Autoriizace SMS není dostatečně bezpečná? Tomu rikam paranoia, mně se zdá jakákoliv autorizace krom loginu a hesla nadbytecná, zdržující, uživatelsky nepřivětivá, obtěžující, ...

Např. přistup do Fio e-broker mam jen přes login a heslo, i transakce bez zdržujících autorizačních SMS, prostě paráda.

A také nechapu, proč by měla ČNB dohližet na zabezpečeni přistupů do internetového bankovnictví. To přece není v její pravomoci, to si každá banka může dělat, jak se jí zachce.

Kdo tak asi mohl ten přístup povolit? Že by ten, kdo se ze služebního notebooku přihlašuje do svého IB?

Jantare: Naprosto zbytecny prispevek...
Uplne stejne funguji i jine banky.
Pokud se Vam to nelibi, tak je potreba zmenit banku na tu, podle Vas, lepe zabezpecenou (popr. nepouzivat nezabezpeceny notebook)
A bez urazky, ale z toho co pisete jasne vyplyva, ze jedine bezpecnostni riziko jste Vy sam, a je smutne, ze si to ve sve pracovni pozici neuvedomujete...

Jantare: Koukám, že místní diskutující to bagatelizují stejně jako banka - asi jste se dotknul nedotknutelného....
Zkuste se (přes Twitter) spojit s Michalem Špačkem a problém mu popsat. Myslím, že jako bezpečnostního experta ho to bude zajímat a také má nějaké jméno a mohl byste získat celkem dobrou oporu. Je pravda, že popsaný scénář vyžaduje poměrně dost "náhod", ale to nic nemění na faktu, že pokud banka deklaruje jistou bezpečnostní funkci (v tomto případě "autorizovaný prohlížeč"), musí to bez pardonu fungovat. A pokud se k tomu staví zády, tak bohužel sbohem a šáteček.... Je pravdou, že dnes je již standardem nevyžadování hesla, ale rovnou druhého faktoru (RB, ČS, AirBank....). Bohužel, FIO je se současnými trendy dost na štíru (což ale mnohým vyhovuje a já jim to neberu).

@ Doc. Chocholoušek: myšleno https://www.michalspacek.cz/ ?
Jinak na bagatelizace jsem samozřejmě zvyklý. Samozřejmě že kulturní úroveň zabezpečení je otravná a zdržující a leckdy i uživatelsky nepřívětivá (např. abych se někam přihlásil musím otevřít password manager, ten ovšem třeba nejdřív žádá ověření že ho mohu otevřít z nové neznámé lokace apod...). SMS dnes fakt již nestačí, tedy pokud používáte chytrý telefon. Malware na SMS je moc a nemůžete 100% zaručit že nějaké takové svinstvo nechytíte. Navíc nikdo z nás není 100% odolní na phishing/pharming/vishing apod. Řekl bych, že poslední dobou nemine týden, abych se nedozvěděl, že někdo z mého okolí nepřišel o obsah svého bankovního účtu a bude nepochybně hůř. Za této situace je nezbytné, aby bankovní instituce fungovaly na jedničku. Mimochodem mě k hlubšímu zájmu o své účty přivedl i tento případ, https://www.ceskatelevize.cz/ivysilani/ ... 10/titulky, kde shodou okolností se tento případ týká mého kolegy a mohu říci, že neveřejné informace, které od něj mám jsou také velmi tristní. V poslední době jsem se soukromě poprvé nachomýtl k takové "prkotině" jako je unesený FB a musím říci že i když mám povědomí tak mě to taky dost dostalo - do této chvíle se nám nepodařilo ten účet ani zpátky převzít ani dostat pod kontrolu. Ten člověk má slušný peklo, výslech na policii atd. A to je "jen" FB....
Ohledně toho, jestli by to mělo ČNB zajímat: to si nejsem jistý, já vyhodnotil že ano, že součástí dohledu nad bankovním sektorem je i security audit a já jim předal informaci o zásadním opakovatelném bezpečnostním selhání s podezřením na základní systémová pochybení uvnitř banky, to by je mohlo zajímat............ mimochodem víte, co dnes musí všechno z hlediska security a úniku dat normy TISAC musí splnit jakákoli firma, která se pohybuje v automotive? .........
Závěrem pro pochybovače: potkal jsem v životě dost lidí, co na bagatelizaci bezpečnosti nějak doplatili, ale ať vzpomínám jak vzpomínám, nepamatuju si, že by někdo z nich po té špatné zkušenosti neřešil dál............... ale jo, samozřejmě že vám rozumím, on si člověk těžko dovede představit co mu hrozí než se to stane.... kupříkladu já: léta bydlím v místě kde se to hemží kunama, myslíte, že mě napadlo, že se podívají také na mé auto? Ani náhodou, a ani zpětně neumím vysvětlit proč. Dnes tuším, že se holky hezky na motoru roky vyhřívaly něž si jedna začla hrát. Cca 20t ta sranda stála pojišťovnu a mě spoluúčast a nervy a dnes mám také "přiměřené" zabezpečení. Každý děláme chyby, je třeba se neustále vzdělávat a poučit se z chyb....

Jako pokud vám
1. Ukradnou laptop
2. Ukradnou heslo
3. Unesou sms komunikaci

tak to už je prostě moc.
Navíc, u Fio máte ještě pořád možnost použít podpis místo sms nebo aplikace, takže máte možnost si to lépe zajistit, narozdíl od jiných.

Tak velmi pravděpodobně, vtip je v tom, že si toho nejsem vědom, když jsem přešel na mobilní aplikaci tak jsem zápisy prohlížečů důsledně mazal........problém je i v tom že je to hrozně neergonomické a kupříkladu v mobilní aplikaci při přihlašování do IB si můžete tak nešťastně škrtnout že si ten prohlížeč zapíšete aniž byste tušili.....samozřejmě nareportováno v rámci analýzy, jestli zaimplementují úpravu pochybuji, takovéto podobné "drobnosti" jim čas od času reportuju a nic....

-- 13. 10. 2021 21:18 --



To není moc. Ukrást heslo a unést SMS komunikaci na telefonu může být klidně v rámci jedné akce a ten ukradený notebook jsem dal jako příklad, já nemůžu tušit jak přesně problém vznikl, takže klidně by se mohl nechat tento zápis podvrhnout.......

Možnost digitálního podpisu je, ale můžete mi tady a teď odpřisáhnut že bude vždy vyžadován, když v mém případě je vyžadována aplikace a pak se objeví přístroj na kterém to tak není, přičemž banka tvrdí že s tím nedokáže nic udělat?

A co bys chtěl víc, aby to ještě bylo dost přístupné?

Takže podpisy prohlížečů byly mazány až po přechodu na aplikaci, nikoliv před přechodem?

Klientka RB z reportáže ČT je security kolega?

Byly mazány nejdéle při přechodu na aplikaci. Osobně ale netuším co tam ten záznam dělá, rozhodně jsem nepoužíval vědomě podepsané prohlížeče na jiném než domácím PC.....

Klientka z reportáže rozhodně security kolega není

Anonymní okno (in private atd.) by neřešilo problém? Vím otravné, pokaždé zadat heslo atd, ale imho bezpečné v rámci možností.

Ten příspěvek mi přijde drobně logicky mimo. Když chci nějakou superbezpečnost, tak si nenechám jméno a heslo zapamatovat (kromě toho mám na notebooku přístup přes otisk). O unesení sms se občas píše, ale to považuji za ne moc reálný scénář a dávám jim přednost před mobilní aplikací (která vyžaduje připojení k internetu z telefonu s děravým OS).

Jinak Fio umožňuje myslím si dost solidně a různými způsoby nastavit přístup do IB i brokeru i s různým potvrzováním transakcí. Sláva Bohu.

Zmiňovaná analýza problému bude zveřejněná kdy?

Už jsem řešil opravdu dost případů, kdy lidi přišli o peníze na účtu, vždy byla hlavní příčina hloupost uživatele, nikdy nedošlo k unesení autorizační SMS, vždy jí hloupý uživatel sám přeposlal např. přes fcb, k tomu byl schopný přidat klidně i fotku platební karty, na fcb je vůbec asi nadměrný výskyt hlupáků. Nebo si uživatel sám nainstaloval podle pokynů pachatele do svého PC program na vzdálené ovládání PC a povolil mu přístup, apod. Proč by pachatelé unášeli SMS a lámali přístupová hesla, když je jednodušší je vylákat např. přes fcb? Veškeré tyhle autorizační SMS a jiné nadbytečné zabezpečeni akorát způsobují, že se hlupáci cítí na internetu moc bezpečně, a je pak jednodušší je oklamat. Na lidské hlouposti se dá vydělat nejvíc, vždy to tak bylo a vždy to tak bude, ať má hlupák zabezpečení od banky jakékoliv, vždy půjde oklamat.
https://www.kurzy.cz/zpravy/607706-chteli-rychle-zbohatnout-na-bitcoinu-melnicti-kriminaliste-resi-3-pripady-podvodu-tykajici-se/

Však já jsem si ho úmyslně nezapamatoval. A přes unesenou SMS komunikaci zřejmě došlo k odpárování mobilního klíče z IB v té reportáži, kde tuším stačilo ovládnout jednu SMS na proniknutí dovnitř a potom druhou na odpárování mobilního klíče, od té chvíle měl útočník účet plně pod kontrolou.

-- 14. 10. 2021 07:24 --



nevím, ještě jsem se nerozhodl kde, jak a zda vůbec. Nemám na tom konkrétní škodu ani zájem, stačí mi změnit banku. Musím si sám vyřešit jestli veřejný zájem zvítězí nad mou pohodlností.

-- 14. 10. 2021 07:33 --



Tak možná bych nějaká slůvka pozměnil ale v podstatě se pod to můžu podepsat také. Jasně, že většina aktivních útoků probíhá přes hloupého uživatele a může si za to sám. Problém ale vidím v tom, že se čím dál tím víc nejedná o hloupé uživatele, ale o "hloupé". Proč v uvozovkách? Protože útoky jsou čím dál tím rafinovanější a opravdu nikdo z nás není 100% odolný proti phishingu apod. Reálně nám teď nastupuje vishing a ono je fakt těžké si za všech okolností uvědomovat základní pravidla předávání informací. Dříve nebo později vás někdo dostane trikem posílení důvěry (sám bych mohl vyprávět) a jakmile se mu to podaří má vás v hrsti. Proto je důležité mít dostatečnou úroveň zabezpečení, např. pokud ukládám jméno/heslo ve spolehlivém password manageru a přístup autorizuji pomocí aplikace, tak by musel útočník prolomit tu aplikaci což je problém o řád někde jinde než unést SMS (ale hlavně je to problém banky ne můj)....