Vlákno názorů ke zprávičce Apple chce standardizovat SMS bezpečnostní kódy od aleskva - Teď jde o to, zda standardizace nesníží bezpečnost...
-
![[object Object]](https://i.iinfo.cz/sh/profile/avatar/avatar-default.gif)
Dnes diky variabilite banka napise, ze jde o prevod z uctu 123 na ucet 987, castka, variabilni symbol a muze tam dat i odkaz na stranku banky. Nechci videt jen to, ze chce banka neco zaplatit a ja nevim, co.
Kdyz to diky formatu zpracuje mobil sam, tak mi schazi druhy faktor. Tim nemyslim jen proti tem hackerum, ale i jako overeni. V SMS vzdy kontroluji, jestli vsechno sedi a neposilam treba tisicinasobek diky interpretaci 100.0 jako 100 000.
A nakonec, SMS nejsou bezpecne.
-
Filip JirsákStříbrný podporovatelTo jste ale nepochopil, jak to má fungovat. Už dnes se mobilní aplikace snaží doplňovat jednorázové kódy. Např. aplikace (myslím) České pošty si kód převezme rovnou ze SMS, pokud ho najde, protože v SMS nejsou žádné další údaje, jde jen o ověření toho mobilního čísla. Prohlížeče se také snaží pro příslušné políčko (pokud ho rozpoznají) v našeptávači klávesnice nabídnou kód ze SMS – zrovna Safari na iOS se takhle chová. Jenže to je závislé na tom, že se podaří uhodnout, k čemu ta SMS patří a jak s ní zacházet. Návrh spočívá v tom, že půjde přímo ze SMS spolehlivě určit, komu patří, že používá daný standard a půjde z ní přečíst ten kód. Neříká nic o tom, že by se ten kód někam doplňoval automaticky.
Zrovna u toho vašeho příkladu s bankou třeba automatické doplňování nedává žádný smysl. Transakci zadáváte na PC nebo jiném mobilu, a na tenhle mobil vám přijde SMS s údaji pro potvrzení – a kód musíte zadat do toho PC nebo mobilu, kde jste transakci zahájil. Na tom mobilu, kam SMS přišla, ten kód nikam nezadáváte, jenom ho z něj opisujete.
Pokud SMS používáte jako „druhý faktor“ tak, že na jednom mobilu zadáte příkaz k úhradě, na ten samý mobil vám přijde potvrzovací SMS a vy z ní opíšete kód, je obrovská díra už v tom, že ve skutečnosti nepoužíváte žádný druhý faktor. Jestli si pak ověřujete nebo neověřujete ty údaje v SMS, to už je celkem jedno.
SMS nejsou moc bezpečné, ale ne vždy se používají jako 2FA. Někdy se SMS používá prostě pro ověření vlastnictví mobilního čísla, někdy pro spárování mobilního čísla s aktuální session na webu atd.
-
Martin X (neregistrovaný)
"Pokud SMS používáte jako „druhý faktor“ tak, že na jednom mobilu zadáte příkaz k úhradě, na ten samý mobil vám přijde potvrzovací SMS a vy z ní opíšete kód, je obrovská díra už v tom, že ve skutečnosti nepoužíváte žádný druhý faktor. "
Tipnem si, ze 99% beznych ludi to pouziva v takomto rezime ak zadava platobny prikaz priamo na mobile (ja mam na potvrdzovacie SMS samostatny "blby" mobil a vyhradenu SIM kartu, ktoru nepouzivam na bezne telefonaty). -
Filip JirsákStříbrný podporovatel
Nepředpokládám, že pouhé jedno procento uživatelů používá bankovní aplikace a zbývajících 99 % se na mobilu trápí s webovým bankovnictvím. Pokud se někdo pokusí otevřít internetové bankovnictví na mobilu, měla by ho banka dost důrazně varovat, že používat internetové bankovnictví z mobilu, na který chodí autorizační SMS, je nebezpečné a banka neručí za škody.
-
Filip JirsákStříbrný podporovatel
Pokud si někdo nechá zasílat autorizační SMS na to samé zařízení, ze kterého zadává příkaz k úhradě, bezpečnost tím samozřejmě snižuje – místo dvoufaktorové autentizace používá jednofaktorovou.
Pokud útočník napadne váš počítač a odposlechne vaše přístupové údaje do internetového bankovnictví, a používáte 2FA, stále ještě nemůže z vašeho účtu odeslat peníze, protože ta autorizační SMS přijde na mobil, který neovládá. Pokud ale útočník napadne váš mobil, kam vám chodí autorizační SMS i se z něj přihlašujete do internetového bankovnictví, odposlechne přihlašovací údaje a zároveň má přístup k té autorizační SMS, takže má vše,co potřebuje, aby provedl převod.
Pokud už útočník mobil ovládá, je varování samozřejmě k ničemu – útočník to varování může odstranit. Ale předpokládám, že většinu mobilů ještě neovládá nějaký útočník. To varování by tedy bylo určené běžným uživatelům, třeba vám, aby se naučili, že internetové bankovnictví přes mobil nemají nikdy používat a mají si místo toho nainstalovat mobilní bankovnictví.
