FIO

Běžné účty, spořicí vklady, termínované vklady, studentské účty, platební karty, přímé bankovnictví

Moderátor: Moderátoři FinExpert.cz

Odeslat příspěvekod vlazy 22. 8. 2018 13:49

Před chvíli jsem si měnil heslo do smartbankingu což je třeba potvrdit autorizačním kódem z SMS a byl mi zaslaný 8-místný číslicový kód. Takže není to ani 10-místné, ani 6-místné číslo tak jak tu někteří tvrdíte, ale pouze 8-místné číslo, což není žádná tragédie.
Nyní se dívám do IB FIO a vidím tam u každé nastavené šablony možnost zrušení nebo přidáni jejího podpisu. Ani přesně nevím co to konkrétně je, ale předpokládám, že se tím dá nastavit nebo zrušit to potvrzování použití šablony tím číslem z SMS. Tím by to byla vychytávka i FIO a ne pouze Air bank.
Ze zpupnosti vzniká jen hádka, kdežto u těch, kdo si dají poradit, je moudrost.
Bible - Přísloví 13:10
vlazy
Diskutér

Odeslat příspěvekod libol 22. 8. 2018 14:51

radecekh píše:Fio má samozřejmě šestimístný autorizační kód, nikoli desetimístný.

No tak to není/nebylo - při zakládání FIO jsem si volil jak dlouhý má potvrzovací kód být. Pokud si lemming zvolil desetimístný, opisuje desetimístný.
libol
Diskutér

Odeslat příspěvekod minarjo 22. 8. 2018 16:16

Přesně tak, u Fio si lze ve smlouvě při zakládání účtu na pobočce délku SMS číselného kódu zvolit, minimum je tuším 6 cifer. Podobně (na stejném místě smlouvy) se volí přihlašovací uživatelské jméno. Pokud tu možnost někomu při zakládání účtu nenabídli, tak z jejich lenosti a nechali tam nějakou default hodnotu. I ta by snad měla být ve smlouvě vidět.
minarjo
Diskutér

Odeslat příspěvekod Pezos 22. 8. 2018 16:33

Kromě délky SMS kódu (default je 8 ) se dá zvolit i počet pokusů pro zadání kódu (default je 3) a je tam i doba platnosti kódu po odeslání bankou (to bude ale jen informativní hodnota bez možnosti změny).
Pezos
Návštěvník

Odeslat příspěvekod funkcorp 22. 8. 2018 17:03

To Jisy :
V IB FIO lze skutečně nadefinovat vlastnost šablony (případně i včetně maximálního objemu plateb za období) , která umožní odeslat platbu bez nutnosti potvrzovat potvrzovacím kódem (jak uvádí správně Vlazy). Osobně to ale využívám raději jen u "bezpečných" příjemců.
funkcorp
Kolemjdoucí

Odeslat příspěvekod lemming 22. 8. 2018 22:59

Teď jsem to ověřoval a opravdu mi posílají desetimístná čísla. Jestli se to někde volilo netuším, mám Fio už přes deset let. Respektive na začátku umělo co se pamatuju jen certifikáty, SMS přišly až později a doplňoval jsem si je k účtu. Možná ta délka na začátku volitelná nebyla.

A co se týče bezpečnosti, i když to z laického pohledu vypadá neuvěřitelně, tak potvrzování v mobilní aplikaci je opravdu bezpečnější (a pohodlnější), než přes kódy v nijak nezabezpečených SMS.
lemming
Diskutér

Odeslat příspěvekod Lenka_2 22. 8. 2018 23:30

lemming píše:potvrzování v mobilní aplikaci je opravdu bezpečnější (a pohodlnější), než přes kódy v nijak nezabezpečených SMS


To je otázka. Já mám mobily dva - dvě různé SIM karty dvou různých operátorů. Na jednom mobilu mi běží aplikace s bankovnictvím a na druhý přijímám SMS s kódy. Čili plnohodnotná dvoufaktorová autentizace.
Promokódy v profilu.
Lenka_2
Diskutér

Odeslat příspěvekod 1.5TSI 23. 8. 2018 06:44

Jo, ale paranoia se da take lecit, po vyleceni ti bude stacit jen jeden mobil. ;-)
1.5TSI
Diskutér

Odeslat příspěvekod PatrikChrz 23. 8. 2018 08:57

Lenka: mám to podobně. Autorizační SMSky jen na "hloupý" telefon :)
Nekupuji si věci, které nepotřebuji nebo které se mi nelíbí, abych udělal dojem na lidi, kteří mě stejně nemají rádi.
PatrikChrz
Administrátor
Uživatelský avatar

Odeslat příspěvekod lemming 23. 8. 2018 09:51

Proti přesměrování SMS na úrovni operátora hloupý telefon neochrání. Protokol mezi operátory není nijak zabezpečen, takže se dá telefon "unést" jinam. A není to jen teoretická možnost, už jsem o úspěšném útoku na potvrzovací SMS přes tohle četl (nebyl u nás).
lemming
Diskutér

Odeslat příspěvekod jichaj 23. 8. 2018 18:42

delka sms klice se dala volit.. nejmin bylo 5cisel...jak je to ted netusim(zridil jsem to kdyz to zavadeli)
jichaj
Diskutér

Odeslat příspěvekod S474N 23. 8. 2018 19:25

5 je opravdu minimum.
citát dne: "Kde jde o vteřiny, je Policie na místě během několika minut."

"Neozbrojený člověk může před zlem pouze utéct, a zlo není přemoženo tím, že se před ním utíká."
S474N
všude byl, všechno zná
Uživatelský avatar

Odeslat příspěvekod MaVicz 24. 8. 2018 09:04

lemming píše:Proti přesměrování SMS na úrovni operátora hloupý telefon neochrání. Protokol mezi operátory není nijak zabezpečen, takže se dá telefon "unést" jinam. A není to jen teoretická možnost, už jsem o úspěšném útoku na potvrzovací SMS přes tohle četl (nebyl u nás).


Nejde jenom o tom, že člověk závisí na tom, že se nikomu nepodaří social engeneeringem přesvědčit libovolného zaměstnance operátora k vydání nové simky s daným číslem. I samotný protokol, přes který se sms odesílají, obsahuje chyby*. Proto již 2 faktorová sms autentizace není doporučovaná NISTem*.


1) https://www.schneier.com/blog/archives/2015/08/ss7_phone-switc.html
2) https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2-factor-authentication-over/
MaVicz
Kolemjdoucí

Odeslat příspěvekod 1.5TSI 24. 8. 2018 09:23

Paranoicke povidacky. ;-)
1.5TSI
Diskutér

Odeslat příspěvekod Lenka_2 24. 8. 2018 11:42

Ten potvrzovací kód je přece unikátní a lze jím potvrdit jenom tu moji konkrétní transakci, ke které byl vygenerován. Pokud se ho někdo zmocní, tak s ním nezmůže nic jiného, než že jím může potvrdit tu moji transakci. Pokud by změnil parametry té transakce (třeba číslo účtu příjemce), tak už na její potvrzení ten kód fungovat nebude. Takže v čem je to nebezpečí?
Promokódy v profilu.
Lenka_2
Diskutér

Předchozí stránkaDalší stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků