Ja jen doufam, ze ted se jen snazis hrat nejakou hru a nejsi skutecne tak mimo.
mike píše:najit rozumny kompromis mezi uzivatelskou (ne)prijemnosti a bezpecnosti, protoze jdou proti sobe
ANo, jenze ja jsem pésal jen o bezpecnosti - i kdyz uzivatelska (ne)prijemnost neni o nic horsi v tom "mem" reseni nez v reseni se zadanim pristupovych udaju, tam se taky posila par potvrzovacich SMS.
mike píše:viz treba ta CSOB. Na prvni pohled v pohode, na druhy jak zarucis, ze ten kod nepouzije nekdo jiny? Treba kolega fotici pres rameno (to jsem psal ja, sleduj poradne text). Dalsi potvrzujici SMS by byla opruz pro uzivatele a nic realne nezarucuje, jelikoz ma stejny problem. Jedine kdyby telefon, kam instalujes aplikaci, musel byt stejny jako ten, kam chodi kody a takova podminka snad neni (kdyby byla, tak si kod muze precist rovnou aplikace).
Prave ze tam je podminka, ze muze aplikace poslat SMS pouze z jednoho z telefonu, ktere jsou zadane v bankovnictvi, tj. ne z libovolneho. Toto bych docela ocekaval, ze bude u vsech bank - stejne jako jsi musel zadat telefon, kam zasilat potvrzovaci SMS doted. A ano, aplikace si to muze udelat i sama - ale to je otazka realizace na pozadi, mne zaujimalo / psal jsem o technickem reseni.
Mne osobne se moc nelibi, ze si muzes "jen tak" menit telefon(y) v el. bankovnictvi - zase mas vsechno na jednom miste, staci Ti vedet pristup pouze tam. Mne se vice libi u CS, ze tam dulezite komunikacni udaje jako telefon a email muzes zmenit je primo na pobocce. Je mi jasne, ze je to uzivatelsky otravne, pokud to je treba - ale je to dalsi zbaezpecovaci prvek a to docela ucinny. Vsak mne se i proto ne uplne libi zrizovani uctu ciste elektronicky, vcetne zadavani vsech dat. Tam vzdy dojdes k tomu, ze mas moznost se dostat ke vsem udajum na jednom miste.
Toho kolegu koukajiciho pres rameno uz prosim fakt vynech, to je otoceni toho, o cem mluvim do jineho smeru. Ja pisu o vetsim bezpeci, kdyz NIKDY nemas vsechny udaje na jednom miste, ne o tom, ze mi nekdo muze koukat pres rameno. Pokud teda generujes QR kod pro identifikaci nekde v praci spolu s kolegou, tak to je trochu podobne, jako kdyz si napises PIN karty primo na kartu... Proste to narazi na absolutni zakladni bezpecnostni "opatreni".
mike píše:Problem se zadanim udaju je realny, ale jak jsem psal, jen v pripade, ze tvuj telefon uz je napadeny. No a v takovem pripade plati "all bets are off" tj. bezpecnost nemuzes zajistit zadnym zpusobem. Uz nainstalovana aplikace na pozdeji napadenem mobilu byt bezpecna furt muze, ale pokud teprve vytvaris zabezpecene spojeni, tak smula.
Vsak presne o tom pripade jsem psal - ze ja nikdy nemohu vedet, jestli ten telefon nemam v okamihu zadavani udaju napadeny a ze proto se mi nelibi tam zadavat pristup do bankovnictvi.
Zase aby bylo jasen - nikdy zadnym resenim nebudes mit 100% zabezpeceni, jen mi prijde reseni CS se zadavanim pristupu do bankovnictvi nebezpecnejsi. Z hlediska security, ne complexity.