Dříve se bankovní pin zadával do mobilu, aby šla ta šifrovaná SMS přečíst. Teď se zadává do počítače. Takže nejen že lze snadněji odchytit tu SMS, ale na odchycení pinu stačí keylogger. Oproti původnímu řešení, kdy k útoku bylo potřeba ukrást mobil a gumovou hadicí z majitele vymlátit pin pro bankovní SMS, úroveň zabezpečení klesla. Natolik, že na cizím počítači si už do bankovnictví vlézt netroufnu. Což jsem dříve s eBankou bez obav dělal právě proto, že sebelepší malware v tom počítači s bankovní SMS nic nezmohl.
Já vím, jak fungovaly šifrované SMS v rámci SIM Toolkitu RB. Jen jsem chtěl doplnit, že to není jen o zasílání SMS (jako např. má Fio), ale je tam navíc ten e-PIN, který o něco bezpečnost zvyšuje než jen plain sms.
Ostatně nejdokonalejší řešení byla ještě před SIM Toolkitem offline autentizační kalkulačka.
31. 1. 2020, 14:33 editováno autorem komentáře
Jenže podstatnou součástí bezpečnostního řešení je i uživatelská přívětivost. Paranoiků, co se tetelí blahem, když musí každou transakci zadávat dvakrát (jednou do IB, podruhé do kalkulačky) je velmi omezené množství. A cena. Proto taky offline kalkulačka bylo řešení dost nedokonalé a upustilo se od ní.
Autorizační SMS přes SMS toolkit je o něco lepší, ale taky nic moc. Svého času jsem to používal a než se člověk proklikal v menu mobilu k té SMS, chvilku to zabralo. Co ji opravdu zabilo byla nutnost běhat s mobilem pro instalaci SIM toolkitu do banky a fakt, že ostatních aplikací SIM toolkitu nebylo nikdy mnoho a jakmile vyvstaly i jiné možnosti, jak aplikaci do mobilu dostat, tak zmizely úplně a SIM toolkit víceméně odešel do věčných lovišť.
Vice mene nic z toho co pises o STK neni pravda. Sms se i ebanky vzdy objevil sam. Nebylo potreba se nikam proklikavat. Stejne tak pak u nebylo potreba vubec chodit s mobilem do banky, protoze sim obsahovala standardni aplikaci, ktera se aktivovala kodem na dalku. Takze rozdil v komfortu oproti stavajici situaci s nesifrovanou sms temer zadnej. Dnes teda uz jde casto potvrzovat otiskem prstu, coz je prece jen pohodlnejsi...
Ne tak docela. Ta aplikace sdělí, že se uživatel ověřil kódem (a ta aplikace za ověření může považovat i biometrickou autentizaci, pokud ji povolíte). Ale nemůže to být jakákoliv instalace té aplikace, musí být na ověřeném zařízení - viz třeba Air Bank.
SMS má ale jednu výraznou výhodu: je to triviální na použití a kupodivu to i málo obtěžuje. To oceníte v okamžiku, kdy vám telefon nešťastně spadne, SIM dáte jinam a je to. Máte-li aplikaci, právě začaly značné potíže.
Další plus pro SMS je, že můžete mít propojený počítač a mobil (nejen iPhone a macBook/iPad, tohle už je v insider verzi i pro standardní Windows 10 - aplikace Telefon) - pak ten telefon nemusíte brát do ruky, když vám doručenou SMS zobrazí počítač.
To je zkrátka pohodlné. Riziko napadení SMS je naproti tomu dost nereálné: fakt vám někdo hackne přihlašovací údaje a ještě se dostane do sítě operátora, aby napadl SS7 a odchytl SMS? To byste musel být POTUS nebo aspoň Křetínský, aby tohle hrozilo.