Názor k článku Passkey: nový způsob přihlašování bez hesla bude pohodlný a zruší phishing od Filip Jirsák - R. R. Šimek: SIMtoolkit byl přínosný hlavně pro...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 5. 2022 17:13

    Filip Jirsák
    Stříbrný podporovatel

    R. R. Šimek: SIMtoolkit byl přínosný hlavně pro internetové bankovnictví (tj. v té době desktop). Protože to bylo docela slušně bezpečné a zároveň jste s sebou nepotřeboval mít další zařízení (HW klíč), stačil mobil. Pochybuju o tom, že se nějak zvlášť používalo bankovnictví v SIMtoolkitu, protože zadat příkaz k úhradě na tlačítkovém telefonu v omezené aplikaci SIMtolkitu bylo utrpení i na tehdejší dobu.

    Bezpečnost PFX uloženého v počítače nebyla dost diskutabilní, byla hodně špatná. To, že počítač je fyzicky na jednom místě, je úplně k ničemu. Podstatné bylo to, že je ten počítač připojený k internetu. To, co řeší druhý faktor, je případ, když útočník ovládne (nejspíš na dálku) váš počítač, takže dokáže odposlouchávat, co tam píšete – včetně přihlašovacích údajů k bance. Jenže když dokáže odposlouchávat, co píšete, s vysokou pravděpodobností ovládá celý váš lokální účet, takže dokáže přečíst i ten soubor s PFX. Obrana mít ten PFX soubor na disketě a tu do počítače dávat jenom při podepisování transakcí nebyla nic světoborného, protože by si útočník musel svůj útok akorát lépe načasovat.

    Ta úroveň zabezpečení mobilu je výrazně lepší, než co je na PC, a hlavně je pro bankovní aplikace dostatečná. Ono zabezpečení pro banku nemusí být nijak extra vysoké. Jenom holt ty běžné způsoby zabezpečení (desktop a jméno a heslo) nesplňují ani ty relativně nízké nároky na zabezpečení přístupu k bance.

    3D Secure pomocí kódu v SMS podle mne už v EU není možné.