mBank

[vpe]

Nesmysl. Nemusel. Ty nemáš účet v rajfce, funguje to stejně od cca 1999 (předtím měli kalkulačky) a co musíš znát? Jen 2 údaje a přece je to 100% bezpečnější, proč asi!

Bylo to asi takto, paní majitelka si na papírek napsala jméno a heslo a papírek měla povalovat v bytě. Došlo opakovanou realizací předdefinovaného příjemce (který byl vytvořen s vypnutým SMS potvrzováním) k odčerpání jejích peněz jen na základě papírku a ona už dobře ví i komu, ten první příkaz patrně sama vytvořila...

[SocPredator]

Jaký je podle Vás strop, kolik držet na osobním účtě a co už dávat někam jinam?

To je individuální, ale ta paní nevypadala na hladinu kolem 100k. Možná nemá žádný další účet, tak jí nic jiného nezbývá.
Někdo vám poradí 1 výplatu, někdo až 3x výplatu a Patrik by určitě vytáhl také zajímavé trojmístné číslo. Pro mě je to cca 10-15tis. větší peníze už obvykle není nutné mít k dispozici do 24hodin. Samozřejmě pokud je někdo high society, tak si za ten můj limit přidává nulu apod.

Další věc jsou kreditní karty, které nutnost držení hotovosti na běžném účtu také výrazně ovlivňují.

[lemming]

Nesmysl. Nemusel. Ty nemáš účet v rajfce, funguje to stejně od cca 1999 (předtím měli kalkulačky) a co musíš znát? Jen 2 údaje a přece je to 100% bezpečnější, proč asi!

Bylo to asi takto, paní majitelka si na papírek napsala jméno a heslo a papírek měla povalovat v bytě.

Tak polopaticky:

- Paní nechá po bytě povalovat papírek se jménem a heslem do mB a mobil
- Já nechám po bytě povalovat papírek se jménem a heslem do RB a mobil

Jak je RB bezpečnější? Nijak, v obou případech mi nálezce může dělat s účtem co se mu zamane. Jediný rozdíl je, že RB neumí vytvořit šablonu bez potvrzování, ale to se způsobem posílaní SMS (zabezpečené / nezabezpečené) nemá co dělat.

Ano, šifrované SMS jsou obecně o něco bezpečnější, ale ne o tolik, aby se bankám jejich implementace vyplatila.

[PatrikChrz]

Mobily nejsou zrovna moje oblast zájmu, může mi tedy někdo pricip šifrovaných SMS vysvětlit? Jestli jsem to správně pochopil, tak to funguje přes SIM Toolkit, který vygeneruje nějaký šifrovací klíč, který je sdělen bance a ta pomocí něj SMSky šifruje.
Pokud ale někde nechám mobil válet, tak jsem stejně v )|( ne? Případný nálezce si SMSku stejně přečte.
Pokud je tam při každém přečtení takové SMSky třeba zadat (BPIN) a nejde to nastavit tak, "aby to neotravovalo", je možné že osoba, která někde nechá válek papírek s přihlašujícími údaji, tak nejspíš na stejném papírku bude mít i BPIN, ne?
Jaký je tedy praktický rozdíl mezi šifrovanou SMS a automatickým nastavením zamykáním klávesnice na mobilu? Na druhou stranu je nějaké omezení na straně příjemce - např. že by jeho mobil nemusel chtít se šifrovanými SMS splupracovat?

[lemming]

Mobily nejsou zrovna moje oblast zájmu, může mi tedy někdo pricip šifrovaných SMS vysvětlit? Jestli jsem to správně pochopil, tak to funguje přes SIM Toolkit, který vygeneruje nějaký šifrovací klíč, který je sdělen bance a ta pomocí něj SMSky šifruje.

Jojo, tak nejak to funguje.

osoba, která někde nechá válek papírek s přihlašujícími údaji, tak nejspíš na stejném papírku bude mít i BPIN, ne?

To byl přesně můj argument pro VPE

Jaký je tedy praktický rozdíl...

Jednak jsou tu případy, kdy má někdo přístup k mému mobilu a zná přihlašovací údaje do IB. Třeba člen domácnosti, co nainstaloval keylogger na společný počítač.

Eventuelně pokud mi někdo odposlechne heslo a následně mi cíleně mobil ukradne. Těm se dá předejít tím zamykáním mobilu (ale teda nevím, jak moc je neprůstřelné).

Pak jsou tu věci typu že někdo zná moje heslo a donutí můj mobil se připojit na jeho falešnou BTS, nebo umí jinak číst SMSky (vyhackoval mobilního operátora).

Ale to jsou povětšinou dost nepravděpodobné případy, proto píšu, že zlepšení zabezpečení není moc velké.

SIM toolkit by snad měl být docela kompatibilní, alespoň nevím, že by s tím eBanka měla nějaký výrazný problém.

[vpe]

K zamykání mobilu musíš přidat i PIN ON na SIM kartě, jinak je to zjevně k ničemu. Problém se šifrovanými SMS žádný není, umí to každý telefon poslechních 10 let.
---
Přihlašovací jméno je napsané na smluvních papírech obecně u každé banky.

Bpin je snadněji zapamatovatelný údaj a nená důvod si ho nikdo psát po papírkách, stejně tak login u RB, kde si může vybrat svůj, co si zapamatuje, nebo prakticky libovolný, navíc při odcizení SIMky, při loupežném přepadení, když jste u počítače atp., je to stále zabezpečeno.

Vycházejme z toho, že v tomto případě k použití mobilu vůbec nedošlo, ale někdo se jen přihlásil a odmačkal autorizovanou šablonu. Paní posílala první platbu někomu z rodiny a udělala to formou šablony, která netřeba následně potvrzovat SMSkou. Možná po tomto zruší ty předpodepsané šablony?

A to nezmiňuji možné sofistikované útoky, kdy v GSM síti (na rozdíl od UMTS), ten klíč lze zachytit, teď mluvím zejm. o bankách, kt. si ty klíče posílají ůpřes vlastní GSM bránu, takže je zachytíte ještě před odesláním (buď na lokaci odesílání nebo u příjemce), stačí vědět odkud a na jaký mobil. Tohle v GSM síti umí školák, s rainbow tabulkami snad i v téměř reálném čase. Jo vlastně to je o příspěvek výše.

Výsledek - zabezpečené SMS jsou výrazně vyšší zabezpečení jak nezabezpečené, tečka! Pokuď mbank nemá logoff 3 minuty, jako má Axa, no tak přece stále hrozí, že si v práci odskočíte, mobil necháte na stole a ...

[S474N]

Je to zajimave, ted jsem si pohledem do mBank overil, ze i v pripade odchozi platby v ramci mBank tato nezobrazi jmeno prijemce.

To je individuální, ale ta paní nevypadala na hladinu kolem 100k. Možná nemá žádný další účet, tak jí nic jiného nezbývá.

Pani nevypadala? To nedokazu posoudit, ale stacilo se podivat na ten nabytek v "pozadi" a musi ti byt jasny, ze prodavacku za kasou asi delat opravdu nebude.

Tak polopaticky:
- Paní nechá po bytě povalovat papírek se jménem a heslem do mB a mobil
- Já nechám po bytě povalovat papírek se jménem a heslem do RB a mobil
Jak je RB bezpečnější? Nijak, v obou případech mi nálezce může dělat s účtem co se mu zamane. Jediný rozdíl je, že RB neumí vytvořit šablonu bez potvrzování, ale to se způsobem posílaní SMS (zabezpečené / nezabezpečené) nemá co dělat.

Ano, šifrované SMS jsou obecně o něco bezpečnější, ale ne o tolik, aby se bankám jejich implementace vyplatila.

Tak v druhem pripade je pochopitelne ROZDIL, protoze pri prijmu SMS clovek musi zadat dalsi zabezpecovaci prvek a to tzv. bankovni PIN (BPIN). Bez neho si tu SMS neotevres a tudiz nemas jak autorizovat transakci. Jinak to same probiha i pri prihlasovani do IB, kdy je pristupovy kod zasilan opetovne na mobil, takze si na papirku login/heslo opravdu nenechas (pokud tedy nemas certifikat a tam uz se jaksi predpoklada, ze vis "o co go").

[voshi]

Pamatujte si, že nesmíte s nikým sdílet hesla a telefonní čísla, která používáte pro přihlášení do svého internetového bankovnictví. Zvolená hesla není třeba obnovovat a jejich platnost nikdy nevyprší. Řeší se tu ta bezpečnost, žejo. Tak tato zpráva platí pouze pro Polsko

[dr._lukas]

http://ekonomika.idnes.cz/mbank-ziskala ... oakcie_fih

Vtipné

[voshi]

Zase solidní reklama na idnesu
a pěkný číslo - téměř 700,000 účtů, jedeme na kvantitu

[vpe]

ja mam 6 uctu s prumernym zustatkem asi 200,- Kc na vsech

[voshi]

To bude asi vono
3 účty s průměrnými hodnotami 0,10Kč ojediněle a nárazově do stovky.

[PatrikChrz]

Já nemít kreditku, tak nemám na mých 7 účtech žádný zůstatek ani pohyb.

[vpe]

myslel jsem prumerny zustatek ale dohromady na vsech uctech za posledni kvartal

[DoubleSix]

Zase solidní reklama na idnesu
a pěkný číslo - téměř 700,000 účtů, jedeme na kvantitu

mBank totiž zapomněla na jednu věc, banky se neporovnávají počtem klientů, ale dle jiných kriterií, kde mBank hodně selhává - bilanční suma, zisk, ROA, ROE, kapitálová přiměřenost, cost to income ratio, ....