"Kiderült az is, hogy gyakorlatilag senki nem tudja alkalmazni az erős ügyfél-hitelesítést önállóan, vagy ha mégis megteszi, akkor a vásárlók nem tudnak fizetni az internetes áruházakban – ismertette az MNB alelnöke."

Ezt nem értem, bocsánat. Ki nem tud mit alkalmazni? A visa és a mastercard adja a megoldást nem a bankok. Ezt "csak" be kell kapcsolni.
Vásárlói oldalról meg wtf? Egy fehér oldalon kiírja, hogy kérj sms-ben vagy emailben kódot.

[ Szerkesztve ]

Ez az erős ügyfélazonosítás konkrétan mi? Csak nem valamiféle kétfaktoros azonosítás? Azok ma már nem igazán erősek.

Ismét csak egy izzadságszagú kifogás a hivatal részéről...

Én csak annyit látok, hogy mindenhol megjelent a tokenezés és a mobil használat társítása a telefonhoz.
Ok.
De amíg a bankok trágya alkalmazásokat csinálnak, addig ez semmit sem ér!

Konkrétan három bank appját használom: mkb, raiffeisen és gránit.
Gránité a legjobb, mkb elmegy, egyiket se zavarja a root,alap hide-al elvannak.
Na de a raiffeisen!
Mindegy mivel rejtem el előle, egy idő után mindenképpen érzékeli és onnantól nem hajlandó elindulni, míg a többi app vígan megy.
A "régi" raiffeisen appban legalább a belépés és a tranzakció megerősítés mehet root mellett, más appon belüli művelet nem, de az új, csilli villi appal még ez sem megy, és sunyiban elindul háttérben, hogy folyton feldobja a chromeban a weboldalon lévő figyelmeztetést.
Baromi idegesítő.

Amit sokan nem tudnak, hogy bankkártyás fizetésnél a bank részére át kell adni a webshopnak adatokat, lásd: [link]

Mivel (többek között) az OTP sem készült el a háttérben az adatok fogadására, nincs teszt felületük sem, így már júniusban lehetett tudni, hogy nem lesz kész a dolog.

Csak a többfaktoros authentikálásról beszél a média, arról nem igazán, hogy egy webes kártyás fizetésnél mit fognak bekérni a webshopoktól amik kártyás fizetést tartalmaznak.

Mivan?
Konkrétan te mire gondolsz, mert ez így magában hülyeség.

Arra, hogy már rengeteg hír van arról, hogy hiába van kétfaktoros azonosítás már az sem elég sok esetben. Sőt voltak esetek amikor éppen még csökkentette a biztonságot.

[ Szerkesztve ]

Írd már le mi szerinted a 2 faktoros azonosítás.
3 faktoros jobb? Vagy 4?

Például amikor online bankolásnál még be kell írnod egy sms-ben elküldött ideiglenes kódot is, hogy be tudj lépni a fiókodba.

Van egyáltalán olyan oldal aminek saját payment systemje van, és nem egy banki oldalra irányít át? Ezeket az adatokat a webshopban be sem szokták pötyögni az emberek.

De mi lenne a megoldás? Több faktor jobb?
Vagy csak szimplán a most használatos második faktor a gyenge, mert akkor azt írd.

(#13) Akkor azt kérdezd, mert magában két faktoros azonosítás nem lesz elavult. Attól függ mi a második faktor. Sms azonosítással mi a gond?
Én nem hallottam, hogy ezeket rutin szerűen kijátszanák.

[ Szerkesztve ]

Azt akartam csak megtudni, hogy mit értenek konkrétan "erős ügyfélazonosítás" alatt, mert lehet, hogy valami újdonságot, lehet hogy a ma már rutinszerűen kijátszott kétfaktoros azonosítást.

Sok szakmai hír volt róla pedig. Sőt már a kivezetésést javasolják, mert többet árt mint használ. Például:

" Azonban tavaly az Amerikai Egyesült Államok szabványügyi hivatala már azt javasolta, hogy az sms-alapú, kétfaktoros azonosítást ki kellene vezetni."

"Mivel az SS7 protokollt 42 éve dolgozták ki, az akkori szabványok és élet szerint biztonságos technológiáról beszélhetünk. A kidolgozói nem tudhatták, hogy évtizedekkel később egy olyan technológia, melyet internetnek nevezünk, életünk minden részét átitatja - írja a G Data. A cég szakemberei szerint az sms-üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra. A szakemberek a hardveres biztonsági tokenek, vagy a Google Authenticator-hoz hasonló mobil alkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni."

Ha adnak egy saját tokent az jobb, de azzal kapcsolatban is vannak hírek, hogy ki lehet játszani... Nem általánosan mint az SMS-t, de volt már jópár eset amikor így vagy úgy kijátszották azt is.

[ Szerkesztve ]

Egy másik hírből:

"az ESET Android/Spy.Banker.EZ néven azonosította. A mobilapplikációt a telepítés után arra használta, hogy megkerülje a kétfaktoros azonosítást"

Sok más hasonló van...

[ Szerkesztve ]

Clear textben küldött kód tény, hogy nem a legjobb, de ezen felül még kell pár dolog, hogy ezt ki is használják.
Pont ahogy a http-t is kerülik, az SMS-t is valszeg ki akarják emiatt vezetni. De ettől ez a cikk még nem a rutinszerű kihasználásáról szól, hanem a technológiájáról. Legtöbbször mégsem az SMS-ben küldés lesz a gond, hanem hogy Pistike hátul 3x húzza le a kártyát, vagy a pinnel együtt lopják el a kártyát. Ezen pedig más faktor se segít, amíg ott a pin használatának lehetősége.

Mindent ki lehet játszani, ezeken a 8 faktor se segít. Amikor már a gépeden csücsülnek akkor hiába a faktor. Azon csak a vírus irtó segít. Szóval ez így megint nem releváns.

[ Szerkesztve ]

Külföldön gyakori sajnos... ehelyett az SMS-es kínlódás helyett (korábban volt nekem a VISA féle, 10-ből kb hatszor nem tudtam fizetni a kártyámmal miatta) pont ezt kéne bevezetni mindenütt, ami Magyarországon alap: amikor fizetsz, átkerülsz a bank oldalára, és csak ott adod meg a kártyád adatait... nem a Józsika által készített webshop formjában amivel becsszó nem fognak visszaélni, és biztonságosan tárolnak

Gyors számolás: 260 milliárdos forgalom, 0.02% alatti a kár összege, az 52 millió Ft... mennyibe is kerül ez a rendszer évente? Megéri egyáltalán?

Egyáltalán nem így működik a dolog. Van pár "payment gateway" (Stripe, Braintree, stb.) és az oldalak 90%-a ezek egyikét használja, maga az oldal soha nem tárolja a bankkártya-adataidat, csak egy hash-t kap a gateway-től ami alapján be tud azonosítani. Nagyon szigorúan veszik a PCI DSS szabályozást, eleve megfelelni neki is nagyon nehéz, sokba kerülne a saját megoldás kiépítése, ha meg kiderül, hogy nem feleltek meg, akár milliókra perelhetik a cégeket. (Ez persze nem jelenti azt, hogy nem léteznek csalók.)

[ Szerkesztve ]

Hogy megéri e, az európai átlagot kellene nézni, nem a magyart, a több faktoros hitelesítés nem magyar találmány. Én is feleslegesnek tartom ezt a plusz hercehurcát azonban.

Rutinszerű mert rengeteg trójai, meg hasonlók vannak amik hatástalánítják, megkerülik a kétfaktor biztonsági megoldást manapság. A másik ESET-es példa egy volt a sok közül.