Vlákno názorů ke zprávičce Apple chce standardizovat SMS bezpečnostní kódy od JVr - To zní jako velmi dobrý nápad. Ale je k...

To zní jako velmi dobrý nápad.

Ale je k tomu třeba dodat, že bezpečnostní experti již nepovažuji OTP přes SMS za ideální řešení (je, ne snadno, ale nabouratelné) a obrací pozornost spíše ke specializovaným aplikacím pro faktorové ověřování v mobilních telefonech.

Tak SMS nikdy bezpecny nebyly. Kdo ma pristup k monitorovacim systemum mobilnich operatoru si je muze precist. Proto taky ebanka mela od zacatku SMS kody E2E sifrovany. Dost me prekvapilo, kdyz to Raiffeisenbank zrusila a presla na normalni SMS...

Sice posílají normální SMS, ale zase musíš zadat k tomu SMS kódu i e-PIN (nebo jak to nazývají), který nejde sítí, ale máš ho v hlavě.

Dříve se bankovní pin zadával do mobilu, aby šla ta šifrovaná SMS přečíst. Teď se zadává do počítače. Takže nejen že lze snadněji odchytit tu SMS, ale na odchycení pinu stačí keylogger. Oproti původnímu řešení, kdy k útoku bylo potřeba ukrást mobil a gumovou hadicí z majitele vymlátit pin pro bankovní SMS, úroveň zabezpečení klesla. Natolik, že na cizím počítači si už do bankovnictví vlézt netroufnu. Což jsem dříve s eBankou bez obav dělal právě proto, že sebelepší malware v tom počítači s bankovní SMS nic nezmohl.

Já vím, jak fungovaly šifrované SMS v rámci SIM Toolkitu RB. Jen jsem chtěl doplnit, že to není jen o zasílání SMS (jako např. má Fio), ale je tam navíc ten e-PIN, který o něco bezpečnost zvyšuje než jen plain sms.
Ostatně nejdokonalejší řešení byla ještě před SIM Toolkitem offline autentizační kalkulačka.

31. 1. 2020, 14:33 editováno autorem komentáře

Tehdy se ta technologie jmenovala SIM Toolkit, implementoval jsem to pro několik bank. Problém na kterém to skončilo byla distribuce 3DES klíčů do bank od operátorů a omezená kapacita SIM karty na kterou se vešlo pouze několik bankovních aplikací.

...které ale dnes často fungují tak, že aplikace protistraně sdělí, že ověřila otisk prstu nebo snímek obličeje nebo něco podobného, ale protistrana nemá šanci ověřit, jestli se tak opravdu stalo. Takže proti SMS žádná velká výhra, jen se slabé místo přesunulo jinam.

On mel urcite na mysli TOTP/HOTP aplikace typu google authenticator apod. kde je kod vypocteny na zaklade privatniho klice a aktuaniho casu.

Ne tak docela. Ta aplikace sdělí, že se uživatel ověřil kódem (a ta aplikace za ověření může považovat i biometrickou autentizaci, pokud ji povolíte). Ale nemůže to být jakákoliv instalace té aplikace, musí být na ověřeném zařízení - viz třeba Air Bank.
SMS má ale jednu výraznou výhodu: je to triviální na použití a kupodivu to i málo obtěžuje. To oceníte v okamžiku, kdy vám telefon nešťastně spadne, SIM dáte jinam a je to. Máte-li aplikaci, právě začaly značné potíže.
Další plus pro SMS je, že můžete mít propojený počítač a mobil (nejen iPhone a macBook/iPad, tohle už je v insider verzi i pro standardní Windows 10 - aplikace Telefon) - pak ten telefon nemusíte brát do ruky, když vám doručenou SMS zobrazí počítač.
To je zkrátka pohodlné. Riziko napadení SMS je naproti tomu dost nereálné: fakt vám někdo hackne přihlašovací údaje a ještě se dostane do sítě operátora, aby napadl SS7 a odchytl SMS? To byste musel být POTUS nebo aspoň Křetínský, aby tohle hrozilo.