Názory k článku
Až 200 tisíc lidí ročně přijde o svůj e-mailový účet, spočítal Seznam

Přítelkyni blokly účet, když jim nedala číslo mobilu. Houby je sběratelům údajů, po mobilu, bankovním účtu nebo kopii občanky.

Je to tak 8 let, co Seznam odmítl právě bezpečnostní otázku pro reset hesla jako potenciálně snadno zneužitelnou. Dlouhodobě vedl lidi k tomu, aby mu vyplnili otázky, na které odpovědi zrovna moc tajné nebyly. Odpovědi na otázky si interně ukládali jako prostý text, další obrovský problém v případě úniku.

Jsem rád, že po letech tohle přehodnotili, jen škoda, že jim to trvalo tak extrémně dlouho.

jj, třeba 2FA s vlastní aplikací jak si oblíbily naše banky. Oni k tomu mají samozřejmě naprosto jasný důvod, chtějí vytěžovat data o klientech a Android je tak hodný, že těch dat jim předá obrovské množství.

Proč chtít jen telefonní číslo, když mohou mít celý telefon…

Ad Dnešní mobil umí vše, dokonce lze z něj i telefonovat.:
Pouze v případě nouze, protože se blbě drží u ucha a mikrofon míří někam mimo hlas.
Jen se podívejte, kolik lidí to má nahlas, naplacato před hubou...

V dobe, kdy davno mame funkcni a standardizovane FIDO/Webauthn (a umi to kdejaka sluzba, vc. treba konkurujiciho google) seznam konecne prichazi alespon s TOTP :-) No skvele, maji ale jen 12 let zpozdeni (RFC 6238 je z roku 2011)...

Pokud je ten účet nepoužívaný, tak asi máte šanci.
Já jsem na tom hůř, protože je jen zablokovaný a trvá na tom, že se přihlásím buď ze stejného zařízení (jako před cca 15 lety?) nebo s ověřovacím kódem z telefonu (který tam nikdy nebyl). Ale protože tohle se děje až po přihlášení, než mne pustí dále, tak ten účet zároveň není neaktivní.
Jako bonus přestalo chodit POP3/SMTP, takže mi tam padají zprávy, ke kterým se nedostanu...

Kampak se ztratilo Don't be evil!?

No, zrovna Google mne těžce naštval, protože mi znepřístupnil můj nejstarší e-mailový účet, protože jsem neprovedl "ověření věku", tedy neprokázal, že mi je více, než 14 let. (Že i ten účet byl starší jim nevadilo...) Jen to jaksi dávali vědět jen při přihlašování přes webové rozhraní, které jsem nepoužíval...
Následně mi prý umožní obnovení zasláním kódu na mobil, který tam nebyl zadaný (v době, kdy jsem to zakládal, jsem ani mobil neměl...)

Takže: pro obnovu možná, ale rozhodně by mi vadilo dvoufázové ověření u normálního e-mailu, kam lezu přes POP3/SMTP.

@Uncaught ReferenceError:
Přesně to jsem chtěl uvést: "...vytěžovat data o klientech ..." = hlavní důvod.
Opsaná fráze: Dnešní mobil umí vše, dokonce lze z něj i telefonovat. ;-)

21. 11. 2023, 13:06 editováno autorem komentáře

Tak pod to se podepíšu, jen bych trochu opravil, že to je přímo exemplární ukázkový příklad. ;oD
Podle mého to dospělo do stavu, kdy se ty mobily vlastně nehodí k ničemu, k čemu je používáme, ale zároveň jsme čím dál více nuceni je tak používat.

To je bohužel častý problém nástrojů, které jsou navrhovány tak, aby "uměly všechno". Sice je lze použít na hromadu věcí, ale na žádnou z nich se vlastně moc nehodí. Smartphone je ukázkový příklad: sice teoreticky nahrazuje mobil, počítač, foťák, navigaci, čtečku knih a kdo ví co ještě, ale v praxi stojí ergonomie proti specializovaným přístrojům za starou bačkoru.

Jenže občas se ty podmínky mění, takže to, s čím člověk souhlasil, když si tu službu pořizoval, najednou neplatí - a rázem stojíte před rozhodováním, zda přijmout nepřijatelné podmínky nebo zrušit službu, na kterou jte navázali závislosti.
Pominu-li, že hledat freemail, který nechce telefonní číslo, je v dnešní době práce zdlouhavá a leckdy marná.

Tohle je bohužel poslední dobou čím dál častější, 2FA s TOTP jako jedinou možností. Tedy pokud to rovnou není něco ještě méně praktického. :-(

Naopak, bylo to fajn a jednoduché. Samozřejmě, že tam člověk nesměl napsat např. skutečné jméno matky za svobodna, ale třeba datum narození souseda odvedle, pak je to neprůstřelné. A nepotřeboval na to další fičuru jako telefonní číslo, aplikaci a podobně. Ovšem jak to interně ukládali, to nevím.

S tou bezpečností je to všelijaké. Ve firmě máme nastaveno měnit hesla do PC a nějakých aplikací každé dva měsíce, plus teda požadavky na heslo, nesmí se opakovat atd. Skončilo to tak, že jsou hesla napsaná na tom pověstném papírku na monitoru, protože je to debilita na entou, každé dva měsíce to překopat. Naštěstí jde ke stávajícímu připsat vždy jeden znak.

Ano. Kombinace FIDO challenge a transaction text lze využít pro potvrzení platby a zobrazení informací o transakci, nebudeš tedy potvrzovat něco naslepo. Vše kryptograficky podepsané a šifrované. FIDO (UAF, U2F i FIDO2) splňuje podmínky v PSD2.

Co myslíš tím "biometricky podepsat"? To nedělá žádná bankovní aplikace.

Na jednom z mnoha různých účtu u seznamu to hlásí jako:

... účet je potřeba opravit...

Nazývají to podle nešikovného dialogu jako :

... Chybí záchranné telefonní číslo...

A vyřeší se :

...Nastavte si dvojfázové ověření...

Chápu pointu , ale po "trapasech" s bezpečným prohlížečem a fám o pozadí zrušení Lide cz , je třeba to brát krapet s rezervou. Že obyčejní lidé přijdou o telefonní číslo je také vysoce pravděpodobné i bez "útoku z Internetu".

Najít tuhle rovnováhu pro obyč uživatele , kde v ideálním poměru bude bezpečnost, uživatelská přístupnost a cena není vždy jednoduché.

Rozhodně na pozadí není dobro uživatelů , ale snaha ušetřit , získat marketingová data, nebo naplnit nějaký úřední předpis. A ještě si za to můžete nechat zaplatit viz Facebook "bez reklam".....

Bezpečnost je prioritou nejen pro nás, ale také pro stále větší skupinu našich uživatelů. Jsme rádi, že ...

Takhle začíná celé oznámení. Kdyby to pro ně byla opravdu priorita, tak tohle zavedli již dávno. Museli si zkusit protlačit 2FA přes tu jejich aplikaci. Asi přišla vlna stížností, co si po změně telefonu nemohla dostat do emailu.

Každopádně by mě zajímalo, jestli napojení na bankID = automatické vrácení účtu po odcizení.

Případ s věkem se mi stal před desítkou let při startu jejich Gmail. Mohl jsem mít krásnou mail-adresu (nebyla obsazená), ale udělal jsem překlep v datumu narození. Při odhlášení (až během odhlášení!) byl oznámen onen problém/nedostatek. Snažil jsem se jejich komplikovaným systémem vše napravit, ale vždy se zadrhlo. Přímý kontakt nemožný (myslím běžně). Po desítkách pokusů jsem vše vzdal. Občas po letech se pokusím založit, ale vždy s hláškou, že je účet obsazený. Google má mít nějaké čištění nepoužívaných účtů (v roce 2024), snad to vyjde znovuzaložit.

21. 11. 2023, 14:13 editováno autorem komentáře

No, kazda sluzba ma sve podminky uziti :-) Nelibi se vam? Muzete jit tam, kde se vam libit bude.

21. 11. 2023, 16:37 editováno autorem komentáře

Tak to povedz i Oracle, pretože ešte aj dnes v Oracle systémoch bežne mám bezpečnostnú otázku. A celá naša firma používa pravidlo "posledné slovo otázky je odpoveď", teda:

Otázka: "Where was your mother born?"
Odpoveď: "born"

Gratulujem k bezpečnosti. A čo tak ešte zaviesť aby heslo bolo nezmeniteľné "password123"? Áno i firma ako Oracle má bezpečnosť totálne naprd.

I Svelte vývojári si z toho robia srandu, rovno v tutoriály: https://learn.svelte.dev/tutorial/select-bindings

21. 11. 2023, 20:19 editováno autorem komentáře

A tak meni se vse kolem nas... :-) Prekvapive zatapet v talovych kamnech na uhli, abyste si uvaril veceri uz neni uplne vyhledavane reseni, ze?

A tak samozrejme - kdyz rozvoj "anonymnich" sluzeb vede k tomu, ze to lidi zneuzivaji k ruznym ne uplne peknym vecem, tak se i pochopitelne poskytovatele sluzeb nejak brani vznikle situaci. A samozrejme zrovna mobilni telefonni cislo je vec, ktera s vasim ztotoznenim v pripade nelegalni cinnosti pomoct nasledne muze, i kdyz to neni ve vsem dokonale. Jak jinak byste to resil vy? ;-)

Tak to je na provozovateli a ne na systému.

password123 je ukázkové heslo pro potřeby tutoriálů a dokumentací, v kterém případě je nezměnitelné.

A co vam brani takovy freemail provozovat? ;-) Z toho vaseho popisu to vypada jako dira na trhu... muzete ji zalepit :D

To taky dlouhodobe ignoruji, asi budu muset projit, kde mam e-mail od Seznamu pouzity a zkusit to vcas zmenit nebo konecne poridit nejakou anonymni predplacenku.
Vtipne je, ze bez cisla vam neumozni 2fa, i kdybyste chtel vyuzit jinou metodu nez overeni sms.

Biometricky podepsat myslím podepsat transakci soukromým klíčem uloženým v HW, který podepíše jen po prokázání se biometrikou. Tedy například TPM, nebo ty FIDO tokeny.

TPM si žádnou biometriku neověří, nemá jak. FIDO token může, pokud má příslušný snímač a implementaci (např. Yubikey BIO FIDO edition). Ale aby to mělo pro druhou stranu skutečný význam z hlediska bezpečnosti, musela by si ona sama být schopna ověřit tu biometriku, což už z principu možné není.

Co jsem to tak četl, tak fór je v tom, že když si člověk tu dvoufaktorovou autentizaci zapne, musí si nastavit další extra heslo pro pop3/imap/smtp (a musí být jiné než to hlavní), jinak to nebude fungovat. Což mi přijde přinejmenším bezpečnostně vtipný :). Když to zase vypne, začne pro pop3/imap/smtp platit zase to hlavní.
https://napoveda.seznam.cz/cz/login/postovni-programy-caldav-dvoufazove-overeni/

A ta FIDO/Webauthn autentikace, umí ona přijmout příkaz (třeba k platbě), bezpečně ho zobrazit, nechat biometricky podepsat a poslat zpět?

Já bych to neřešil. ;o)
Pokud bych provozoval freemail (a měl vyřešené, z čeho to platit - tedy krom sběru a prodeje údajů), klidně bych nechal lidi zakládat si účty bez dalších kontaktů. Je to jejich riziko. A porušení podmínek lze vyřešit okamžitým zrušením toho účtu.
Ale beztak preferuji spíš řešení vlastní doména a e-maily samostatně - takže nebýt historické závislosti a provázanosti, vůbec bych to řešit nemusel.

Lenost. ;oD

Dost blbý to je i v případě, že do té administrace musíte povinně 2× do roka vlézt a odsouhlasit změnu v podmínkách.
(Což by, mimochodem, určitě šlo i tím e-mailem,)

A kde se ten transaction text zobrazuje? Ty FIDO klíče typicky nemají displej. A jak se ten text dá formátovat, aby byl přehledný?

Biometricky podepsat myslím podepsat transakci soukromým klíčem uloženým v HW, který podepíše jen po prokázání se biometrikou. Tedy například TPM, nebo ty FIDO tokeny.

Text se zobrazuje v aplikaci, která s FIDO klíčem komunikuje, text je prostý bez formátování. Je to jeden z režímů, které je v rámci FIDO specifikované.

Biometrické podepisování v takovémhle stavu neexistuje. Kapacitní senzory, které používáme jako "otisk prstu" nejsou otiskem, zařízení má zaznamený pouze nějaký souhrnný součet z elektrické vodivosti prstu. To není nic, co by druhou stranu nějak zajímalo, ty údaje dále nejdou do samotného podpisu a druhá strana o nich neví.

2fa se vetsinou pouziva pro pristup do weboveho rozhrani, do administrace, kde si vygenerujete aplikacni hesla a ty pouzivate v aplikacich, ktere s tim komunikuji pres POP3, SMTP nebo treba IMAP. Kdybych musel kazdy odeslany mail nebo dokonce pravidelnou kontrolu novych e-mailu kazdych par minut dvoufazove overovat, tak by mi 2fa take vadila.

21. 11. 2023, 19:11 editováno autorem komentáře

To mi az tak hrozne neprijde. Prave nejotravnejsi je to tam, kde to potrebujete casto. Nejspis by to slo i e-mailem, ale proste vas chteji jednou za cas videt "osobne" ;-)
Mozna tise doufaji, ze se pak zapomenete odhlasit a budou vas moci sledovat o neco radostneji, nez kdyz jim po serverech pobihate neprihlasen nebo se jim proste nechce implementovat neco jako "Odpovezte ANO, pokud souhlasite s novymi podminkami".

Tenhle argument není valídní, protože u nás se (naštěstí) stále prodávají anonymní předplacené karty.

Taky tak. Naštěstí tam mám jen data ze stopaře z mapy.cz, takže mě to tolik trápit nebude.