Ověřování při elektronických platbách pomocí selfie, DNA, OP

[dockalacek]

Ahoj,

možná už se o tom horlivě někde tady na fóru debatuje, že se něco takového chystá, zaregistroval až včera ve zpravodajství na Primě. Jde prý o to, že do 13. ledna 2018 musí být schválen zákon o platebním styku, jehož součástí musí být kromě stávajícího ověření pomocí jména a hesla i ověření selfie fotkou, otiskem prstů nebo DNA. Zákon nepůjde do výborů, neprojde tedy standardním připomínkovým řízením, a prý je velká snaha, aby byl hned schválen v prvním čtení. Pokud se neschválí do výše uvedeného data, hrozí nám od EU sankce.

Nejdřív jsem si myslel, že to je fake, že si dělají kozy, přifouknutá, senzacíchtivá novinařina. Ale oni to myslí vážně. Takže se při každé platbě budem fotit, otiskovat prsty? Co tomu říkáte?

http://www.ceska-justice.cz/2017/01/lid ... telefonem/

[xtonda]

Ano, jedná se o implementaci PSD2. I když je ten článek zbytečně bulvární, tak kdybys sis to přečetl celé, zamyslel se nad tím a pokusil se to pochopit, tak by ti bylo jasné, že to pouze znamená povinné zavedení dvoufaktorové autentizace, což už dneska většina bank používá, typicky se bude jednat o heslo a něco dalšího (potvrzovací SMS nebo RSA token nebo potvrzení v mobilní aplikaci). Ta biometrie jsou pouze další možnosti pro jeden z faktorů, nikoliv povinnost.

[dockalacek]

Vychladni, chlapče. Nazývat mě tupcem je docela drzost, nemyslíš? A kde máš jistotu, že bude stačit telefon. Pokud ano, jedině dobře. Ale co když zrovna má banka se s telefonem, coby nejjednodušším prvkem, nespokojí? I v té reportáži včera se MF dušovalo, že nepůjde o povinnost, záleží prý na bance, jestli bude další údaje vyžadovat. Ale nazývat jsi mě tupcem nemusel.

[xtonda]

Rád nazývám věci pravými jmény, ale když to uráží tvůj jemnocit, tak sem to přeformuloval.

Je to tam napsáno jasně, bude potřeba využít dva prvky ze tří kategorií kde biometrie je jedna z kategorií.

(3) Silným ověřením uživatele se pro účely tohoto zákona rozumí ověření, které je založeno na použití alespoň 2 z těchto prvků:

a) údaje, který je znám pouze uživateli,
b) věci, kterou má uživatel ve své moci,
c) biometrických údajů uživatele.

In PSD2 2-factor authentication is defined as a must for SCA. Therefore authentication procedures must be based on the use of two or more of the following elements – categorised as knowledge, ownership and inherence:

1. something only the user knows, e.g. static password, code, personal identification number;
2. something only the user possesses, e.g. token, smart card, mobile phone;
3. something the user is, e.g. biometric characteristic, such as a fingerprint.

[fremantle]

A kde máš jistotu, že bude stačit telefon. Pokud ano, jedině dobře.

Vždyť sis sám odpověděl přímo tím, že jsi nalinkoval ten článek, zřetelně je v něm psáno tohle:

(3) Silným ověřením uživatele se pro účely tohoto zákona rozumí ověření, které je založeno na použití alespoň 2 z těchto prvků:
1.a) údaje, který je znám pouze uživateli,
2.b) věci, kterou má uživatel ve své moci,
3.c) biometrických údajů uživatele.

(4) Prvky podle odstavce 3 musí být vzájemně nezávislé a prolomení jednoho prvku nesmí ovlivnit spolehlivost prvků ostatních. Postup ověření musí zabránit zneužití prvků, které jsou k ověření používány.

Pokud se ověřuješ u banky přihlašovacím jménem a heslem (něco znám, resp. bod 1 je splněn) a současně SMS klíčem doručeným na mobilní telefon (něco mám, resp. bod 2), tak "silné ověření" ve smyslu výšeuvedeného je splněno.

[dockalacek]

Vidíš, a to jsem zrovna četl, a to hned několikrát. Jde mi o to, jestli bude na mé libovůli, který z těchto prostředků si vyberu, budu mít tedy na výběr, nebo to bude pevně dané, kdy například bance A bude stačit SMS, bance B token, C bude chtít mé selfie a banka D otisk prstu. Chápeš?

[fremantle]

Pokud si banka zmyslí, že bude k ověření používat třeba jméno+heslo a otisk prstu ze čtečky laptopu, tak tím splní podmínku silného ověření (pokud bude banka přesvědčena, že to k jednoznačné autorizaci klienta stačí, samozřejmě v případě nějakého problému může mít soud, či finanční arbitr na použitou bezpečnost jiný názor), s tím ale ty neuděláš nic (leda můžeš změnit banku).

[xtonda]

Pochybuji, že zákon bude nařizovat, že banka nesmí požadovat biometrii, když to klient nebude chtít. Už dneska se v některých bankách bez mobilu nikam nedostaneš, naopak Sberbank ti prostě natlačí RSA token.

Tohle bude na obchodním rozhodnutí banky a pochybuji že by banky vyžadovaly biometrii, tím by si odradily dost klientů.

[dockalacek]

A kde máš jistotu, že bude stačit telefon. Pokud ano, jedině dobře.

Vždyť sis sám odpověděl přímo tím, že jsi nalinkoval ten článek, zřetelně je v něm psáno tohle:

(3) Silným ověřením uživatele se pro účely tohoto zákona rozumí ověření, které je založeno na použití alespoň 2 z těchto prvků:
1.a) údaje, který je znám pouze uživateli,
2.b) věci, kterou má uživatel ve své moci,
3.c) biometrických údajů uživatele.

(4) Prvky podle odstavce 3 musí být vzájemně nezávislé a prolomení jednoho prvku nesmí ovlivnit spolehlivost prvků ostatních. Postup ověření musí zabránit zneužití prvků, které jsou k ověření používány.

Pokud se ověřuješ u banky přihlašovacím jménem a heslem (něco znám, resp. bod 1 je splněn) a současně SMS klíčem doručeným na mobilní telefon (něco mám, resp. bod 2), tak "silné ověření" ve smyslu výšeuvedeného je splněno.

No vidíš, tohle mi uniklo. Já to bral tak, že bod 1 už přece funguje, pokud máš pravdu, tak plaším zbytečně. Já to bral tak, že k současnému ověřování pomocí jména, hesla a autorizace platby SMS, přibude ještě jedno ověřování, právě pomocí otisků prstů, tokenu, selfie, že to bude jako navíc. Vy s Tondou tvrdíte, že dnes už to vlastně probíhá, tak nechápu, proč o tom včera informovali jako o nějaký tragédii. Já to pochopil, že to bude nadto, k současnému stavu přibude ještě nějaká forma autorizace - token, selfie, otisk prstu - protože stávající fungování někomu přijde nedostatečně bezpečné.

[xtonda]

Dnes to drtivá většina bank u nás používá dobrovolně, protože pouhé heslo je příliš snadné zneužít. Ale je možné, že jinde v Evropě jsou za opicemi. Takže PSD2 v tom dělá pořádek, prostě to bude povinné pro všechny.

[dockalacek]

Takže mysliš,že pokud se dnes přihlašuji jménem, heslem a platbu potvrzuji smskou na hloupém mobilu,že ani v budoucnu se pro mě nic měnit nemusí?

[xtonda]

Ten zákon je pracovní verze a co vymyslí v bankách se teprve uvidí. Ale vyžadování biometrie, jak ten předpis chápu, není vynuceno a je to natolik odrazující, že skutečně velmi pochybuji, že by to banky samy od sebe začali po klientech požadovat.

[astrapa]

Ad autorizace přes selfie.

Používal jsem dlouho vkontakte.ru - před časem někdo hacknul tisíce účtů a provozovatel napadané účty hromadně bloknul. Taky mě to postihlo. Aby účet odblokovali, požadovali, že se musí uživatel vyfotit s občankou nebo pasem v ruce. Na to jsem se jim vyprdl, bůhví, co by s tím pak dělali a skladovat na ruských serverech svojí fotku s občankou se mi nechtělo, takže jsem bohužel o účet přišel.

Nicméně skoro každý týden někam posílám naskenovanou občanku - bankám, hostingům, registrátorům domén, obvykle do zahraničí. Na tento způsob autorizace jsem si musel zvyknout. Takže jestli něco podobného zavedou i banky u nás, nebudu se divit.

[dockalacek]

Hm, asi jsem paranoidní, ale ta reportáž mě vyděsila. Tajně doufám, že budou mít pravdu tonda s fremantlem. Pokud ne a v budoucnu se u nás budou muset lidi autorizovat při placení elektronicky ještě dalším způsobem, stejně se s tím asi nic neudělá. Kdo to bude chtít používat i nadále, musí se s tím smířit, nebo se na elektronické platby vykašlat. Mně jde spíš o princip, o svěřování dalších údajů a zbytečné prudění lidí. Mně by například vyhovovalo, kdyby vše zůstalo při starém, tedy ověřování smskou. Svoji držku fotit nechci, kupovat token, no nevím. Uvidíme, nechme se překvapit.

[fremantle]

Jelikož regulace PSD2 bude závazná i v zemích, kde je bankovní sektor tvořen stovkami malých "kampeliček", raiffeisenek a sparkasse, z nichž mnoha z nich používají (z našeho hlediska) různé obskurnosti jako TAN kódy distribuované na papírcích, či GRID karty pro svá starožitná IB na styl 90. let a pořád tu podmínku silného ověření splní i po přijetí příslušných právních rámců, tak si nemyslím, že se ani u nás něco zásadního změní, je to jen bulvár...