25 lipca 2019

Polskie banki wprowadzają hasła SMS przy logowaniu do kont, by „było bezpieczniej”. A niemieckie wyrzucają SMS-a do kosza. Bo… są niebezpieczne

Od połowy września polskie banki wprowadzą bardziej skomplikowany sposób logowania do kont internetowych. Oprócz loginu i hasła będziemy podawali m.in. SMS autoryzacyjny. Bankowcy powołują się na unijną dyrektywę i mówią, że teraz będzie bezpieczniej. Tyle, że np. niemieckie banki z SMS-ów autoryzacyjnych właśnie się wycofują, twierdząc że są one… zbyt mało bezpieczne. Wiemy już, że jako jeden z pierwszych problem zauważył mBank. Szykuje się niezłe zamieszanie?

Do 14 września banki mają czas na dostosowanie swoich systemów do zapisów ustawy o usługach płatniczych (unijne tzw. PSD2). Jednym z jej wymogów jest tzw. dwuczynnikowa autentykacja. A więc banki mają obowiązek identyfikować klientów nie tylko na podstawie tego, co ci klienci wiedzą (np. login i hasło), ale też na podstawie tego co mają (np. smartfon) lub cechy, którą się mogą „wylegitymować” (np. odcisk palca).

Ten nowy wymóg ma zwiększyć bezpieczeństwo klientów i utrudnić życie złodziejom pieniędzy oraz tożsamości. Ale dla banków oznacza m.in. konieczność zmiany niektórych procedur. Większość banków pozwala się klientom logować do konta internetowego tylko na podstawie loginów i haseł (czyli czynnika „wiedzowego”). Teraz będą musiały dołożyć do tego drugi element (z wykorzystaniem przedmiotu lub cechy, którą klient się „legitymuje”).

Jednym z pierwszych banków, który poinformował swoich klientów o tych zmianach był mBank, który zrobił to już ponad tydzień temu. Klienci dowiedzieli się, że po 14 września przed wejściem na konto przez internet będą musieli dodatkowo się zidentyfikować.

W przypadku mBanku ta identyfikacja będzie mogła mieć dwa oblicza. Może to być konieczność podania hasła z wysłanego przez bank SMS-a (w większości banków w ten sposób potwierdza się też przelewy) lub weryfikacja mobilna – z udziałem smartfona i aplikacji mobilnej mBanku.

Przyszłość w mobilnej autoryzacji. Ale mało kto jej używa

mBank jest jednym z nielicznych banków, który wprowadził ten drugi sposób, czyli tzw. autoryzację mobilną. Jest dużo bezpieczniejsza, niż SMS autoryzacyjny. Żeby zlecić np. przelew trzeba nie tylko znać login i hasło do konta, ale i zalogować się do aplikacji mobilnej i tam wpisać PIN lub potwierdzić transakcję odciskiem palca (w zależności od tego jakie możliwości oferuje smartfon zarejestrowany przez klienta w banku).

A więc złodziej, żeby wyprowadzić z konta pieniądze, musiałby mieć w ręku telefon klienta i umieć go „odblokować”. W przypadku SMS-a ma łatwiej, bo wystarczy, że za pomocą wirusa przejmie zdalnie SMS autoryzacyjny, żeby wyprowadzić pieniądze z konta klienta.

Sęk w tym, że mobilna autoryzacja – jak wspomniałem – nie jest jeszcze dostępna we wszystkich bankach, a nawet w tych, w których jest dostępna, używa jej mniejsza część klientów (pozostali np. nie czują potrzeby instalowania w smartfonach aplikacji mobilnej banku).

Siłą rzeczy dziś podstawowym sposobem autoryzowania przelewów – a po 14 września zapewne również logowania się do konta przez internet w ramach „drugiego czynnika identyfikacji” – będą SMS-y autoryzacyjne. Po prostu klient będzie je podawał nie tylko przy zlecaniu przelewu, ale również przy logowaniu do konta (za każdym razem lub raz na jakiś czas, o ile doda swoje urządzenie do listy „zaufanych”).

Nowoczesność na wojnie z wolnością, czyli „oddajcie karty kodów”!

Dla niektórych klientów te zmiany są denerwujące, bo po prostu utrudniają życie – logowanie do banku będzie trwało dłużej i będzie bardziej skomplikowane w sytuacji, gdy np. zapomnimy telefonu, zgubimy go albo utracimy. Są i inne komplikacje. Banki zapewne pod pretekstem unijnej dyrekktywy o dwuskładnikowej autentykacji klientów wycofają najstarszy sposób potwierdzania – karty-zdrapki.

Taką decyzję podjął właśnie mBank, który już wcześniej zniechęcał klientów do zdrapek, narzucając zaporową cenę 9 zł za każdą dostarczoną klientowi kartę. Teraz całkiem skasuje możliwość potwierdzania transakcji hasłami z papierowej listy. Wśród oburzonych klientów jest pan Piotr, czytelnik „Subiektywnie o finansach”:

„Jestem klientem mBanku i dowiaduję się właśnie, że likwidowana jest papierowa lista z hasłami. Zostanie zastąpiona hasłami SMS-owymi. A co jeżeli nie mam telefonu? Zostanę pozbawiony dostępu do konta. Jest taki zapis w regulaminie banku, że jeśli nie podam numeru telefonu, to się nie zaloguję zdalnie do konta. To jest moim zdaniem jakaś nadinterpretacja tej nowej dyrektywy bankowej. Tym bardziej, że hasła SMS-owe też nie są bezpieczne. A w ten sposób ograniczana jest moja wolność, co mi się nie podoba. Może by Pan przeanalizował ten problem?”

Cóż, zagadnienie konfliktu wolności i nowoczesności jest pasjonujące, ale z pewnością nadaje się na coś poważniejszego, niż tylko krótki felieton, więc odłożę je na bok. Pan Piotr poruszył mimochodem inną kwestię – że pod pretekstem większego bezpieczeństwa zmusza się klientów do korzystania z SMS-ów autoryzacyjnych, które nie są wcale tak bezpieczne, jak się wydaje.

SMS autoryzacyjny jako drugie zabezpieczenie? „Wolne żarty!”

Dokładnie na ten sam problem zwróciły uwagę banki niemieckie, które – przygotowując się cdo wdrażania dyrektywy PSD2 w zakresie dwuczynnikowej autentykacji klientów – postanowiły… zrezygnować ze stosowania SMS-ów autoryzacyjnych twierdząc, że są one zbyt niebezpieczne i nie spełniają kryteriów narzucanych przez PSD2.

Przeczytałem o tym w niemieckich mediach, które też sporo piszą o nadchodzących zmianach dla klientów banków. Postbank planuje zrezygnować z SMS-ów autoryzacyjnych już w sierpniu, niemiecki oddział Raiffeisena i Volksbank planują to zrobić jesienią (informacja za dziennikiem ekonomicznym Handelsblatt), Deutsche Bank i Commerzbank planują również zrezygnować z SMS-ów, ale nie ogłosiły jeszcze kiedy. Elektroniczny N26 nic nie planuje, bo SMS-ów w ogóle nie wdrożył.

„Europejskiemu Urzędowi Nadzoru Bankowego (EBA) powierzono zadanie nadzoru nad wdrożeniem najnowszej części PSD2 w bankach i wydania regulacyjnego standardu technicznego, co zrobił w czerwcu. Zgodnie z tym dokumentem, rozwiązanie oparte na SMS-ach nie jest zgodne z PSD2 w większości swoich obecnych wdrożeń”

– czytam z kolei w serwisie ZDNet.com. Wśród powodów, dla których zaufanie do SMS-ów autoryzacyjnych spada, podaje się m.in. możliwość kradzieży pieniędzy klientom metodą „na duplikat SIM” – znaną i opisywaną szeroko na „Subiektywnie o finansach” – oraz możliwość zdalnego przejmowania kodów SMS przez złodziei pieniędzy (wystarczy skłonić ofiarę do fałszywej aktualizacji jakiejś aplikacji i tą drogą wprowadzić wirusa na jego smartfona).

„Branża bezpieczeństwa cybernetycznego ostrzega przed zabezpieczaniem systemów za pomocą uwierzytelniania opartego na SMS-ach ze względu na nieodłączne i niemożliwe do zniesienia słabości protokołu SS7 używanego od lat we wszystkich sieciach telefonii komórkowej. Luki w tym protokole pozwalają atakującym na „ciche” przejęcie numeru telefonu użytkownika, nawet bez wiedzy operatora telekomunikacyjnego, co pozwala śledzić użytkowników, autoryzować w ich imieniu płatności online lub żądania logowania na konto”

– pisze ZDNet.com. Luki te nie pozostały niezauważone przez niemieckich „bezpieczniaków” informatycznych.  W maju 2017 r. BSI, niemiecka agencja bezpieczeństwa cybernetycznego, ostrzegła, że cyberprzestępcy mogą używać luk w protokole SS7 do przechwytywania wiadomości SMS wykorzystywanych w bankowości internetowej.

Czytaj więcej: Złodzieje ogołocili twoje konto? Bank powinien oddać pieniądze i to już następnego dnia. Jest jeden wyjątek, który w polskich bankach niestety stał sie regułą

Warto przeczytać też: Pamiętacie kradzieże pieniędzy z naszych kont bankowych „na duplikat karty SIM”? Są dwie wiadomości: dobra i zła

Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

Przeczytaj też: Nawet dwa lata odsiadki za produkcję i sprzedaż tzw. dokumentów kolekcjonerskich. To cios w wyłudzających kredyty. Ale czy skuteczny?

Co zamiast SMS-ów? Niemieckie banki już wiedzą. A polskie?

Czego banki w Niemczech zamierzają użyć jako drugiego składnika autentykacji klienta? Według Handelsblatt większość zapytanych banków przejdzie na tokeny działające offline (jakiś czas temu wyszły z użycia jako zbyt drogie i niewygodne), aplikacji uwierzytelniających instalowanych w smartfonach lub aplikacji, które używają do potwierdzenia tożsamości klienta kodów QR wyświetlanych w smartfonach.

Co to ma wspólnego z nami, szarymi zjadaczami bułek nad Wisłą i klientami polskich banków? Ano powinno nas to interesować z kilku powodów. Po pierwsze: nadchodzi zmierzch autoryzowania transakcji i innych rzeczy w bankach hasłami SMS-owymi. Po drugie: większość banków będzie miała trudną jesień, zwłaszcza jeśli nie wdrożyła żadnej innej metody autoryzacji poza SMS-ami.

Tutaj: Porównanie różnych metod autoryzacji, znalezione w serwisie Niebezpiecznik.pl, który polecam

Bankowcy myśleli, że „opędzą” nową wersję PSD2 technologią SMS-ową, a tu kiszka. Okazuje się, że to, co w Polsce miało być „zwiększeniem bezpieczeństwa” w niemieckich bankach jest już wyrzucane do kosza jako zaprzeczenie tegoż zwiększenia bezpieczeństwa.

mBank na tym tle jest gwiazdą, bo jego klienci od wielu miesięcy mogą korzystać z autoryzacji mobilnej i pewnie do jej stosowania bank będzie teraz intensywnie namawiał. Ale na tym nie poprzestanie. Wczoraj mBank poinformował, że we wrześniu pojawi się nowa aplikacja o nazwie mBank Token.

Program ma działać tak samo, jak mobilna autoryzacja dostępna w aplikacji mBanku. Różnica polega na tym, że będzie to osobny program bez innych funkcji, które są dostępne w standardowej aplikacji mobilnej. Będzie dostępny na platformy iOS i Android, pozwalając korzystać z autoryzacji przez smartfona także osobom, które nie chcą lub nie mogą instalować w swoich smartfonach aplikacji mobilnej mBanku (która jest niezbędna do mobilnej autoryzacji).

Przeprosimy się z tokenami sprzętowymi, tymi okropnymi pudełkami?

Najpewniej tym sposobem będą musiały pójść inne banki, w ekspersowym tempie rezygnując z SMS-ów autoryzacyjnych na rzecz nowocześniejszych sposobów autoryzacji. Kłopot polega na tym, że czasu jest mało, klienci na wakacjach, informatycy zarobieni, rozwiązania pewnie niegotowe i jak tu nie pogubić się w tym bałaganie?

Dobra wiadomość jest taka, że na końcu będzie jednak bezpieczniejsza bankowość. Przynajmniej na jakiś czas, bo kiedyś wydawało się, że SMS-y to ultrabezpieczny, nie do złamania, sposób autoryzacji transakcji. Kto wie, czy niedługo nie przeprosimy się z tokenami sprzętowymi, czyli tymi nie podłączonymi do internetu małymi pudełkami z jeszcze mniejszym wyświetlaczem. Przeklinaliśmy to-to za niewygodę, ale kłopot w tym, że nic bezpieczniejszego nie wymyślono.

źródło zdjęcia: Pixabay

76
Dodaj komentarz

avatar
20 Comment threads
56 Thread replies
2 Followers
 
Most reacted comment
Hottest comment thread
31 Comment authors
EwaArekGośćKamilAAA Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Olaf
Gość
Olaf

Panie redaktorze, oprócz mBanku takie mobilne tokeny oferuje też Pekao – apka PeoPay

obatel
Gość
obatel

trochę śmieszy ten list czytelnika i argument o ograniczaniu wolności… mbank też chce mieć swoją wolność – on prowadzi rachunki i on ustala zasady. jak się nie podoba, można pieniądze zostawić u konkurencji albo w skarpecie. typowy roszczeniowy milenials? na plus jego świadomość niebezpieczeństwa, jakie czyhają w autoryzacji smsowej. a teraz niech ten czytelnik się zastanowi, dlaczego ten system został „złamany”… prawdopodobnie dlatego, że stał się masowy. Jeśli masowe staną się karty kodów to i one będą kradzione. jeśli masowe staną się sprzętowe tokeny, to będą one kradzione lub podsłuchiwane. to że działa on online wcale nie znaczy, że nie… Czytaj więcej »

Ewa
Gość
Ewa

Wybacz , ale taki mamy świat, że w gotówce wypłaty nie dają ( nawet zasiłków z opieki społecznej) wiec można ewentualnie z zrezygnować z konta razem z rezygnacja z pieniedzy.

zeneusz
Gość
zeneusz

autentykacja to bardzo brzydki wyraz spolszczony z angielskiego „authentication”. czy nie ładniej użyć polskiego „uwierzytelnianie”?

obatel
Gość
obatel

po co różnicować, skoro można ujednolicać? dlaczego brzydki? język to narzędzie komunikacji. ma być łatwe w użyciu, zrozumiałe. osoba techniczna będzie wiedziała o co chodzi. nietechniczna nie zrozumie nawet ‚uwierzytelnienia’.
język jest dla ludzi a nie ludzie dla języka. język musi się adaptować.

Artorius
Gość
Artorius

I tym sposobem psujemy i tak popsuty język polski. Anglicyzmami . Autentykacja jest wyjątkowo niezgrabnym słowem.

obatel
Gość
obatel

ale o jakim popsuciu tu mowa? na czym owe psucie polega? bo z tego, co widzę, to my ten język naprawiamy starając się go ujednolicić z bardziej popularnymi językami, tak by komunikacja przy jego użyciu była łatwiejsza

Don Q.
Gość
Don Q.

„autentykacja” i tak dobra, niekiedy spotyka się „autentyfikację”…

Michał
Gość
Michał

Ja natomiast nie znoszę „destynacji”. Oraz „funkcjonalności” jako błędnego synonimu „funkcji”.

obatel
Gość
obatel

AFAIK destynacja jest w słowniku języka polskiego

jan
Gość
jan

Tylko, że autoryzacja i uwierzytelnienie ie to dwa różne procesu.
Uwierzytelniene to potwierdzenie tozsamosci osoby.
Autoryzacja to potwierdzenie prawa dostępu do zasobu (dla użytkownika już uwierzytelnionego).

obatel
Gość
obatel

mowa o autentykacji

manius
Gość
manius

SJP PWN nie zna takiego słowa jak „autentykacja”. Po polsku to po prostu „uwierzytelnienie” czyli potwierdzenie, że „ja to ja”.
W schemacie AAA najpierw się „uwierzytelniamy” (authentication), potem jesteśmy autoryzowani (authorization) a na końcu zapisywane są nasze czynności (accounting).
A „autentykacja” to potworek na miarę „adresowania problemów” albo „czelendżowania kejpiaji”.

jan
Gość
jan

Ech, mój mózg automatycznie zamienił autentykację na autoryzacja, bo nie przyszło mi do głowy, że w jakimś artykule można tak napisać.

Michał
Gość
Michał

Smsy już nie są tak bezpieczne jak kiedyś. Ale hasła z papierowej listy zostały skonpromitowane już dawno i aż dziw, że mBank tak długo je oferował. Pan Piotr musi pogodzić się z ich likwidacją, a jeśli nie chce smsów zostaje my autoryzacja mobilna. Ta jedynie w Eurobanku (stary token) i T-Mobile może działać bez połączenia z Internetem.

P.S. VR to Volksbank Raiffeisen, więc chyba „i” jest nadmiarowe.

Pibloq
Gość
Pibloq

Mialem kiedys token sprzetowy w pierwszej wersji serwisu BGZ Optima.
Malo tego, jeszcze lepsza była aplikacja PekaoToken (ktora nota bene dopiero niedawno została wycofana), która pozwalała generować hasła jednorazowe, nawet gdy telefon był poza zasięgiem internetu.
Chyba banki będą musiały wrócić do korzeni… 🙂

Michał
Gość
Michał

Na pewno nie w ówczesnej wersji. Token ma sens tylko wtedy gdy pokazuje co się nim autoryzuje. Aplikacja Eurobanku w przedniej wersji takie coś miała offline.

Jan
Gość
Jan

Token sprzętowy bez dostępu do internetu ułatwia ataki phishingowe. Chodzi o to, że w SMS lub mobilnym tokenie klient widzi jaką operację potwierdza, natomiast na karcie zdrapce lub sprzętowym tokenie bez internetu już nie.

Don Q.
Gość
Don Q.

@Jan, Ty piszesz o prostych tokenach, ja taki miałem dawno temu do konta w Lukas Banku, teraz do Toyota; to bardzo wygodne, mały breloczek można mieć nawet w podróży (w przypadku kodów sms trzeba ze sobą zabierać telefon „bankowy”, bo przecież naszego głównego do celów bankowych nie używamy, trzeba też dbać, by jego bateria była naładowana, tak jak w przypadku smartfona, na którym jest apka uwierzytalniająca), niestety wadą jest właśnie to, że nie wiadomo, jaką operację się potwierdza. Ale istnieją też bardziej zaawansowane tokeny (np. Bank Millennium oferuje taki dla przedsiębiorstw) w których na klawiaturce wprowadza się jakieś dane z… Czytaj więcej »

gosc
Gość
gosc

W tokenie sprzętowym typu challenge-response trzeba podać kwotę przelewu i kilka cyfr z numeru rachunku, na który wykonuje się przelew więc dokładnie wiadomo jaka transakcja jest potwierdzana. Token sprzętowy jest bezpieczniejszy niż mobilny bo do mobilnego może zdobić dostęp każdy użytkownik internetu.

Bogdan
Gość
Bogdan

Czy ktoś wie czy są publicznie dostępne dane o skali przedterminowych wykupów 10 letnich obligacji skarbowych ?
Obecnie ktoś kto ma takie obligacje i jest zmuszony przedterminowo wykupić płaci 2 złote od sztuki.
Ale prospekt emisyjny dopuszcza nieopodatkowaną sprzedaż innej osobie. Czy istnieje jakaś platforma która łączy takich sprzedających z kupującymi ?
Sprzedający wtedy nie traci 2 złote na każdej obligacji a kupujący miałby dostęp do lepiej oprocentowanych starszych emisji obligacji SP.

gosc
Gość
gosc

Nie trzeba mieć czyjegoś smartfona aby przejąc kontrolę nad aplikacją zainstalowaną na smartfonie. Oto przykład z Japonii. Klienci 7-Eleven’s stracili $510,000 w kilka dni.
7-Eleven’s 7Pay Mobile Payments app Gets Hacked Within Days After its Launch
https://themerkle.com/7-elevens-7pay-mobile-payments-app-gets-hacked-within-days-after-its-launch/

Lenka
Gość
Lenka

Czy jakiś bank oferuje teraz tokeny challenge response do kont prywatnych? SMS-y to porażka.

Michał
Gość
Michał

Takie tokeny dają tylko złudzenie bezpieczeństwa. Skuteczny jest tylko token prezentujący dane transakcji, a takich polskie banki osobom prywatnym nie oferują.

Pibloq
Gość
Pibloq

Do Apki pekaoToken tez wpisywalo sie ostatnie cztery cyfry odbiorcy przelewu a nastepnie unikalny czterocyfrowy kod podany przez bank podczas zlecania przelewu. Wowczas aplikacja pekao token, majac wpisana 8 cyfrowa sekwencje, zwracala 6 cyfrowy unikalny kod autoryzacyjny. Calosc genialne w swej prostocie, nie wymagalo podlaczenia do neta. Po prostu w aplikacji bylo przypisanie 1:1 sekwencji 8cyfrowej (4 cyfry z nr konta i 4 cyfry podane przez bank) z 6 cyfrowym haslem autoryzacyjnym. Jesli wpisales poprawne, znaczy że Ty to Ty. Oczywiscie zalogowanie sie do pekaoToken było dwustopniowe i dość bezpieczne. Nie wiem, czemu Pekao sa zrezygnowalo z tego zabezpieczenia, bylo… Czytaj więcej »

Michał
Gość
Michał

Raiffeisen Bank Polska już w 2007 r. zaoferował możliwość ustawiania SMS jako drugiego czynnika logowania. 12 lat później gdy SMSy stały się podatne na ataki, coś takiego wprowadza mBank i inne banki. Bo nie chce wymyślić im się nic lepszego.

Google już ponad 10 lat temu rozpoznawał logowanie z nietypowego IP i uruchamiał wtedy procedurę zadania logującemu kilku pytań weryfikacyjnych. Do dziś żaden polski bank nie wprowadził takiej dodatkowej weryfikacji, co zapewne wcale nie byłoby jakoś bardzo kosztowne.

Mateusz Chrobok
Gość

Istnieją bardziej wygodne, i tańsze metody niż wysyłanie sms-ów. Biometria behawioralna, którą opisywaliście https://subiektywnieofinansach.pl/czy-analiza-sposobu-pisania-na-klawiaturze-moze-zastapic-login-i-haslo-do-banku-kilka-milionow-polakow-sprawdzi-dzialanie-biometrii-behawioralnej/ jest wdrażana w kilku miejscach. Mam nadzieję, iż wkrótce więcej banków zwróci się do rozwiązań nie psujących UX.

Konrad Borowski
Gość
Konrad Borowski

W moim rozumieniu silnej autoryzacji karty zdrapki mogą być wykorzystywane, ale tylko do logowania (przy robieniu transakcji nie wiadomo jaką transakcję się potwierdza). Element zdrapki jest tutaj ważny, on bowiem zabezpiecza przed zrobieniem zdjęcia karcie kodów. Powiem więcej, PKO BP zamierza utrzymywać karty zdrapki, doszli do wniosku że spełnia ona wymagania ustawy. Kody SMS, tutaj sprawa jest ciekawsza. Według EBA-Op-2019-06, kod SMS (a konkretnie posiadanie karty SIM) jest elementem posiadania. Tym nie mniej, artykuł 7 rozporządzenia UE 2018/389 mówi że „wykorzystanie tych elementów przez płatnika podlega środkom opracowanym w celu zapobieżenia powielaniu tych elementów”. Ataki na duplikaty kart SIM są… Czytaj więcej »

Andrzej
Gość
Andrzej

Korzystam, polecam!

Joanna
Gość
Joanna

Chętnie zrezygnuję z SMS-ów, ale nie mam ochoty kupować smartfona tylko po to, żeby móc korzystać z konta w banku. Bank mi da smartfona? A może token sprzętowy jednak bardziej się opłaca?

Joanna
Gość
Joanna

A co z SMS-ową autoryzacją, jeśli telefon nie jest smart i po prostu nie ma Androida ani iOS, ani w ogóle żadnych aplikacji poza tzw. menu?

ABC Portfela
Gość

Niestety raczej nie zadziała to telefonie starej generacji i będzie trzeba zakupić smartfon.
Z pewnością zmiany są potrzebne, aby nasze pieniądze były bezpieczniejsze – ale czy uda się to osiągnąć optymalnym kosztem dla klienta czas pokaże.

Bogdan
Gość
Bogdan

Sytuacja dynamicznie się rozwija. DOJ zapewne w drastyczny sposób przyśpieszy wdrażanie technologii eSIM na świecie swoją decyzją
https://www.theverge.com/2019/7/26/8931784/t-mobile-sprint-merger-esim-justice-department-requirement-sim-card
a jak w telefonach zabraknie tradycyjnych kart SIM to i pewnie łatwiej będzie o atak typu SIM swap a to pewnie ostatecznie przekreśli SMSy jako mechanizm autoryzacji.

Teoretycznie w przypadku eSIMów złodziej mógłby przejąć telefon, dokonać ataku na konto, przelać pieniądze, przywrócić eSIMa oryginalnemu właścicielowi tak żeby nawet nie wiedział że utracił dostęp do telefonu.

Grzegorz
Gość
Grzegorz

Jakiś czas temu korzystałem z aplikacji token ipko w PKO BP. Oprócz generowania haseł jednorazowych w aplikacji można było włączyć dodatkowe hasło wymagane do logowania, Parę miesięcy temu wyłączyli aplikację. Komu to przeszkadzało?

MMM
Gość
MMM

Wszystko super z autoryzacja przez token a aplikacji mobilnej banku. Pytanie tylko kto audytuje aplikacje bankowe? Kto zagwarantuje ze aplikacja jest bezpieczna? Jakoś cicho na ten temat. Ja mam większe zaufanie do Google Authenticator niż do apek autorstwa banków . SMS to rzeczywiście anachronizm. Narzucanie konieczności posiadania telefonu / niezależnie od tego czy autoryzacja jest przez SMS czy token/ to tez bardzo opaczne zrozumienie zasad bezpieczeństwa autoryzacji.

błagam
Gość
błagam

Oczy wypala ta autentykacja..

Gość
Gość
Gość

Witam, Toyota Bank od połowy sierpnia udostępni (obecnie jej nie ma) aplikację mobilną, o od 14 września będzie to JEDYNA forma logowania do konta. To nie żart – aby obsługiwać konto przez PC trzeba kupić iPhone za 1400 zł lub więcej lub smarfona z Androidem. W innym wypadku od 14 września brak dostępu do konta! Nie ma SMSów, nie ma tokena. Brak jakiejkolwiek alternatywy w zakresie autoryzacji. Wolno wymagać od klientów kupienia drogiego smartfona?

Don Q.
Gość
Don Q.

Nie musisz kupować „drogiego”, widzę, że nawet poniżej 150 zł jest w czym wybierać.

Nie zmienia to faktu, że trudno mi uwierzyć, by bank mógł wymagać posiadania smarfona… Choć to bank specyficzny, chyba nawet bez sieci placówek, kiedy blisko 30 lat temu startował mBank, to także wyróżniał się tym, że do korzystania z jego usług trzeba było mieć dostęp do Internetu, co wtedy było zapewne mniej powszechne, niż obecnie smartfomny…

Arek
Gość
Arek

Wielkie halo, od ponad 10 lat mam konto osobiste w Toyota Bank razem z tokenem. Malutki brelok do kluczy ok. 2×5 cm który co chwilę zmienia ciąg 6 cyfr. Mega wygodne, nie połączone z żadną aplikacją. Jedyny minus tego banku to taki że nie jest na liście banków, które umożliwiają korzystanie z usługi Google pay czyli płacenie smartfonem przez NFC, ale da się z tym żyć.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss