W dniu niedziela, 3 kwietnia 2016 17:01:10 UTC+2 użytkownik janek z pola napisał:
> Michal 'Amra' Macierzynski wrote:
>
> > W dniu niedziela, 3 kwietnia 2016 12:14:12 UTC+2 użytkownik Wojciech
> > Bancer napisał:
> >> On 2016-04-02, Michal 'Amra' Macierzynski <michal.macierzynski@ wrote:
> >>
> >> [...]
> >>
> >> > Ty widzisz to ze swojej strony, ze cos mozna, niektore banki moze i tak
> >> > robia - ale z praktyki tez wiemy, ze przestepcy rowniez chetnie
> >> > czekaliby na telefon z banku, podszywajac sie pod klienta.
> >>
> >> A z praktyki, co przemawia przeciw aktywacji "powiązanej" z kontem
> >> standardowym? W sensie loguję się do swojego panelu na www, zgłaszam chęć
> >> podpięcia urządzenia mobilnego, podpisuję to SMSem, dostaję kod
> >> jednorazowy do aktywacji urządzenia i finito. Bez udziału czynników
> >> białkowych.
> >>
> >> Robi tak np. mBank, więc "da się", a nie sądzę by to było jakoś mocno
> >> niebezpieczne.
> >
> > Wszystko dzieje sie na odleglosc i nie masz pewnosci, czy osoba robiaca to
> > co mowisz jest Twoim klientem. Niestety ale i login i haslo i narzedzie
> > autoryzacyjne mozesz przejac. A przez ten telefon mozesz przelewac
> > pieniadze, przesylac je on-line do innych bankow, wyplacac z bankomatu,
> > etc. Co oznacza, ze standardowe antyfraudowe zabezpieczenia nie maja tyle
> > czasu co w przypadku standardowej bankowosci internetowej. Dlatego mamy
> > wersje pasywna aplikacji (login i haslo). Co do aktywnej - pracujemy nad
> > tym, zeby lepiej bylo to robione w oddziale - ale ten SMS potwierdza, ze
> > aplikacja jest rejestrowana na telefonie, ktory jest w kartotece klienta
> > (a nie jakims innym, ktorego nigdy nie widzielismy). Na tym nowym tez
> > mozna bez pracownika banku zarejestrowac - o ile jest jakis inny telefon
> > komorkowy,. ktory jest w systemie...
>
> Tak jak już wcześniej wspominałem, z tym ostatnim zdaniem nie mogę się
> zgodzić. Aplikacja wcale nie wysyła SMSa - może są jakieś przypadki gdy jest
> rzeczywiście przesyłany SMS - ale nie w mojej konfiguracji i również
> potwierdziły to na tej grupie 2 inne osoby.
>
> Gdyby się pojawiła treść SMSa na ekranie, to bym go wysłał z numeru
> zarejestrowanego do wiadomości banku. Tylko, że to się sprowadza do
> scenariusza: apka pokazuje na ekranie sekretny ciąg znaków i zadaniem
> klienta jest przekazanie tego ciągu znaków do banku - jako SMS z numeru
> zaufanego i wówczas bez czynnika białkowego LUB w rozmowie telefonicznej z
> pracownikiem banku.
>
> Taki proces zrozumiałbym. Ale nie rozumiem, dlaczego proponujesz nam taką
> wersję procesu jako fallback na proces, które jest rzeczywiście
> zaimplementowany. Tzn. rozumiem tyle, że według mnie ten zaimplementowany
> proces jest wielką armatą, z której trzeba oddać jeden mały strzał. Co
> więcej zamiast tego strzału można wyjąć tą kulkę i jako fallback podać
> przesłać ją do banku z innej, dużo mniejszej armatki, może nawet pocztą.
>
> Oczywiście nadal mam na uwadze, że ten fallback na wysyłkę SMSa z innego
> urządzenia jest niewykonalny, ponieważ tam żaden SMS nie jest wysyłany. Ale
> po co ta wielka armata, skoro fallback powoduje ten sam efekt, a wymaga
> znacznie mniej implementacji?
>
> --
> Wysłane z pola.

Bo tu nie chodzi o przekazanie tego ciagu znaku przez czlowieka - nie rozniloby sie
to niczym, gdyby na numer telefonu przychodzil SMS (jak w innych bankach), ktory
wpisujesz w telefonie czy na innym urzadzeniu.
W ten sposob weryfikujemy powiazanie urzadzenie - telefon z kartoteki klienta.
Jesli instaluejsz appke na telefonie, ktory nie jest w kartotece klienta w banku
(sprawdzamy ten numer poprzez wyslanie SMSa) - telefon np. z IVR kierowany jest nie
na ten telefon, ale telefon, ktory dodales w oddziale (i jest zarejestrowany w
banku). Albo ta "bialkowa" obdzweonka tez jest kierowana na numer z kartoteki.
Zauwaz, ze login i haslo mozna poznac poprzez zwykly phishing - ten kod, ktory
generuje telefon i przesyla do banku - mozna podobnie w ten prosty phishing przejac.
Moze Ty tego nie potrzebujesz- ale przy kilku milionach klientow niestety caly czas
widac, ze zlodzieje wykorzystuja ludzka naiwnosc.

Jesli aplikacja mobilna ma byc tak samo pelnoprawnym kanalem jak bankowosc
internetowa - musi byc bezpieczna.

A to wysylanie SMSow z androida - sprawdze jutro - tak jak pisalem - na swoim
androidzie mam wysylane SMSy, a samej platformy nie znam za bardzo i korzystam jako
3ciej przede wszystkim do HCE