Názor k článku Passkey: nový způsob přihlašování bez hesla bude pohodlný a zruší phishing od Filip Jirsák - R. R. Šimek: Nevím, kde jste měl mobilní...
-
Filip JirsákStříbrný podporovatelR. R. Šimek: Nevím, kde jste měl mobilní bankovnictví vy. Nicméně Expandia banka (později přejmenovaná na eBanku a pak koupená Raiffeisenbank) měla nejprve hardwarový klíč, kam se opsaly údaje o platbě a zpět do elektronického bankovnictví (na počítači) se opsal potvrzovací kód. Následně přišli s implementací přes SIMtoolkit, kde banka posílala šifrovanou SMS, ta se dešifrovala klíčem na SIM kartě a zobrazily se údaje o transakci a potvrzovací kód, který se opsal do elektronického bankovnictví. V té době už začaly elektronické bankovnictví řešit i jiné banky, a bylo to od extrému do extrému – na jedné straně podepisování příkazů pomocí PFX, na druhé straně potvrzovací kód zasílaný nešifrovanou SMS. Ty nešifrované SMS pak nabídla i eBanka, později se z toho stala nutnost, protože SIMtoolkit na chytrých telefonech fungoval čím dál hůř. Tohle pořád bylo zaměřené na elektronické bankovnictví v počítači, které se potvrzovalo jednorázovým heslem z hardwarového klíče nebo mobilu (nebo se podepisovalo tím PFX, což bylo paradoxně nejméně bezpečné řešení, protože ten privátní klíč byl obvykle uložen v souboru na disku).
Pak se elektronická bankovnictví (původně určená pro desktop) začala přizpůsobovat mobilům, jenže to pak vedlo k tomu, že potvrzovací SMS přišla na stejné zařízení, ze kterého běželo web e-bankovnictví, což nebylo moc bezpečné. Pak začaly banky přicházet s aplikacemi pro mobil, které se mohou spolehnout na prostředí mobilního OS, které je podstatně bezpečnější, než běžný desktop. Ty aplikace nevyžadují potvrzení pomocí nezávislého kanálu, protože riziko je podstatně nižší, než u desktopu, a navíc by bylo obtížné nějaký nezávislý kanál zajistit.
Uložení klíčů na mobilu považuju za dostatečně bezpečný způsob. Je bezpečnější, než klíče na SIM kartě. Pokud nedělám s mobilem nějaké vylomeniny jako rootování, o klíče uložené v mobilu bych se nebál. Srovnávat to s nešifrovanými SMS nebo embosovanými platebními kartami je nesmysl.
