Ugyanez lenne az én kérdésem is. A bankoknak annyi teendőjük van, hogy értesíteni kellene a felhasználóikat. Meg kell fogalmazni az egység levelet és szétküldeni az ügyfeleknek e-mailben. Nem több mint 30 perc. Akkor több, ha ezt bele kell fogalmazni szabályzatukba és az ügyfelekkel aláíratni. Valószínűleg ez az amit nem tudnak időre megtenni.

[ Szerkesztve ]

Ember, egy normálisan sérülékenységvizsgált mobilappot soha az életben nem fogsz tudni használni root-olt készüléken, a te érdekedben...
Az, hogy nálunk divat a sufnituning meg a trükközés, a határok feszegetése, nehogymár negatívum legyen egy jól megírt mobilapp vonatkozásában... Mindenesetre jó tudni, hogy a Gránitbank appja a jelek szerint nem teljesítni az IT biztonsági elvárásokat.

Nem tudom más bankoknál hogy van, de OTP-nél nem csak egy kódot kapsz SMS-ben. Utalásnál pl. a számlaszámot és az összeget is megkapod, amire utalni készülsz, és a kódot, amivel jóváhagyhatod csak azt az utalást. Azaz ha az asztali géped teljesen kompromittálódott és egy tökéletes phising oldalon vagy, és a valódi utalásod adatait a háttérben megmásítják, akkor feltűnhet, hogy SMS-ben nem azt a számlaszámot és összeget küldte a bank, amit te begépeltél a gépeden. Az más kérdés persze, hogy ezt ki ellenőrzi (én szoktam ) és kinek tűnne fel.

Összességében igaz, hogy a 2FA csak akkor ér valamit, ha 2 különböző rendszeren van a két faktor, és az SMS-nél nem csak kódot kapsz, hanem arról is kapsz információt, hogy milyen műveletet végrehajtására kaptad azt a kódot. Bankkártyáknál a napi limitet is érdemes haszálni, én pl. minimum összegre (napi 50.000) állítom, és csak akkor állítom át, ha valami nagyobbat vásárolni készülök. Szerencsére ennél nagyobb összeget 24 óra alatt váratlanul nem gyakran szoktam elkölteni.

Egyébként ha valaki ilyen netbankos malware, phising, akármi áldozata lesz, és elutalják a pénzét külföldre, akkor azt kártalanítja a bank? Vagy minden felelősség az ügyfélé, hogy miért nem IT biztonsági szakértő?

[ Szerkesztve ]

Máshol képernyő azonosító van az SMS-ben hozzá... az rövidebb, és ugyan erre jó.
(Igen, és pont ez a szétválasztás nincs meg szerintem a mobilbank appoknál... hiszen minden ugyan azon a készüléken megy.... persze tudom, hozzá kell férni a feloldott állapotban lévő telefonhoz, és kell az mPIN ismerete... de ez egyszerűbb problémának tűnik, mint az, hogy ismeri a netbank nevemet, jelszavamat (ami nem egy hatszámjegyű kód, mint az mPIN esetén... és sokaknál van egy tippem, hogy születési év hónap), és hozzá kell férnie a feloldott telefonomhoz is)

Egy eszközről mindent azért sem érdemes, mert így elég egy eszközt feltörni. Itt en a szoftveres réseket kihasználó malwarekre gondolok, nem arra, hogy képernyot feloldva ott hagytam valahol. Android és iOS is tele van 0-day sebezhetőséggel, amiről a Google vagy Apple se tud. Dark weben lehet venni.

PC + telefon 2FA-nal 2 különböző OS-nek kell tudni a gyenge pontját egyszerre. Pl. Windows 10 + Android. Jóval kisebb az esélye.

[ Szerkesztve ]

Igen, ez a másik fele, és ez a bajom a sok mobil bankos megoldás erőltetésével. Persze lehet azt mondani, hogy vigyázz mit telepítesz, de hányszor került már fel a Playbe olyan app, amiről később kiderült, hogy vírusos.

Vannak példák rá, hogy a kétfaktotos azonosítás volt a probléma forrása pl.:

"A kétlépcsős védelem nyitott kaput a Reddit-adatlopás előtt"

"Adatlopás áldozata lett a Reddit, amelyhez a támadók épp az oldal védelmét erősíteni hivatott SMS-alapú kétfaktoros beléptetést használták ki. Az akció során az oldal belső adatai mellett felhasználónevek, email címek és titkosított jelszavak is kiszivárogtak."

Xpod:

Nem, mint többször is írtam, vannak teljesen más módszerek is.

"a kényelmetlenség, hogy mielőtt vásárolsz fel kell tölteni a számlát."

Inkább mint fuss a pénzed után, de ez évente mondjuk kétszer tényleg kellemetlen. Attól függ mennyit raksz fel és mennyit költesz.

[ Szerkesztve ]

Amit az OTP netbank használ szerintem nem rossz. Belépés QR kóddal.
Az oldal megjeleníti a kódot. Telefonos SmartBank app beolvassa majd kéri az ujjlenyomatot. Ha oké akkor a netbank tovább megy és belép.

Nem rossz, de a hackerek azért mindig előrébbjárnak:

"Ujjlenyomatokat és retinaadatokat is képes lenyúlni a legújabb bankvírus"

"Egy rendkívül kifinomult banki vírus kezdte el támadni a brazil vállalatokat, ami akár a felhasználó biomatikus adatait (pl. ujjlenyomat, retina, arckép) is ellophatja - derítették ki az IBM X-Force biztonsági szakemberei. "

"A vírus a biometrikus azonosítást is át tudja verni, ha van ilyen hitelesítésre szolgáló eszköze az ügyfélnek, a CamuBot üzemeltetői egy saját driver telepítésével egyszerűen lenyúlják az ügyfél biometrikus adatai által generált kódot és felhasználják a belépésre."

Oké de ehhez ahogyan írják is, driver kell. Nos. Telefonra elég nehéz root nélkül drivert telepíteni.
Az ujjlenyomatot pedig a telefon tárolja titkosítva. Ha ellopják a telefont, nem tudják felnyitni magát a telefont se. Még a recoverybe se tudnak belépni.

Akkor az OTP adja el mindenkinek a megoldását, mint tökéleteset, mert amúgy elég bajban van az egész bankszektor ilyen szempontból. Már rengetegszer bebizonyosodott, hogy az elvileg tökéletes védelmeknek mindig voltak gyengepontjai, szóval totál magabiztos ne legyél abban, hogy ez annyira biztonságos.

[ Szerkesztve ]

Nem azt mondom, hogy teljesen biztonságos mert olyan nincs. Minden feltörhető. Csak ez jobb megoldás mint az sms módszer.

Így van, akkor ezen nem veszünk össze.

És azok a pénzintézetek, amelyek nem így küldték eddig az SMS-t, azoknak is így kellene ezután (többek között ezek a fejlesztések nem készültek el egyeseknél).

De látod, más meg sír azért, mert a gonosz bank nem engedi az appját root mellett futtatni.

multheten voltam a bankban intezni valamit. mondom a nonek,akkor intezzuk mar el ezt az uj hitelesitest is. mondta, hogy meg semmit nem tud rola. na,mondom,az fasza,1 het mulva indul. halisten, a jogalkoto itt esznel volt. bezzeg az a nyomorult gdpr felkeszen is jogerore emelkedett. itt a phn a csalok szinte megfoghatatlanna valtak a gdpr miatt, a haver par honapos S Mercijet kamera alatt parkolva huztak meg,de a kamera tulajdonosa jelezte,hogy a gdpr ota lenyegeben disznek van kinn. 500k-1 milla kozotti a kar ....

[ Szerkesztve ]

Az sms védelmében: nem csak okostelefonnal működik.

A képmás miatt de, illetve bejátszik a személy és vagyonvédelmi törvény is.

Én úgy tudom eléggé más dolgok érvényesek simán köz kamerázásra és térfigyelőre.
Pont ezért is lehet fent csomó hivatalos térfigyelő.

Meg par ev,es mindenki feher bottal jarkal az utcan,mert ha kinyitja a szemet,ranez valakire,akkor rogziti a memoriajaban,ezzel pedig mar megsertette a szemelyisegi jogait.
Ha hajlando a nap vegen bemenni a hivatalba,ahonnan torlik neki az illegalisan begyujtott emlekeket,akkor szigoru keretek kozott nyitott szemmel is kimehet majd az utcara.