Odpověď na názor

Hugocz: Pokud se bavíme o technickém řešení, je pro hackery je daleko schůdnější cesta přečíst si tu autorizační SMS než získat klíč z aplikace. To, že je ten mobil připojen k internetu, na tom nic nemění – ten klíč je uložen v TPM (nebo něčem podobném), operační systém k němu dá přístup jenom té jedné konkrétní aplikaci. Útočník může uživatele přesvědčit k jiné aplikaci imitující internetové bankovnictví, ale ta aplikace pořád nebude mít přístup k těm klíčům.

Útočníkovi rozhodně nestačí sledovat internetovou komunikaci, musel by podvrhnout podpis transakce vytvářený tou bankovní aplikací, a k tomu by potřeboval ten klíč.

Takže váš pocit neodpovídá realitě. Vemte v úvahu i to, že EU v požadavcích na zabezpečení bankovních transakcí nepovažuje SMS za bezpečný kanál. Banky autorizaci přes SMS opouštějí (resp. většinově už opustily) – to není z nějakého rozmaru, že by nevěděly, co s prachama, tak je vyhazují za nové systémy. Je to proto, že SMS zkrátka nejsou bezpečné. A to je ještě bankovní sektor dost konzervativní a SMS se vesele používaly dál dlouho po té, co bezpečnostní odborníci upozorňovali na to, že to fakt bezpečné není.