Názor k článku Postřehy z bezpečnosti: další a další zranitelnosti produktů Ivanti od RRŠ - Víte, ono to musím na tom tokenu vidět,...

Víte, ono to musím na tom tokenu vidět, co podepisuji je taková vějička. Ve skutečnosti to totiž před ničím nechrání. Tak, jak nevěříte oknu na obrazovce, neměl byste věřit ani zprávě na tom tokenu - podvrhnout se dá obojí.
Takže je mnohem lepší mít solidní jistotu, že to, co vidíte, je správné.
Pokud do adresního řádku napíšete https://mojebanka.cz, nemělo by vás to přehodit na žádnou pochybnou doménu. (Jasně, tohle povede k odskoku na kb.cz kvůli přihlášení, ale to je tak nějak očekávané chování, přestože to vnímám jako špatně.)
Stejně tak, pokud už na té stránce jste (pokud nemáte napadený počítač a je to jediné okno/záložka prohlížeče), můžete s velkou jistotou předpokládat, že komunikujete opravdu se stránkou banky.
A pokud tu jistotu ohledně napadení počítače či prohlížeče nemáte - nelezte do banky, ani kdyby to potřebovalo zabezpečení jako ve Fort Knoxu!

Mimochodem: nedávno jsem se setkal se zajímavým útokem: máte hovor s podvodníkem, který vám chce poslat platbu (za prodej na bazaru...) a potřebuje jen číslo účtu; po vás pak chce, abyste se přihlásil do banky a tu platbu (kterou právě odesílá) potvrdil. Fajn: vlezete na stránky banky, bezpečným prohlížečem, v bezpečném prostředí, v bankovní aplikaci potvrdíte, že se hlásíte - ale přihlášení selže. Podvodním vám doporučí zkusit to za chvíli, třeba za 5 minut, a když tam ta platba bude, pošlete mu zboží.
V čem je háček?
Běhen hovoru měl podvodník paralelně hovor s vaší bankou (z podvrženého, vašeho čísla, kde požádal o úplné ověření aplikací - to byl ten kód, co jste potvrdil - a následně změnil kontaktní telefon a inicializoval si novou potvrzovací aplikaci. (Z pohledu banky: volá klient ze svého čísla, požádá o identifikaci v aplikaci, následně mění číslo mobilu a instaluje novou aplikaci na nový mobil - nic divného.)
Jádro problému je v tom, že ta aplikace v mobilu šetří místem (display je malý...) a vy si neuvědomíte, že místo Přihlášení tam stálo Ověření přístupu.