Portál AbcLinuxu, 30. května 2024 12:44


Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
16.4.2023 00:01 xxx
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Odpovědět | Sbalit | Link | Blokovat | Admin
Mohl by jsi vyjmenovat tu vetsinu bank?
16.4.2023 00:58 J
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Odpovědět | Sbalit | Link | Blokovat | Admin
Thales nebrat! A obecne cokoliv co che znat seriove cislo je pruser.
Jendа avatar 16.4.2023 01:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Odpovědět | Sbalit | Link | Blokovat | Admin
Takže většina bank maximálně posílá kód přes SMS. Některé banky mají nějaké pokusy s vlastní aplikací, ale nejsou nijak sdílní s tím, jak to funguje.
Největší problém je, že některé banky (třeba RB, ale nedávno tu v diskuzi někdo psal, že byl migrován z nějaké jiné banky, kterou RB pohltila, a má to jinak) nepoužívají mobil/aplikaci jako další faktor, ale jako jediný faktor - buď přímo na přihlášení, nebo mají aplikaci vynuceně kombinovanou s „mobilním bankovnictvím“, ve kterém se dají dělat nebezpečné operace, a to samo o sobě už nijak dál zabezpečené není - a píšou jak je to super, protože se přece spoléhají na DRM, pardon secure element, uvnitř mobilu, který určitě nejde nijak obejít. Ze stavu „počítač + SMS“ jsme se tak dostali přes stav „počítač + aplikace na smartphone“ (se skřípěním zubů realizovatelné, například na Rootu mi Jirsák radil, že si mám koupit nejlevnější Android a vyhradit ho na bankovnictví - a opravdu to bude přiměřeně bezpečné, když je to další faktor; bylo to v reakci na to, že „nerdi co si hrajou na banku“ mají milionkrát bezpečnější Bitcoin Trezor a proč banky nemůžou mít totéž, a porovnával cenu Trezoru a nejlevnějšího Androidu (v případě Trezoru se započítává cena na vývoj SW, zatímco u appky to banka rozpouští do poplatků/etc, proto zdánlivě paradoxně vyjde celý mobil podobně draze jako Trezor s malým CPU a černobílým displejem; kverulanti by navíc mohli dodat, že u nejlevnějších Androidů výrobce dotuje prodej předinstalovaným malwarem) do stavu „kompromitace smartphonu = konec“.

Samozřejmě někoho napadne, že si třeba vybere takovou banku, která tímto netrpí a má mobilní aplikaci skutečně jenom jako druhý faktor. Good luck, jednak není úplně triviální zjistit, která banka to má jak, a jednak vám nikdo negarantuje že vám za půl roku nenapíšou „zprovoznili jsme pro vás úžasné mobilní bankovnictví, jo a mimochodem podpora aplikace FooBank Authenticator k 31.12.2023 končí, pro přihlašování používejte nové mobilní bankovnictví“.
Já to s tou denacifikací Slovenska myslel vážně.
Max avatar 16.4.2023 16:17 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Já si myslím, že app v telefonu je bezpečnější, než sms, protože sim hijacking a další podobné bezpečnostní problémy. A to ani nemluvě o tom, že spousta lidí jede starý telefon, který je dost pravděpodobně zranitelný přes sms app.
Těžko říci, kolik a zda banky ušetří na tom, že nepoužijí sms, ale je to prostě i bezpečnější.
Další věcí je, že kdo jede mobilní bankovnictví, tak většinou v telefonu, na který mu chodily sms. Je tedy bezpečnější jet mobilní bankovnictví + app s klíčem na stejném telefonu, než mobilní bankovnictví + sms na stejném telefonu.
Navíc app lze odemykat heslem, takže pokud chci zvýšit bezpečnost, tak pokaždé heslo a né otisk, nebo ksicht.
Zdar Max
Měl jsem sen ... :(
xxxs avatar 16.4.2023 21:23 xxxs | skóre: 25 | blog: vetvicky
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
"Je tedy bezpečnější jet mobilní bankovnictví + app s klíčem na stejném telefonu, než mobilní bankovnictví + sms na stejném telefonu." - to mozno ano, ale neverim, ze je to bezpecnejsie ako dumbphone na sms a pocitatc na el. bankovnictvo.
17.4.2023 09:16 tttttt
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Hodně bank má jen jednu aplikaci, která slouží pro ověřování i mobilní bankovnictví. Pohledem do google play vidím aplikaci pro klíč u KB, RB, ČS, naopak u Air bank, Monety, mbank vidím jen jednu aplikaci. RB podle článků chtěla klíč zrušit.

I tak je to asi bezpečnější než SMS, dostat se k nim je jednodušší než podvrhnout aplikaci v Androidu. Ideální mi to nepřijde.
Max avatar 17.4.2023 10:26 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Je to pár týdnů, co mi známý říkal, že jeho známý přišel o všechno na svém účtu, že mu to někdo vyluxoval přes jeho mobil. Bohužel nemám žádné podrobné informace. Mohl to být třeba sociální podvod, který by pak prošel i za jiných okolností, těžko říci. Je to strašák jedna paní povídala a o ničem jiném nevím. Docela by mě zajímalo, jaké ohledně toho existují bezpečnostní incidenty, zda a jaká je úspěšnost přes to projít.
Zdar Max
Měl jsem sen ... :(
17.4.2023 11:44 podlesh
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Hodně bank má jen jednu aplikaci, která slouží pro ověřování i mobilní bankovnictví. Pohledem do google play vidím aplikaci pro klíč u KB, RB, ČS, naopak u Air bank, Monety, mbank vidím jen jednu aplikaci.
Je to tak, rodiče mají účet u Monety a cpou jim tu aplikaci natvrdo (žádné SMS už nebudou).

Naprosto nechápu jak je tohle vůbec možné... Moji rodiče co jim tahne na sedmdesátku okamžitě viděli jaká je to hovadina, a lidé středního věku si to klidně nechají líbit a používají?
Max avatar 17.4.2023 13:01 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Takže pokud to chápu správně, tak banky schválně snižují bezpečnost, aby pak musely vyplácet kompenzace a řešit stížnosti atd.? Nebo to nakonec nebude tak s tím nebezpečenstvím tak špatný? Jen se ptám. Nemyslím si totiž, že v bankách se o bezpečnost starají idioti.
Zdar Max
Měl jsem sen ... :(
19.4.2023 00:26 ttttttttttttt
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Banky mají i jiné motivace než bezpečnost. Za sloučením appky a klíče podle mě stojí pohodlí uživatelů. Dřív byly i certifikáty nebo hardwarové tokeny, které už jsou zrušené. Bylo to bezpečnější, ale skoro nikdo to nepoužíval a nevyplatilo se to podporovat.

Banka taky neřeší jen teoretickou bezpečnost, ale i chování uživatelů. Heslo může být bezpečnější než otisk prstu, ale otisk prstu uživatel nikomu neprozradí po telefonu.

Zabezpečení je nejspíš dostatečně dobré, aby nevadilo, že se o málo sníží, pokud k tomu jsou jiné důvody. Útočníci nemají moc motivaci snažit se probourat do aplikace, je jednodušší vylákat data z uživatele.

Mimochodem, dva dny po registraci do banky mi přišel SCAM vytvořený pro danou banku s tím, že potřebují doplnit údaje a link na falešnou stránku. Docela by mě zajímalo, kdo mě "udal". Náhoda to spíš nebyla, do té doby jsem podobný nedostal.

18.4.2023 11:05 xxx
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Je to tak, rodiče mají účet u Monety a cpou jim tu aplikaci natvrdo (žádné SMS už nebudou).
Bylo treba vytrvat:
Banka a Klient se společně po požadavku Klienta ze dne 18.04.2023 dohodli, že mu umožní na základě čl.27 a 28 Produktových podmínek služby Internet Banka i nadále poskytovat jako prvek silného ověření prostřednictví mobilního klíče. Klient souhlasí a bere na vědomí, že tyto zaslané mobilní klíče mohou být zpoplatněny pevnou částkou dle platného sazebníku za každou zprávu.
I tak se ale budu muset vic zamyslet, nakolik je (plnohodnotna) aplikace nebezpecnejsi, nez klic v mobilu a prihlasovani na pocitaci. A jak to resit do budoucna.

Ony ty SMS totiz vubec nejsou idealni. Nejde ani tak o nejakou Jendovinu s hackovanim GSM site, ale spis o moznost socialniho hi-jacku cisla. Coz zatim nikdo nastesti nezautomatizoval, aby to slo pouzivat plosne.
19.4.2023 15:43 podlesh
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
No pozor, zapomněl jsem na zlatý hřeb.

Na pobočce rádi důchodcům pomůžou s nastavením aplikace, a když se to poprvé zepná na PIN, tak normálně řeknou: teď zadejte PIN co používáte na bankomatu.
Jendа avatar 18.4.2023 00:10 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
I tak je to asi bezpečnější než SMS, dostat se k nim je jednodušší než podvrhnout aplikaci v Androidu.
Jenže předchozí situace se SMS vyžadovala vyhackovat počítač a dostat se k SMS. Současná situace vyžaduje jen vyhackovat mobil.
Já to s tou denacifikací Slovenska myslel vážně.
Max avatar 18.4.2023 12:55 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Neplatí pro případ, že máš bankovnictví i v telefonu, což má dnes spoustu lidí. Znám i paranoidní, co jedou jen v klíč v telefonu, ale těžko říci, jaký to je poměr. V mém okolí silně převládá vše v telefonu.
A v takovém případě je pak jedno, zda jsou to dvě app, nebo jedna.
Zdar Max
Měl jsem sen ... :(
18.4.2023 12:57 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Neplatí pro případ, že máš bankovnictví i v telefonu, což má dnes spoustu lidí.
To ale není argument pro to snižovat bezpečnost té ne-spoustě ostatních.
Quando omni flunkus moritati
Max avatar 18.4.2023 13:22 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Ano, pro paranoidní lidi zůstává možnost mít dedikované zařízení doma v trezoru a nepoužívat tak banku na běžném telefonu.
Další možností je změna banky, což je ještě méně pohodlnější.
Zdar Max
Měl jsem sen ... :(
18.4.2023 14:32 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Argumentační faul pěkný. Co kdybyste místo toho zkusil rozporovat tvrzení, že prohackovat se někomu do počítače a zároveň do telefonu je složitější, než se mu prohackovat jen do telefonu?
Quando omni flunkus moritati
Max avatar 18.4.2023 14:38 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Proč by se měl někdo prohackovat do PC? Stačí únik loginu a hesla, což je mnohem běžnější, než vyhackování PC.
Vesměs jde o dvě věci, buď únik přihlašovacích údajů, za což může většinou uživatel, nebo únik platební karty (zkopírování někde na pokladně, u bankomatu, odcizení/ztráta celé pěněženky, únik dat z eshopu, kam si někdo kartu uložil apod.).
Zdar Max
Měl jsem sen ... :(
18.4.2023 20:32 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Tvrzení tedy rozporovat nedokážete, takže opět uhýbáte. Únik přihlašovacích údajů a prohackování do telefonu je pořád složitější než jenom prohackování telefonu (a získání přihlašovacích údajů tudy.) Kartu do toho asi motáte jen z čirého zoufalství, protože o té ve vlákně o SMS vs. app vůbec nebylo řeči.
Quando omni flunkus moritati
19.4.2023 00:15 tttttttttt
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Já si pořád myslím, že čtení SMS + vyhackování počítače je jednodušší než vyhackování telefonu. Android má striktnější omezení než jiné operační systémy. Potřeboval bych podvrhnout mobilní aplikaci nebo získat přístup k datům jiné aplikace, tedy překonat zabezpečení OS.

Pro čtení SMS stačí nainstalovat budík, který bude mimochodem mít i práva pro čtení zpráv a pak vyhackovat počítač. Tam mi přijde víc možností, uživatelé spouští neověřené aplikace, jde phising.

Může to být jen tím, že o PC toho vím víc než o Androidu. Klíč v telefonu a bankovnictví na PC považuju za o dost bezpečnější, ale u toho diskuse nezačala.
xxxs avatar 19.4.2023 01:06 xxxs | skóre: 25 | blog: vetvicky
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
popieras sam seba. najskor vychvalis android, ako je bezpecnejsi, hned na to uz mas funkcny malware android budik a nakoniec to zaklincujes tym, ze o androide vies menej.
19.4.2023 01:47 tttttttttttttt
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Myslím si, že je jednoduché udělat aplikaci, která bude číst SMS a předávat je někam dál (budík). A hodně těžké udělat aplikaci, která bude číst data jiné aplikace.
xxxs avatar 19.4.2023 09:03 xxxs | skóre: 25 | blog: vetvicky
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
ta hypoteticka aplikacia bude citat data sms aplikacie. co je podla teba lahke. vlastne tazke(v dalsej vete si si to rozmyslel).
Max avatar 19.4.2023 12:23 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Musím říci, že se pleteš. Úložiště sms je sdílené a lze jednoduše požádat uživatele o udělení souhlasu. Data aplikací jako banka, bankovní klíč apod. nejsou sdílené, nelze si jen tak nainstalovat do telefonu aplikaci a dát jí práva pro čtení dat klíče. Musel by jsi udělat nějaký bypass zabezpečení OS (využít nějakou kruciální zranitelnost) a pak by jsi musel ještě být schopen překonat šifrování dat dané app a zneužít její fce (asi podvrhnout vlastní app). To jsou tak šíleně odlišné postupy, že je nelze z hlediska bezpečnosti stavět na stejnou úroveň.
Zdar Max
Měl jsem sen ... :(
Max avatar 19.4.2023 12:27 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Jinak dodám, že u iPhone je situace ještě horší, protože ten moc sdílení společných dat ani neumožňuje. Částečně v rámci svých app, ale téměř nulově v rámci 3rd app. Proto chrome na iPhone je trága, proto posílání si dat mezi aplikacemi je trága a musí se to řešit oklikou přes externí sdílení (místo na Twitter ty data pošlu jiné aplikaci v telefonu).
Proto prostě na iPhone nedává smysl používání 3rd app místo těch integrovaných, není to tak pohodlné a člověk dost často narazí na limit způsobený tímto zabezpečením.
Zdar Max
Měl jsem sen ... :(
Max avatar 19.4.2023 12:19 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Myslel jsem, že se bavíme o bezpečnosti. Nevidím problém v tom, že jsem zmínil techniky, které jsou nejběžnější pro únik. Panují tu dvě věci, nějaká akademická diskuse, jak by všechno mělo být super cool zabezpečený, jak je současný stav horší a horší atd. a pak reálný svět, jak to funguje, že je nebezpečenství reálně někde jinde. A nemíchejte dvě věci dohromady. SIM hijacking má nějakou náročnost, sms app injection (formou vhodné sms, která využívá zranitelnost konkrétní sms app, nebo prostě další aplikací, které uživatel udělí práva k sms) má také jinou náročnost a root exploit - případně nějaký bypass zabezpečení aplikací (aby se šlo vůbec nabourat a využít app bez možnosti sdílení dat) má také úplně jinou náročnost.
Vy to všechno stavíte na stejnou úroveň, které říkáte "telefon", ale tak to prostě není.
Zdar Max
Měl jsem sen ... :(
19.4.2023 20:50 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Ano. A předchozí bezpečnostní situace byla taková, že vyžadovala vyhackovat počítač a dostat se k SMS. Současná situace vyžaduje jen vyhackovat mobil. Pokud se bavíme o bezpečnosti, je nová situace méně bezpečná.
Quando omni flunkus moritati
Max avatar 20.4.2023 01:28 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Takže totální ignorace z vaší strany? Prostě nic, ani ťuk? Můžete mi tedy říci, jak exploitnete aplikaci mobilní banky v telefonu? Protože leaknout loginy z PC je easy, leaknout sms také docela jde (oboje na dálku), ale jak dokážete na dálku (nebo i lokálně) exploitnout a využít aplikaci banky, to bych rád věděl. Když je tedy ta bezpečnost horší, než před tím.
Já stále trvám na tom, že nesmyslně něco srovnáváte a vychází z toho docela mylný závěr.
Zdar Max
Měl jsem sen ... :(
20.4.2023 09:38 podlesh
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Těžko říct co tím chtěl říct trekker.dk, ale já bych rád poukázal na riziko ztráty nebo krádeže.
Max avatar 20.4.2023 16:04 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Jak se k té aplikaci i lokálně dostaneš? Jsi schopný telefon při ztrátě/nálezu/odcizení nějak rychle odemknout? A když ho odemkneš, jsi schopný odemknout i onu app? Nemyslím si. Jako uživatel máš spoustu spoustu spoustu času to nechat bloknout, než to reálně dokáže někdo zneužít (pokud vůbec).
Zdar Max
Měl jsem sen ... :(
20.4.2023 23:14 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Jasně, leaknout loginy z PC je easy, zatímco z (v drtivé většině případů) nezáplatovaného telefonu je to těžké...
Quando omni flunkus moritati
Max avatar 21.4.2023 00:52 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Schválně děláte hloupého? Kdybyste se jen trochu zabýval bezpečností, tak víte, že leaknout login a pw je relativně easy, obzvláště pokud cílíte na konkrétní osobu. Stačí se zeptat uživatele a on vám to řekne. Tak jednoduché to je. Jenomže vy nerozlišujete mezi technikama zabezpečení, vy rozlišujete jen hw. Totálně nesmyslné rozdělování. Snažil jsem se to tady několikrát vysvětlit, ptal jsem se vás na konretizaci vašich bezpečnostních obav, ale nic z toho se nestalo, jen porouchaný kolovrátek, co píše dokola stejnou hloupost, co se snaží veškerou mou snahu o vysvětlení bagatelizovat a snižovat všechny techniky na stejnou úroveň.
Zdar Max
Měl jsem sen ... :(
23.4.2023 12:41 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Ne. Jinak další argumentační fauly a na otázky taky neodpovídáte...
Quando omni flunkus moritati
16.4.2023 21:14 J
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Jirsaka nebrat…
17.4.2023 21:18 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
protože se přece spoléhají na DRM, pardon secure element, uvnitř mobilu, který určitě nejde nijak obejít.
Hm, a to jsem si říkal, že kdyby někdy došlo na nejhorší (žádná banka nebude podporovat fungování bez appppky), tak bych mohl nějaký "telefon" spustit v Qemu.
Quando omni flunkus moritati
Max avatar 16.4.2023 16:20 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Odpovědět | Sbalit | Link | Blokovat | Admin
Implementuji MFA ve firmě, postupně, na různé systémy atd. A s TOTP to je celkem nepohodlná věc. Člověk pak může skončit s 20 položkami s TOTP v auth app. Pro smrtelníka se to pak stává dost nepřehledné.
Zdar Max
Měl jsem sen ... :(
16.4.2023 16:36 Tomáš | skóre: 31 | blog: Tomik
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Hlavně ve firmě bys měl mít jednotné přihlášení. Ale ono to bobtná i tak. A vrchol všeho je, že si v té aplikaci nemůžeš zvolit vlastní popisek.
Max avatar 16.4.2023 19:40 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Implementace MFA v různých službách
Jednotné přihlášení je super, ale v silně heterogenním prostředí je nemožné toho docílit :-/.
Zdar Max
Měl jsem sen ... :(

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.