Forum strony Fly4free.pl
https://www.fly4free.pl/forum/

Autoryzacja mobilna w bankach i nie tylko
autoryzacja-mobilna-w-bankach-i-nie-tylko,181,159623		 Strona 1 z 1
Autor:  kemotik [ 24 Cze 2021 12:18 ]
Temat postu:  Autoryzacja mobilna w bankach i nie tylko
Tomasz101 napisał(a):
te autoryzacje mobilne to we wszystkich bankach jest problem


Nie do końca rozumiem czy dyrektywa na którą powołują się banki wyklucza autoryzację sms? Ostatecznie i tak powiadomienie dociera na to samo urządzenie końcowe najczęściej.
Autor:  xionc [ 24 Cze 2021 12:29 ]
Temat postu:  Re: Revolut
kemotik napisał(a):
czy dyrektywa na którą powołują się banki wyklucza autoryzację sms

Nie, ale same SMSy nie są wystarczające. Muszą być 2 czynniki uwierzytelniające (2-factor) z trzech: coś co wiesz, coś co masz, coś czy jesteś. Sam SMS potwierdza (ale kiepsko, o tym niżej), że "masz" telefon. Potrzebny jest jeszcze inny czynnik (hasło, odcisk palca, itp.) Aplikacja mobilna zapewnia zarówno posiadanie konkretnego telefonu, jak i dodatkowo pyta o PIN/biometrię.

kemotik napisał(a):
Ostatecznie i tak powiadomienie dociera na to samo urządzenie końcowe najczęściej

Z punktu widzenia użytkownika końcowego i użyteczności - tak. Jeżeli chodzi o bezpieczeństwo to jednak różnica jest diametralna. SMSy są znacząco łatwiejsze do przechwycenia (zarówno w trakcie transmisji w sieci operatora, która jest nieszyfrowana, jak również na telefonie, który może być zainfekowany, czy wreszcie - najczęściej - poprzez wyrobienie duplikatu karty SIM u operatora, którego procedury w tym zakresie są dziurawe).
Autor:  ume [ 24 Cze 2021 13:25 ]
Temat postu:  Re: Revolut
Tomasz101 napisał(a):
te autoryzacje mobilne to we wszystkich bankach jest problem

To jest problem spowodowany przez producentów telefonów lub Google jako producenta Androida. Gdyby nie ich ficzery w celu oszczędzania baterii, powiadomienia powinny dojść od razu.

xionc napisał(a):
kemotik napisał(a):
czy dyrektywa na którą powołują się banki wyklucza autoryzację sms

Nie, ale same SMSy nie są wystarczające. Muszą być 2 czynniki uwierzytelniające (2-factor) z trzech: coś co wiesz, coś co masz, coś czy jesteś. Sam SMS potwierdza (ale kiepsko, o tym niżej), że "masz" telefon. Potrzebny jest jeszcze inny czynnik (hasło, odcisk palca, itp.) Aplikacja mobilna zapewnia zarówno posiadanie konkretnego telefonu, jak i dodatkowo pyta o PIN/biometrię.

SMS na równi z powiadomieniem w aplikacji spełniają wymóg "coś masz" i razem z hasłem ("coś wiesz") wystarczą do dwufaktorowego uwierzytelnienia. Banki wycofują się z SMS-ów ze względu na koszty (liczba wysłanych powiadomień nie wpływa na koszt) oraz ryzyko związane z przechwytywaniem treści SMS-ów na zainfekowanych telefonach z Androidem. Aplikacja daje dodatkowe, ale nie wymagane zabezpieczenie, w postaci kodu odblokowującego telefon (przy odpowiednich ustawieniach zabezpiecza on też treść SMS-ów) oraz hasła/PIN-u do samej aplikacji. Tzw. biometrię można w rozważaniach pominąć, ona potwierdza jedynie znajomość kodu do telefonu.

xionc napisał(a):
kemotik napisał(a):
Ostatecznie i tak powiadomienie dociera na to samo urządzenie końcowe najczęściej
czy wreszcie - najczęściej - poprzez wyrobienie duplikatu karty SIM u operatora, którego procedury w tym zakresie są dziurawe).

Te oszustwa dowodzą, że banki popełniły błąd naiwnie opierając swoje zabezpieczenia na zmiennych i zupełnie niezweryfikowanych procedurach po stronie operatorów komórkowych.
Autor:  kemotik [ 24 Cze 2021 13:32 ]
Temat postu:  Re: Revolut
Efekt jest taki, że każdy bank będzie miał swoją aplikację do autentykacji. A są inne wygodniejsze metody jak autentykatory generujące kody cyklicznie, bez konieczności posiadania aktywnej transmisji danych.
Autor:  ume [ 24 Cze 2021 13:37 ]
Temat postu:  Re: Revolut
Może i wygodne, ale z bezpieczeństwem mają takie tokeny niewiele wspólnego.

Tak czy tak, najpopularniejsze ostatnio ataki phishingowe bazują na socjotechnice tak mocno, że nawet silne uwierzytelnienie i aplikacyjna autoryzacja im niestraszne.
Autor:  kemotik [ 24 Cze 2021 13:44 ]
Temat postu:  Re: Revolut
Tak myślisz? Jestem innego zdania, może naiwnie ale bardziej ufam tokenom generowanym przez ms lub google, nie wspominając o innych o otwartym kodzie. Aplikacja autentykujaca jest tak dobra jak programista, który ją napisał
Autor:  ume [ 24 Cze 2021 14:36 ]
Temat postu:  Re: Revolut
Token niczego nie autentykuje, on tylko pokazuje kody. Przepisujesz kod na ekranie myśląc, że potwierdzasz to co na nim widzisz.
Autor:  Tomasz101 [ 25 Cze 2021 21:02 ]
Temat postu:  Re: Revolut
ume napisał(a):
To jest problem spowodowany przez producentów telefonów lub Google jako producenta Androida. Gdyby nie ich ficzery w celu oszczędzania baterii, powiadomienia powinny dojść od razu.



Ale co to obchodzi klienta banku? Łatwiej zmienić bank niż zrezygnować z Androida, taniej zmienić bank niż telefon.
Ja tam w Citi złożyłem wypowiedzenie kart kredytowych po 20 latach korzystania, właśnie ze względu na to że autoryzacja mobilna nie działa, a SMS skasowali zupełnie. Wezmę kartę od banku ktòry zachowa autoryzację SMS, albo rozwiąże te problemy i nie będzie ich na mnie zrzucał.
Autor:  ume [ 25 Cze 2021 21:08 ]
Temat postu:  Re: Revolut
Tomasz101 napisał(a):
Ale co to obchodzi klienta banku? Łatwiej zmienić bank niż zrezygnować z Androida, taniej zmienić bank niż telefon.

O tyle powinno go IMHO obchodzić, że jeśli problemem jest faktycznie oszczędzanie baterii, to będzie mieć go w każdym banku na tym telefonie.
Autor:  SPLDER [ 25 Cze 2021 21:11 ]
Temat postu:  Re: Revolut
No niestety to co zrobiło Citi to nieporozumienie. I nie zgadzam się że to problem z androidem, bo w aplikacji mBanku, Curve czy Revoluta nie ma żadnych problemów. Wystarczyłoby dodać możliwość wyświetlenia oczekujący autoryzacji w aplikacji, skoro nie są w stanie poradzić sobie z tymi opartymi o powiadomienia push. A skutek jest taki że karta Citi jest bezużyteczna przy płatnościach internetowych, bo to jest ruletka czy przyjdzie potwierdzenie i płatność będzie trzeba powtarzać.
Autor:  ume [ 25 Cze 2021 21:15 ]
Temat postu:  Re: Revolut
Czyli to nie problem oszczędzania baterii. Niestety w niektórych sprzętach Huawei czy Xiaomi takie problemy to codzienność i łatwiej pozbyć się telefonu niż problemu.

Citi niestety słynie z niskiej jakości rozwiązań informatycznych, wiec nic dziwić nie powinno.
Autor:  ibartek [ 25 Cze 2021 22:35 ]
Temat postu:  Re: Revolut
mam to samo z citi, ruletka z powiadomieniami. wczesniej byly sms-y, wiec bez problemu, ale wylaczyli. reszta bankow dziala. a myslalem ze tylko u mnie citi nawala ;)
Autor:  Tomasz101 [ 25 Cze 2021 23:03 ]
Temat postu:  Re: Revolut
@ume
Citi na piśmie twierdzi, że to oszczędzanie baterii jest problemem i rzeczywiście po wyłączeniu tego powiadomienia zaczęły dochodzić ale i tak nie działały czyli problemem jest Citi, a nie telefon, tym bardziej że np. żappce np. oszczędzanie baterii nie przeszkadza no i to Citi wyłączyło sprawdzone działające SMS-y na rzecz czegoś co nie działa, a zwalanie winy banku na androida czy producenta telefonu to zaklinanie rzeczywistości, bo smartfon działa, a zawodzi bank
Autor:  ume [ 25 Cze 2021 23:33 ]
Temat postu:  Re: Revolut
U mnie na Xiaomi (model z 2020) i Huawei (model 2016) powiadomienia nie tylko z Citi, ale z innych banków oraz Revoluta nie dochodzą póki ręcznie nie wybudzę telefonu. Robiłem research i wyszło, że oba telefony usypiają wszystko co się da by oszczędzać baterię. Wybudzenie telefonu skutkuje od razu dostarczeniem wszystkich zaległych powiadomień.
Autor:  ume [ 30 Cze 2021 22:26 ]
Temat postu:  Re: Autoryzacja mobilna w bankach i nie tylko
Historii Citi ciąg dalszy:
https://subiektywnieofinansach.pl/nie-m ... nternecie/
Strona 1 z 1 Wszystkie czasy w strefie UTC + 1 godzina (czas letni)
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/