RB – zrušení MC internet card

Ta RB je banda ....., mám mít ještě půl roku platnou MC internet card a oni mě ji zruší, prý mě to psali v prosinci (tj zruseni bylo plosne pro vsechny od 1.8.2022). Podpora na chatu drzá a vysměvačná. Nová karta příjde kdo ví kdy a při pokusu platit na amazonu (CVV2 nechtěj) přes kartu u osobního účtu mě to přesměrovává na nějaký asi 3D secure kde mám zadat kód, který se mě nikde neobjeví.Appku na mobilní bankovnictví odmítám (asi budu muset změnit názor), protože mobilní appka je v zásadě pouze 1FA (namísto 2FA v případě počítače a sms k tomu), a oni naopak tvrdí, že se tím zvyšuje bezpečnost. Webové stránky dělam profesionálne 20 let, mobilní appky 7. V internetovém bankovnictví ten 3D secure kód nikde není.Nevíte, zda např KB ci fio to mají nějak normálně?

ten kód se zobrazuje v té mobilní appc, případně myslím, že mají pořád aplikaci RB klíč. Není to 1FA, je to 2FA, důvod je rozdílné kanály přenosu rozdílně získaných informací a nikoliv jestli mám jedno nebo dvě zařízení.

O zrušení MC opravdu psali všem, také mi to přišlo. To, že RB je spíše tragická banka se přít nebudu, s privátním bankéřem a jejich VIP programem ale fungují poměrně solidně, proti ostatním.

Napsal TomášX;1648939

ten kód se zobrazuje v té mobilní appc, případně myslím, že mají pořád aplikaci RB klíč. Není to 1FA, je to 2FA, důvod je rozdílné kanály přenosu rozdílně získaných informací a nikoliv jestli mám jedno nebo dvě zařízení.

Sorry, ale pokud k bankovnictví přistupuju přes mobil a 2FA je stále na jednom a tom samém zařízení není to za mě 2FA. Při kompromitaci jednoho zařízení je hotovo, tudíž 1FA. Právě že na webu píšou, že to najdu i v internetovém bankovnictví, ale nenašel jsem.---------- Příspěvek doplněn 03.08.2022 v 10:12 ----------

Napsal TomášX;1648940

O zrušení MC opravdu psali všem, také mi to přišlo. To, že RB je spíše tragická banka se přít nebudu, s privátním bankéřem a jejich VIP programem ale fungují poměrně solidně, proti ostatním.

Oni ty banky pořád něco píšou, pořád vnucují statisícové půjčky a pořad něčím otravují, ale to že by nabídli na jedno kliknutí obnovení té rušené karty alternativou to ne.---------- Příspěvek doplněn 03.08.2022 v 10:19 ----------Android appky běžné umí típat screenshoty, běžné umí naslouchat na to kam se kliká, appky umí běžet na pozadí a přitom být částečně v překryvu přes viditelnou obrazovku, atd.. To píšu jako někdo se zkušeností z vývoje pro Android.

2FA je zkratka z two factor authentication, factor v tomhle případě je část tajemství, kterou uživatel má, zná nebo jím je. 2FA nic neřiká o tom, že to mají být dvě zařízení. 2FA nechrání proti kompromitaci zařízení, ale proti odposlechu na cestě či prozrazení hesla, je to jen další bezpečnostní vrstva pro přihlášení (a tedy bariéra), neidealizuj to nad rámec běžného výkladu.I pokud máš dvě zařízení, pořád to, kde se přihlašuješ může sloužit jako relay (přepošle heslo a token na zařízení útočníka, který to použije) či proxy (např. plugin v prohlížeči bude zaměňovat platební údaje, které zadáváš do formuláře v bankovnictví) a útočník dostane přístup. Sám píšeš, že získat snímek obrazovky s Androidu a tedy i přeposlat autorizační token někomu jinému je snadné, jaký vliv v tom hraje další zařízení?Já vím, sice nejsem 20 vývojář webů nebo 7 let vývojář mobilních aplikací, ale i tak o tématu mohu něco vědět. Promiň za jízlivou poznámku, chci tím jen říct, že počet let není důležitý, ani to, že něco děláš, pořád můžeš mít v něčem mezery a něco nevědět. Řadu těhle útoků ti mohu ukázat na živo, stejně jako to ukazuji klientům.

Asi takto myslí i ti chytří pánove/dámy v bankách. Já osobně jsem přesvedčen, že kompromitace PC a zárověn mobilu je značně težší než pouze mobilu.I když mě někdo odchytně SMS cestou je mu to k ničemu, heslo zadávám v PC. Pokud někdo kompromituje jen PC tak mu to je k ničemu, v potvrzovací SMS je cílové číslo účtu i částka, pokud nesouhlasí nedám.Takže ano, jsem lama, ničemu nerozumím a jsem blbec protože, očividně dvoufaktor v jednom zařízení je násobně bezpečnější než dvoufaktor ve dvou oddělených zařízeních.Opravdu by mě zajímálo jak by se udělal útok na 2FA v pojětí PC+mobil snáze než útok na "2FA" pouze mobil. Za mě je vítez ve snadnosti jasný.

Ustálená terminologie je důležitá pro vzájemnou komunikaci v oboru, 2FA patří nejen mezi ustálené termíny, ale dokonce termíny definované legislativou. Můžeš mít více implementací, budou se lišit bezpečností, pohodlností, dostupností, pořád to ale bude 2FA a neimplikuje použití více zařízení. Netvrdím, že použití více zařízeních není logicky bezpěčnější, má to své "ale".Tvrdím, že sms není bezpečný faktor a i standard 3D Secure 2.0 se k tomu i tak chová. Sms lze snadno podvrhnout, odchytit, přečíst, SS7 protokol je děravý, stejně tak SMSC pro komunikaci mezi operátory, lze si přesměrovat zprávy k sobě. To, jaký prvek je pro případy bankovního platebního styku bezpečný definuje také rámcově PSD2 (Směrice EU 2015/2366) a hlavně přílohová direktiva SCA. Tam je popsané, co ty faktory v tom 2FA znamenají. Sms nesplňuje požadavky na silné ověření. To je právní rámec, kterým se banky musí řídit. Můžeš si to pročíst, Článek 4, odstavec (30):)„silným ověřením klienta“ ověření založené na použití dvou nebo více navzájem nezávislých prvků z kategorie znalost (to, co ví pouze uživatel), držení (to, co drží pouze uživatel) a inherence (to, čím uživatel je), kdy nesplněním jednoho z nich není ovlivněna spolehlivost ostatních; postup je navržen tak, aby byla chráněna důvěrnost ověřovacích údajů;V daném dokumentu je toho popsaného daleko víc a je to poměrně čtivé, pokud se o problematiku zajímáš.Více zařízení nemusí nutně znamenat vyšší bezpečnost, telefon a PC se často vyskytují v jedné wifi síti, spravuje je stejná osoba, dělá stejné chyby, jsou přítomny řady různých synchronizačních nástrojů nebo stejných aplikací napříč zařízeními a případy, kdy došlo k napadení obou a podvržení transakcí v ČR existují a není jich zrovna málo. Získat obsah sms je relativně snadné (přístup na čtení má kdejaká aplikace, obsah zprávy se částečně zobrazuje v notifikaci, kterou aplikace může vysnímkovat). Získat obsah TAN/OTP token z bankovní aplikace není vyloženě snadné, nemá api, aplikace je schráněna proti snímkování, povinně používá SSL pinning pro zamezení MitM s vlastním CA, datová vět se ještě šifruje nad rámec SSL, kontrolují se IP adresy a případně vyžaduje další stupeň ověření, přitom to je "blbá" aplikace na zobrazení čísla. SMS je možné přes SMSC odchytnout falešnou registrací, děje se.Můžeš se samozřejmě chovat bezpečněji než jak požaduje banka, můžeš samozřejmě změnit banku, nevyhovuje-li ti jejich implementace. Používat více zařízení není špatně, ale 2FA takovou věc nevyžaduje.Pracuji v tomhle oboru, první implementace 2FA v RB mám na svědomí jako architekt řešení (to bylo ještě před sdružením s ebankou), dnes dělám pouze některé bezpečnostní audity na soulad s bezpečnostními standardy, pracuji s více bankami. Nelze dělat bezpečnou bankovní aplikaci aniž by to prošlo více externími audity a tady je právě důležité dodržovat společnou terminologii. Ne vždy jsi schopný sám posoudit riziko, platí, že útočníci jsou velice chytří, jedou hrubou silou a plošně, někdy jim stačí maličkost nebo nepozornost, proto se sbírají data z terénu a podrobně se jednotlivé průniky analyzují, z toho pak vyplývají bezpečnostní odezvy, zrušení sms, nasazení šifrovaného QR kódu místo opisování TAN/OTP z aplikace (např. teď probíhá u KB), postupně se budou přidávat další banky, konečně. Jak ty považuješ za bezpečnější použít sms na mobilu a heslo na PC, já osobně považuji za nesmyl opisování kódu odkudkoliv a jsem rád, že po mnoha letech úsilí se tohle daří posunout dál.

V pořádku, rozumíš tomu, ale máš na to samozřejmě svůj subjektivní názor.Pravda je jediná a nevyvratitelná, bezpečnější je PC + telefon, než pouze telefon. Ustálené termíny na tom nic moc nezmění.Pod 2FA zcela jistě patří/patříl i certifikát jako soubor v PC a heslo, bylo to samozřejmě k méně bezpečné než PC a mobil ale bylo to také 2FA, ale bylo to k ničemu.Sebelépe napsaná aplikace, sebelépe napsaný operační systém bude mít nějaké menší čí vetší díry, to je proste fakt. Žádný software není na 100% bezpečný a neprolomitelný, proto absence druhého zařízení snižuje vždy bezpečnost." Jak ty považuješ za bezpečnější použít sms na mobilu a heslo na PC, já osobně považuji za nesmyl opisování kódu odkudkoliv a jsem rád, že po mnoha letech úsilí se tohle daří posunout dál. "Přesně, je to o pohodlnosti, nikoli bezpečnosti. Mě to tak vyhovovalo a bylo to bezpečné a pro mě i pohodlné.

Ano, obecně může být lepší těch zařízení mít více, někdy se to ale přeceňuje, viz problémy se sms.Historicky u nás byla snad jediná banka, která nabízela OTP kalkulačku, byla to eBanka, musely se do ní přepsat údaje o transakci a ona vrátila časově omezený unikátní kód. Bohužel to uživatelsky bylo poměrně obtížné a u podnikatelských účtů u toho účetní trpěly, klikalo se to pro každou transakci.Dnes všechny banky to dělají úplně stejně, důvod je poměrně striktní vedení od ČNB a NBÚ, jsou mezibankovní skupiny a všechny banky objednávají odborné posouzení u stejných společností, takže všechny banky jedou svoje aplikace a o víc se nesnaží. 3D Secure a další standardy a legislativy dávají sms na vedlejší kolej a v našem prostředí nemáme v obyvatelsku penetrovaný žádný HW token, který by se dal využít, ještě pár let tedy budeme trpět s aplikacemi.Sám usiluji o využití nějakého HW token, který by sloužil jako 2FA a byl dostupný v rámci počítače/telefonu. Interně v bankách se již takové zařízení testují a používají, nové Androidy budou mít HW klíč k dispozici, Apple na letošní WWDC22 přislíbil, že se tomu také věnuje. Možná k tvoji nevoli to vede k tomu, že budu mít stejně jedno zařízení, které vše integruje dohromady. Bohužel tady se jde proti použitelnosti, existuje velké množství uživateků, kteří mají jen telefon/tablet a nemají více zařízení a počty počítačů v domácnostech ubývají, nikoliv naopak. Samotní PC má z pohledu bezpečnosti ještě poměrně značné nevýhody, je strašně otevřený a aplikace tam mohou dělat spousty věcí, neexistuje mechanismus proti zabránění čtení obrazovky nebo izolování aplikace jak se o to snaží poslední roky mobilní zařízení nebo třeba prohlížeče (ať už úspěšně nebo nikoliv), PC je tedy v oboru bráno spíše jako problematické zařízení z pohledu bezpečnosti.

No mě osobně celkem vadí i bank id a podobné blbosti, které se lidem vnucují a není aní žádné opt-out. To že si to vypnu na straně banky a ne na straně státu je obludné. Zprvu jsem měl ebanku na to abych si u nich spravoval své finance, úver bylo možno získat až po osobní návštěvě a nějaké papírové stopy. Dnes je to tak, že "přihlašovací údaje" k bankovnictví jsou "digitální identitou" a banka pak může i přes toto udělit úver, já ho ale nechci. Když ale banka bude tvrdit vzal jste si u nás úvěr tak to mají potvrzeno jimi vydanou "digitalní identitou". Následně tu je ještě ta "bank id", která dává bance ještě právo nejen spravovat klientské peníze, tvrdit že u nich má dluh ale také dělat vše ostatní včetně přístupu a změnám v katastru.Není žádná banka, která by nabídla pouze správu majetku, každá si tam dá , že to je identita a že úvery a podobné blbosti lze podepsat online. Tomu říkám volný trh, lidi neřeší, nevidí rizika. Nejde o to, že to je nepravděpodobné ale možné. Na ukradenou (falešnou) občanku se dá otevřit účet (číslo občanky se dáva v ubytovacím zařízení, rodné číslo mám veřejné, trvalé bydliště také, fotka se dá také najít).Pro stát je to samozřejme lepší, pro občany (většinu taky), pro banky super výhodné, no a pro ten malej zbyteček, na ty se kašle :-)

Také mi to vadí. Jen opět pozor na terminologii, BankID je soukromý produkt našich bank (viz bankid.cz, sdružují se pod společností Bankovní identita, a.s.), naproti tomu Bankovní identita jako služba definovaná souhrnným zákonem č. 49/2020 Sb. Bohužel se obě věci označují shodně, tak je těžké to rozlišit.Bankovní identita má úroveň záruky "značná" (úrovně jsou podle Evropského nařízení eIDAS), to nestačí k tomu, abys mohl provést změnu na katastru nemovitostí, na to potřebuješ úroveň "vysokou". S úrovní značná a tedy s Bankovní identitou můžeš do katastru jen nahlížet, ten ale vždy byl u nás tak nějak otevřený.Ke sjednání úvěru naopak Bankovní identitu nepotřebuješ, to je produkt, který si řeší banka sama o sobě a je na ní, jak se vypořádá s podmínkami v zákonech č. 21/1992 Sb., č. 253/2008 Sb. atd. Dnes obecně platí, že úvěr ti dají poměrně snadno i přes žádost na internetu, ale peníze poskytnou pouze na tvůj bankovní účet a nikoliv někam jinám, tam už je potřeba návštěva pobočky. Na BankID nebo Bankovní identitu samotnou nelze sjednat žádný úvěr, to není dostatek informací, banka musí mít poměrně vysokou jistotu, že ví s kým komunikuje.Souhlasím s tím, že to jak banky poskytují ledacos, vše snadno přes internet, s malou kontrolou a možností to omezit je hodně rizikové proti zneužití a není snadné to uchránit proti útočníkům. Pořád tady ale platí určitá míra záruk a obezřetnosti, pokud banka uzavře úvěr na falešnou občanku, je vina plně na ní. Je povinností bank dostatečně ověřit identitu klienta a opět je to na její odpovědnost, s novelizacemi se více viny přenáší na banky a poskytovatele úvěrů. Počet falešných úvěrů se snižuje každým rokem, počet zachycených podvodů se naopak zvyšuje.Pokud se bojíš, mohu doporučit sledovat bankovní a nebankovní registr úvěrů, přístup se tam dá zaplatit za poplatek a můžeš pravidelně zjišťovat nejen informace o aktuálních úvěrech, ale i pokusech o scoring. Dále můžeš sledovat stav katastru nemovitostí a jestli na tvých nemovitostech se neobjevila plomba (KN takovou informaci posílá doporučeným dopisem nebo do datovky). Poté můžeš sledovat pohyby na účtu nebo smluvní dokumenty ve tvé bance, jestli se tam neobjevil nějaký nový. Dnešní doba naopak dává více možností jak to hlídat online, dříve když někdo dokázal podvrhnout kontaktní adresu při sjednání úvěru, měl jsem smůlu a o ničem jsem nevěděl, dnes mám všechny produkty viditelné, chodí mi notifikace do mobilní aplikace, mám o tom přehled. To dříve neplatilo.