejné urovní jako v minulém tisíciletí ty mobilní telefony, tj. hacknout prakticky nejdou.
Asi bych se vyvaroval SecureID kvůli jejich průserům v minulosti, ale jinak LinOTP, Yubikey, jakékoliv OTP. Člověk si to pověsí na klíče a nezavazí to. Náklady mizivé a bezpečnost je rázem někde jinde - člověk pak musí mít token, PIN a telefon.
Jo a asi jsem divnej, ale mě se ten neformální styl článku líbí.
Je chranene prihlasenie. Napriklad po ukradnuti prihlasovacich udajov trojkym konom, atd... Co sa chrani, zalezi na tom aky obsah tymto sluzbam zverujete :-)
Mna by celkom mrzelo, ak by niekto kompromitoval moje google konto a nebodaj aj zmenil hesla a kontaktne udaje a konto tym padom pre mna zablokoval...
Velice jednoduse odesle bambilion spamu s tim ze vase banka vam zablokovala kvuli bezpecnosti ucet a muze te si ho odblokovat kliknutim na odkaz www.Reiffeisenbonk.cz kde ten vas pin zadate a ne malo troubu se najde co ho tam zadaj... ja jako fakt nevidim nic nepohodlneho na tom ze z moji banky mi prijde sms (pouze pokud chci penize prevest mimo moje ucty) s petimistnym kodem, ktery opisu... mit zajisten pristup do banky jen pinem je jako mit naditou srajtofli vykukujici ze zadni kapsy kalhot v precpane mhd
Zdravím Vás a děkuji za dotaz! :) Odhlédneme-li od toho, jaká jsou pravidla pro HW, který může být použitý pro zadávání PIN kódu a toho, jak se s PINem následně kryptograficky pracuje, je klíčová otázka, co by se zadáním PINu na web vyřešilo? Prostě byste ho někam poslal spolu s ostatními údaji o kartě, čímž bezpečnost příliš nezvýšíte...
Pokud se pracuje se zabezpečením karty, musí to být na "jiném kanálu" než je platební brána.
Některé banky umožňují na kartách (typicky na debetních, které mají více pod kontrolou) provádět operaci "zamykání" nebo deaktivaci e-commerce transakcí. Tyto operace se dají povolit v internetovém nebo mobilním bankovnictví. Takže například já si před každým výběrem z bankomatu musím předem odemknout debetní kartu přes mobilní banku...
Nevím, zda to KB používala (když to najednou umí i bez certifikátu, tak asi ne), ale podepisování transakcí elektronickým podpisem brání útokům zevnitř banky a chrání banku. Pokud bude mít příkaz k úhradě podepsaný uznávaným elektronickým podpisem klienta, každý v ČR musí uznat, že ten příkaz dal skutečně klient, že to není nějaká chyba (nebo záměr) banky. Pokud to bude jen obyčejný elektronický podpis, pořád má banka slušnou šanci prokázat, že za příkaz je zodpovědný klient. No a elektronický podpis z webového prohlížeče jinak než přes Javu neuděláte.
Ale tak já myslím, že se právě ty myšlenky ve formě zatím ještě neztrácí... :) Ostatně kdybyste měl v bodech vypsat, o čem článek je, je to problém?
Ale asi je to o vkusu a o osobním pohledu, je celkem těžké najít ten balanc, pro příště to posunu do "více klidné roviny".
Podle mne není povedená, protože neznalý člověk (kterému především byl článek určen), se v tom ztratí. To, že se autor o popularizaci pokusil, neznamená, že se mu to povedlo. A to nemyslím vůči autorovi nijak zle – ono je to dost těžké psát tak, aby to bylo srozumitelné laikovy, bylo to dostatečně přesné a neuráželo to odborníky, a aby to ještě bylo čtivé.
eKonto (ještě v rámci Expandia banky) na autentizačních kalkulátorech začínalo. Jenže to není moc uživatelsky přívětivé. Mobil s sebou nosím pořád, tahat s sebou pořád kalkulátor se mi nechce. Proto jsem já osobně kdysi z kalkulátoru přešel na šifrované SMS – tehdy jsem vědomě obětoval trochu bezpečnosti za větší pohodlí.
Podle posledních informací už existuje varianta bez Javy, která akorát neumí pár věcí a hlavně existuje web mobilnibanka.cz, kde si v hlavní bance jednou autorizujete mobilní banku a můžete ho používat. Pro Android a iOS existují i aplikace.
No a na webu teď píšou, že už chystají verzi úplně bez Javy (hurá)
Slozity to neni ... ale proc to delat ...ze ...
Videl sem, jak probihala platba po netu s expost autorizaci - jednoduse prisla SMS a dotycnej musel ze svyho uctu atutorizovat tu zablokovanou castku, ktera by bez autorizace proste neodesla.
Co vic, znamemu dokonce z banky zavolali, ze ma na ucte platbu v neobvykle mene do zahranici (v korunach ... ;D ) a jestli to mysli vazne (a to neslo o zadnou horentni sumu, cca $50).
Pripadne muzeme lehce jinam - kolega volal z US ... a do hovoru mu uplne normalne vstoupila operatorka, a ptala se, zda chce v hovoru pokracovat, protoze jiz prekrocil svou beznou mesicni utratu.
Nj, u nas se necha zakaznik provolat statisice, banka mu necha vykoupit ucet ... a pak se pise, jak byl blbej, ze pouzival jen 4mistnej ciselnej pin ...
BTW: Pro pobaveni (na tema bezpecnsot), kolegovi prislo celkem nedavno od M$ a toho jejich uloziste ... ze omezili delku hesla na 8 znaku ... a ze pokud mel delsi, tak ze ho ma proste oriznout ... lol ... => ukladani hesel jako otevreny text.
A navic negramot ... takze znova a pomalu ...
Me je uplne jedno jak banka zajisti bezpecnost tech penez, i kdyby bezpecnost spocivala v tom, ze proste natiskne dalsi (coz stejne dela) ...
Pokud to bude fungovat tak, ze zavolam, reknu "tohle sem neplatil" a banka mi obratem vrati ty prachy na ucet. Az se bude banka takto chovat a nebude tu odpovednost za svoji neschopnost prenaset na me, tak nebudu resit autorizaci nezavislym kanalem.
A i pomerne blbej clovek docela dobre pochopil, ze pravdepodobnost, ze mu nekdo nadalku napadne desktop, vs pravdepodobnost, ze mu k tomu jeste in natura v realu slohne telefon ... je celkem vyrazne jina.
Zato pri zabezpeceni typu RC + 4mistnej pin ... (coz sem videl tusim u KB ...) je pravdepodobnost, ze se nekdo trefi jen otazkou (velmi kratkeho) casu. O tom, ze znam nemalo lidi, kteri pouzivaji (presne v souladu s temi pindy v clanku) vsude stejne heslo (takze staci pockat, az se budou prihlasovat na fuckbook a odchytit si to ...) radsi ani nemluvit ...
A pak se najde chorej mozek, kterej jim jeste tvrdi, ze je to vlastne OK ...
KB a RB (z článku) nejdou srovnávat, jedno je pro PC, druhé pro smartfouny.
Jinak doteď jsem nepochopil smysl toho procesu v KB. Opakovaně s tím prudím v diskuzích, když se někde objeví nějaký obhájce KB, a ještě mi nikdo nebyl schopen ukázat attack vector, kterému by ta Javovina mohla zabránit.
Ja osobne moc nerozumim, proc banky maji na jedne strane nadstandartne zabezpecene online bankovnictvi, kdyz na strane druhe je platebni karta se zabezpecenim na smesne urovni. Z meho pohledu staci zadat par cisel (na ktere se stejne muze kazda pokladni podivat) do nejakeho eshopu a prachy jsou v pr... Jasne muzu mit limit 0 pro platby kartou na netu a pak ho zvysit jednorazove (dle autora jednoznacne utrpeni), jinou kartu (za kterou si samozrejme extra platim) jen pro net a jine obskurnosti... Myslim, ze to typicky zadny bfu nedela...
Ma otazka na autora, proc je tak slozite k platbe kartou na netu pridat dalsi overeni, treba pin?
To riziko tu samozřejmě je a třeba se mi článek za pár let ošklivě vrátí. :)
Ono ten "náběh na novou bezpečnost" bude ideálně pozvolný - již nyní vedeme diskuze, jak věc s malware řešit. Vůči běžným uživatelům se to (doufejme - třeba je druhá strana napřed:)) vykomunikuje rovněž včas a postupně.
Každopádně čím častěji se o tématu bude mluvit s důrazem na aktuální stav věcí, tím lépe...
Mně tam nesedí to rejpnutí do Mironetu - když nechci, aby moje heslo znali, tak jim ho přece neposílám, ne?
Jinak první polovina článku mi přišla (triviálností obsahu) nic moc (až jsem přemýšlel, že to zavřu), ale pak už to bylo fajn. Možná by stálo za to rovnou začít popisem bezpečné mobilní aplikace, který je až za půlkou.
Jo, myslím že se vcelku shodujeme - ze strany banky je to OK. Ze strany klienta taky - když ví, že hrozby se v čase mění. Akorát ze strany BFU klienta, který si náhodou přečte Váš článek, řekne si "bezva, nemám se čeho bát" a u tohoto názoru setrvá několik dalších let (protože se o téma aktivně nezajímá), to OK není.
Já jen aby pak na Vás někdo nebyl naštvanej, že tomu uvěřil a nevyšlo to :)
Pochopil jsem spravne, ze internetove bankovnictvi je v RB reseno pres certifikat/klic? Protoze takhle to mela (asi stale ma) KB. Jenze to neni internetove bankovnictvi, ale __domaci__ bankovnictvi. Nebo si mam ten klic nahrat do telefonu a vsude s sebou tahat kabel? Tohle je uplne na pytel. Beru, ze pak prichazi k veci mobilni bankovnictvi, presto me certifikaty uprimne otravuji. Neni to neresitelne, ale je to podle autorova motta "trpim".
Jo a nevim jak je to s uhadnutelnosti PINu, ale vetsina lidi v nich bude mit cisla budto rodna, nebo narozeni nejblizsi rodiny nebo nejake to tel. cislo nejblizsi rodiny...
Tim se nechci nejak zvlast zastavat hesel, ale rict, ze PIN je lepsi diky tomu, ze to nikdo jiny nepouziva je sice fajn, ale je treba rict, ze na cisla lidi moc pamet nemaji a proto pak ta "sila" vypada.
Ano, je to přesně tak - umělá hesla jsou dobrá maximálně tak pro první přihlášení, nebo v extra kontrolovaném prostředí...
Jen jedna poznámka k maximální délce hesla. Někdy je vhodné ji zvolit, ale musí se vědět, co se dělá. Opět udělám malou "reklamu" appce od RB, která používá číselný PIN. Abychom jej v aplikaci dokázali perfektně zabezpečit, používáme schéma založené na Vernamově šifře. K tomu je nutné předem vygenerovat permutační matice a k nim inverzní permutační matice. A při tom právě z technických důvodů omezujeme délku hesla. Je to popsané zde:
http://www.slideshare.net/PetrDvok/note-on-the-mobile-security-or-how-a-brave-permutation-saved-a
Plně souhlasím. V předchozím zaměstnání nám nastavili pravidla pro přístup do sítě tak, že heslo muselo být minimálně 9 znaků dlouhé a musela se tam vyskytovat minimálně jedna číslice a jeden nealfanumerický znak. Navíc se heslo muselo každý měsíc měnit. To vám po pár měsících dojdou nápady na snadno zapamatovatelné heslo a stejně si ho budete muset někam poznamenat. Není větší zábava než vzpomínat na heslo po 14 denní dovolené, když jste ho musel dva dny před dovolenou změnit.
s povinnou kombinací znaků jsou čistě alibismus bank. Někdo zjevně nedokáže pochopit, že si člověk vlastnoručně zvolené heslo např. "banka: kobyla ma MALY b0k." může zapamatovat a udržet v tajnosti. Uměle zvolené heslo typu "xf6%Zrp58,x" jen vypadá komplikovaně, ale jeho praktická použitelnost je nulová a stejně ho budu muset mít někde poznamenané.
Nenávidím služby které mě nutí volit heslo podle JEJICH představ o bezpečnosti, nedejbože když je tam navíc omezení i na maximální délku hesla :(.
Ano, je to v podstatě tak... Ale v případě, že aplikace na mobilním zařízení dokáže sledovat tapnutí a posílat data bez vědomí uživatele atd., tak s velkou pravděpodobností nemusí nastupovat místní lapka a vše se dá vyřešit softwarově. Pomocí nástrojů typu Cycript se dá pokusně odzkoušet, že runtime mobilních aplikací je poměrně křehký..
Choromyslnost již v mládí budiž mi vykoupení ve stáří. :)
Ale nyní k věci. Ta otázka stojí v podstatě jednoduše: Chce banka dělat "reálnou bezpečnost", která zabezpečí peníze klienta vůči předem definovaným hrozbám, nebo "bezpečnost na oko", která vylepší hodnocení na App Store a Google Play?
Je SMS na mobilu reálná bezpečnost? Je dlouhé a složité heslo na mobilu při dílčím ověřování hesla vůči serveru reálná bezpečnost? Je okamžité odhlašování při přechodu na pozadí v případě podepisování aktivních operací PINem reálná bezpečnost?
Zkuste si prosím odpovědi v článku vyfiltrovat. Pokud Vám jde o bezpečnost na oko, pak Vás článek zcela jistě a nutně pohoršil. Pokud máte konkrétní připomínky k obsahu, rád je s Vámi proberu osobně - kontakt je v článku.
Ano, souhlasím, že k tomu s vysokou pravděpodobností jednoho dne dojde a mobilní malware bude legitimní hrozba. Problém je, že dnes není k dispozici řešení, které není přehnaně drahé a zároveň je rozumně pohodlné.
Je tedy otázka, zda má banka již teď snižovat pohodlí klienta a utrácet za extra zabezpečení (což zaplatí klienti). Ty diskuze se vedou již nyní, takže to nebude tak, že si jednoho dne řekneme "Ty jo, a jo..." :)
Osobně vkládám naději v to, že se podaří zpropagovat a zpřístupnit ARM TrustZone.
Ano, tohoto jsem si vědom - článek původně vznikl pro osobní blog, Lupa jej převzala, takže forma článku je "osobní blog". Jistě by se to dalo lépe uhladit, ale jednak jsem rád, že obsah se dá odfiltrovat, druhak jsem potřeboval docílit toho, aby článek mohl číst i člověk, který není úplně zběhlý v kryptografii a bezpečnosti on-line aplikací...
On autor popisuje vlastně Mobilní eKonto od RB. A celý článek je dobře vyargumentovaná obrana její jednoduchosti. Sám ji používán (a dokonce mám jen 4 místný PIN) a popravdě řečeno stojí mi za to kvůli jedné platbě prohledat půl bytu, abych zjistil, kde ten tablet zase leží než abych posílal platbu přes desktop a luštil z mobilu 2x potvrzovací SMSku.
Akorát mám obavu, že pokud se takový přístup rozšíří na více bank bude spearphising velmi rychle zase o něco výdělečnější. Umím si představit aplikaci, která sleduje otevřené aplikace a snímá tapnutí na konkrétní místa obrazovky. Jakmile uspěje, pošle signál a muže nastoupit místní lapka a zajistit fyzicky dané zařízení. Takže pak je to jen otázka toho jak aplikaci doručit do mobilu/tabletu. A zase jsme zpátky u edukace uživatelů.
Tenhle argument moc neberu - je jenom otázka času, kdy to propukne. A až to propukne, tak někdo přijde o peníze (jinak by toho vira nikdo nedělal).
Takže ano: dnes nic nehrozí. Jenže "normální smrtelník" (ne ten, kdo sleduje techologie) má docela slušnou šanci na to, že až "něco" začne hrozit, nedozví se to včas. Tzn. má slušnou šanci stát se obětí.
Přičemž ta "slušná šance" má dvě varianty:
(A) Postihne to jen pár nešťastníků - ty nejspíš banka podrží (protože je pro ni levnější je podržet než aby se rozmazávalo v médiích, jak je ta banka "zlá").
(B) Bude to fakt masivní - banka udělá na postižené dlouhý nos, protože sanovat jejich blbost by stálo moc. Čili spousta lidí přijde o peníze.
Obě varianty mi přijde stejně pravděpodobné - útočník se bude snažit o B, ale aby byl úspěšný, bude muset mít kromě velkého talentu i štěstí.
Takže když to sečtu: je jenom otázka času, kdy to přijde. A až to přijde, tak je to 50:50 - buď to zaplatí banka, nebo klient.
Koukam autor je pekne choromyslnej clovek ... podobnou splacaninu totiz zdravej clovek napsat nemuze.
Takze vazeny, az budou banky pristupovat k zabezpeceni uctu tak, ze je to predevsim jejich vec a ze predevsim banka je odpovedna za to, co se stemi penezi deje, pak me (a nejspis i vsem ostatnim) bude zcela uprdele, jestli jim jako login staci usmev a mrknuti okem.
Do ty doby tvrdim, ze mamlasy s podobnymi nazory by bylo treba verejne bicovat.
Ze tech kazdorocne zverejnenych pruseru se zabezpecenim uctu je malo co ... a to se verejne probira tak promile reality, protoze je samo v zajmu bankto pekne tutlat. Ze trebas takova RB v ramci "bezpecnosti" klientum zrusi moznost internetovych plateb, co ... a to opakovane ...