Doporučují jej banky, Google i Facebook. Přesto není zabezpečení přes SMS bezpečné

No jo KB certifikáty má, jenže u ostatních bank je to horší a to nemluvě o amerických. Tam ani neví, co slovo certifikát znamená.

pokud vim tak sifrovane SMS pouzivala jen eBanka, nyni stale pouziva Raiffka. Nicmene to musi podporovat SIM karta. Tu kterou mam ted [nanoSIM tmobil] to nepodporuje takze smolik a musel jsem si to nechat predelat na normalni SMS :( Takze kupredu vzad...

Taky mě to před lety donutilo k downgrade zabezpečení, ze šifrovaných zpráv skrz SIM toolkit na běžné SMS. Když jsem chtěl NFC platby.

V prosinci 2015 jsem si nechal vymenit sim kartu do iP6S a simToolkit stale jede od RB. Jen jsem to musel pres telefon aktualizovat - ten simtoolkit, uz nevim na jake cislo od TM jsem volal ale trvalo to skoro cely den nez prisla potvrzovaci sms. Taky mi v bance rikali ze uz to nepujde ale jsem s tim spokojen takze jsem do toho sel stuj co stuj.

jenže to neřeší to zneužití při ztrátě mobilu.

bezdotykovy transakce neoverovany umoznujou prevyst 250000 na jinej ucet ? to je novinka..o tom je totiz rec, ne o tvojem studentskem kapesnem

Také se snadno ztratí mezi papíry a potom jsem se nemohl přihlásit do banky. Mobil si mohu nechat prozvonit přes hodinky.

Tak zalezi jako token - pokud je to rozumne OTP, umoznuje vic tokenu, tak je to super. Takze mam jeden klasicky s displejem, jeden YubiKey, pro jednodussi zadavani do PC a pak dalsi na mobilu softwarovy. Samozrejme, pokud je to klasicka RSA hruza, tak je to hruza. Druha vec jsou pak ty softwarove v mobilu - tam hrozi podobne utoky ala malware, fyzicke zmocneni se a lidi obcas maji na mobilu jak generator OTP, tak nastavenou sluzbu. Coz je proti pravidlum bezpecnosti - z two factor to dela zase jen to heslo.

To je slechti. Ale data nejsou zadarmo jak nam tvrdi napriklad Babis a ne kazdej ma telefon na ktery jdou instalovat aplikace.

v offline to funguje tak, že sejmeš z obrazovky kontrolní QR kód, aplikace ti na základě toho vygeneruje 6ti místné číslo (po zadání PINu) a tím potvrdíš akci v bankovnictví. není to asi ideální, ale je tam vyhnutí se toho rizika popisovaném v článku.
ale jasně, potřebuješ mobil do kterého tu aplikaci nahraješ.

Jak zjistíš heslo o délce 97 znaků, které používa dolf?

Nerozumím otázce. Proč bych ho měl zjišťovat? Ale asi se shodneme, že "zjistit heslo o délce 97 znaků, které používa dolf" a k tomu ještě získat přístup k jeho telefonu a ve správnou chvíli si z něj kód, bude ještě těší, než jen "zjistit heslo o délce 97 znaků, které používa dolf". :)

Říkáš, že je bezpečnější než jednofázové ověření heslem. Jak projdeš přes to heslo?

Možná odpovídám diskusnímu trollovi, ale jako optimista předpokládám, že jsi třeba školák a dotaz myslíš vážně. :)Tak prolomit takové heslo můžeš na sto a jeden způsob. Třeba:
- přečteš ho uživateli přes rameno
- přečteš ho v počítači programem, který zachytává stisknutí kláves na klávesnici.
- tipneš si ho, protože to bude něco jako Alešek2003. Jméno a rok narození syna.
- stejné heslo uživatel používal i na jiném webu, odkud hesla unikla
- uživatel ti heslo sám řekl, v dobré víře že ho nezneužiješ
- vylákáš to heslo phishingem
- použiješ sociální inženýrství
- brutal force útok, zkoušíš jedno heslo za druhým, robotem podle slovníku
- atd.

Doufám, že jsi zaznamenal, že mluvím o hesle s 97 znaky a že nebudu až tak úplně blbej, abych rozdával heslo na potkání nebo ho vkládal na špatných stránkách nebo si do počítače instaloval keylogger :)Řády bezpečnosti mi to nepřinese.

lol, jestli používáš heslo dlouhý 97 znaků, tak to celou tuhle diskusi vysvětluje. Jako autistu tě to omlouvá. Ale světe div se, i na heslo dlouhé 97 znaků bude fungovat keylogger, physhing, podvržená zdrojová stránka, atp.

btw, to když násobíš bezpečnost bezpečnostním dalším bezpečnostním prvkem, tak je docela irelevantní, jak bezpečný byl ten první prvek. Pořád násobíš stejně. Samozřejmě dostaneš jiný výsledek. Ale znásobení bude furt konstatní. :)

těm způsobům získání hesla, které ti vyjmenoval, je až na nějaké výjimky jedno, jestli je heslo dlouhé 5 znaků nebo 97.

Ještě by mě zajímalo, jak něco takového dostaneš do mého PC, ale nevadííí

něco takového myslíš co konkrétně? program na monitorování stisku kláves? dobře, tak třeba nijak, takže to je varianta, která u tebe ne. ale on tam jmenuje další a další způsoby. dvoufázová ochrana smysl prostě má. a je lepší mít jedno heslo na 10 znaků a druhé potvrzení třeba přes mobil. než pouze jedno heslo na 97 znaků. ale jak píšeš, neavíííí.

No tak problem s viditelnou notifikaci je jen vymluva protoze je jen na uzivateli jak je ma nastavene... A vsude jde nastavit ze se ma ukazat notifikace bez obsahu...

Kraaasne napsane. Doufam, ze si to pisalek uvedomi a pozmeni clanek, ci jeho nadpis.Jen podotykam, ze casto (napriklad gmail) nezobrazuje cele telefonni cislo, ale jen par znaku. Coz znamena, ze pokud nedas nekomu tyto vsechny detaily, tak je mit nebude..

a co když má útočník nainstalován malware, který mu posílá obsah displeje, tj. i notifikaci na liště?