Vlákno názorů k článku Air Bank má aplikaci pro Windows Phone od xls - Když už je řeč o AiB, tak by...
-
xls (neregistrovaný)
Když už je řeč o AiB, tak by se Lupa mohla podívat na bezpečnost internetového bankovnictví. Podepisování prvního příkazu sms asi problém nebude, ale možnost podepisovat pak další příkazy neomezeně jen heslem? Tohle je bezpečnostní díra roku, kterou si žádná jiná banka nabídnout nedovolí.
-
Problém je v případě, že má útočník počítač, včetně IB, pod kontrolou svého programu. Pak si počká na první transakci potvrzenou přes SMS a pak na pozadí odešle své transakce potvrzené jen heslem, které už dříve zjistil.
Já ale AB chápu. Výše popsaný útok je vyšší level a běžně se asi neděje. Na běžnější úroveň, že někdo zjistí jména a heslo, a pak ho použije ze svého počítače, stávající řešení s první SMS stačí. Také je to přívětivější k uživateli, protože zadat heslo je rychlejší a snazší než opisovat SMS. A v poslední řadě to ušetří bance pár desetníků za SMS.
Ukazuje se ale, že by to měla AB zrušit. Hlavně proto, že běžný uživatel, a AB je pro běžné uživatele, série příkazů nezadává. To bude spíše výjimečné. Výše uvedenemu útoku se nedá bránit ani odhlášením po prvním příkazu. Nebo to nechat volitelné, jako je SMS už pro přihlášení.
-
Myslím, že banka, která posílá milióny SMS měsíčně, nemůže používat nějaký paušál s neomezeným počtem SMS. Spíše než v haléřích se cena jedné SMS pohybuje v desetnících. A je to i dobrý důvod, proč Air Bank neposílá SMS všem už při přihlášení do IB. Přihlášení je významně více, než aktivních operací.
Podobně jako firmy s tisíci položek měsíčně nemohou používat bankovní účet bez poplatků.
-
fd (neregistrovaný)
Boze ... banka (ale i libovolna jina firma) ma uzavrenu ramcovou slouvu, a cena SMS je pro ne presne 0. Zaplati 50, 100, 150 ... tisic Kc mesicne, v zavislosti na poctech zarizeni, pausalech atd, ale za ty SMS nezaplati NIC.
Firma s desitkami tisic pohybu mesicne zcela jiste ucet bez poplatku pouzivat muze. Otazka je, zda ji to nevyjde draz, nez ucet placeny, protoze takova firma bude dost pravdepodobne obchodovat se zahranicim, a tudiz pro ni bude vyhodne za ucet neco platit a mit tak levnejsi zahranicni transakce.
Pokud chcete pro predstavu konkretne, nejakych 200 telefonu, provolano mesicne neco kolem 10 000 hodin (pouze odchozi) a stoji to neco kolem 30 000Kc. Na tech hodinach prakticky nesejde, cast telefonu je tarifovana za cas, ale ty maji zcela minimalni podil, drtivou vetsinu delaji pausaly.
Jeden z tech pausalu je pak vyuzivan pro specificky ucel, ktery spociva v odesilani stavovych SMS. Mesicne jich je nekolik tisic. Ano, banka toho bude mit jiste radove vice, a ma pro ni smysl primy pristup na SMS branu operatora, coz je vyhodne i pro operatora, protoze se SMS v siti prenasi jen jednou a ne dvakrat. Ale platit za to zcela jiste nebude.
-
Pár tisíc SMS se jistě vejde do nějakého paušálu. Ale myslím, že pro větší počty bude cena nějak záležet na počtu.
Už proto, že kdyby ten počet byl neomezený, mohla by ta banka zbytek své neomezené kapacity předprodávat jiným bankám :-).Rád bych si ale přečetl vyjádření někoho, kdo opravdu ví, jak se platí za velké počty SMS přes brány operátorů. Zrovna tady na Lupě by někdo takový mohl být.
-
Hmmm, přesně takto to má i KB, SMS jen při přihlášení (přihlašuje-li se uživatel odjinud než z jednoho z několika posledně použitých zařízení) či prvním příkazu (pokud jde o známé zařízení) a pak už jen heslo. Což poněkud nabourává tvrzení "Tohle je bezpečnostní díra roku, kterou si žádná jiná banka nabídnout nedovolí."
-
Sérii příkazů u AirBank jsem kdysi zadával a asi při čtvrtém příkazu v rámci téhož přihlášení už zase proběhla autorizace pomocí SMS kódu. Nevím, jak konkrétně to má banka nastavené, jestli na počet transakcí nebo výši posílané částky, ale nějaké omezení při potvrzování dalších transakcí heslem namísto SMS kódem má.
-
agent (neregistrovaný)
Problem je v tom, ze utocnik nepotrebuje vubec SMS kanal. Staci mu ovladnout pocitac (nejakeho trojana ma v pocitaci kde kdo) a pak si jen pocka, az uzivatel provede prvni platbu overenou SMS. V tu chvili uz muze posilat penize kamkoliv bez autentizace SMS, staci mu jen heslo, ktere zna, protoze ma pod kontrolou pocitac.
-
Protože předpokládáme, že to celé bude dělat program tak s rychlostí mít problém nebude. Ledaže by banka vyžadovala SMS i pokud by druhá transakce následovala příliš rychle po první. Pak by byla šance bránit se rychlým odhlášením po první transakci. Nejspíš to tak ale není a nezbývá než rychlá reklamace.
ČLÁNKY DO MAILU