Fly4free.pl

Nie do końca rozumiem czy dyrektywa na którą powołują się banki wyklucza autoryzację sms? Ostatecznie i tak powiadomienie dociera na to samo urządzenie końcowe najczęściej.

Nie, ale same SMSy nie są wystarczające. Muszą być 2 czynniki uwierzytelniające (2-factor) z trzech: coś co wiesz, coś co masz, coś czy jesteś. Sam SMS potwierdza (ale kiepsko, o tym niżej), że "masz" telefon. Potrzebny jest jeszcze inny czynnik (hasło, odcisk palca, itp.) Aplikacja mobilna zapewnia zarówno posiadanie konkretnego telefonu, jak i dodatkowo pyta o PIN/biometrię.


Z punktu widzenia użytkownika końcowego i użyteczności - tak. Jeżeli chodzi o bezpieczeństwo to jednak różnica jest diametralna. SMSy są znacząco łatwiejsze do przechwycenia (zarówno w trakcie transmisji w sieci operatora, która jest nieszyfrowana, jak również na telefonie, który może być zainfekowany, czy wreszcie - najczęściej - poprzez wyrobienie duplikatu karty SIM u operatora, którego procedury w tym zakresie są dziurawe).

_________________

To jest problem spowodowany przez producentów telefonów lub Google jako producenta Androida. Gdyby nie ich ficzery w celu oszczędzania baterii, powiadomienia powinny dojść od razu.


SMS na równi z powiadomieniem w aplikacji spełniają wymóg "coś masz" i razem z hasłem ("coś wiesz") wystarczą do dwufaktorowego uwierzytelnienia. Banki wycofują się z SMS-ów ze względu na koszty (liczba wysłanych powiadomień nie wpływa na koszt) oraz ryzyko związane z przechwytywaniem treści SMS-ów na zainfekowanych telefonach z Androidem. Aplikacja daje dodatkowe, ale nie wymagane zabezpieczenie, w postaci kodu odblokowującego telefon (przy odpowiednich ustawieniach zabezpiecza on też treść SMS-ów) oraz hasła/PIN-u do samej aplikacji. Tzw. biometrię można w rozważaniach pominąć, ona potwierdza jedynie znajomość kodu do telefonu.


Te oszustwa dowodzą, że banki popełniły błąd naiwnie opierając swoje zabezpieczenia na zmiennych i zupełnie niezweryfikowanych procedurach po stronie operatorów komórkowych.

Efekt jest taki, że każdy bank będzie miał swoją aplikację do autentykacji. A są inne wygodniejsze metody jak autentykatory generujące kody cyklicznie, bez konieczności posiadania aktywnej transmisji danych.

Może i wygodne, ale z bezpieczeństwem mają takie tokeny niewiele wspólnego.

Tak czy tak, najpopularniejsze ostatnio ataki phishingowe bazują na socjotechnice tak mocno, że nawet silne uwierzytelnienie i aplikacyjna autoryzacja im niestraszne.

Tak myślisz? Jestem innego zdania, może naiwnie ale bardziej ufam tokenom generowanym przez ms lub google, nie wspominając o innych o otwartym kodzie. Aplikacja autentykujaca jest tak dobra jak programista, który ją napisał

Token niczego nie autentykuje, on tylko pokazuje kody. Przepisujesz kod na ekranie myśląc, że potwierdzasz to co na nim widzisz.

Ale co to obchodzi klienta banku? Łatwiej zmienić bank niż zrezygnować z Androida, taniej zmienić bank niż telefon.
Ja tam w Citi złożyłem wypowiedzenie kart kredytowych po 20 latach korzystania, właśnie ze względu na to że autoryzacja mobilna nie działa, a SMS skasowali zupełnie. Wezmę kartę od banku ktòry zachowa autoryzację SMS, albo rozwiąże te problemy i nie będzie ich na mnie zrzucał.

O tyle powinno go IMHO obchodzić, że jeśli problemem jest faktycznie oszczędzanie baterii, to będzie mieć go w każdym banku na tym telefonie.

No niestety to co zrobiło Citi to nieporozumienie. I nie zgadzam się że to problem z androidem, bo w aplikacji mBanku, Curve czy Revoluta nie ma żadnych problemów. Wystarczyłoby dodać możliwość wyświetlenia oczekujący autoryzacji w aplikacji, skoro nie są w stanie poradzić sobie z tymi opartymi o powiadomienia push. A skutek jest taki że karta Citi jest bezużyteczna przy płatnościach internetowych, bo to jest ruletka czy przyjdzie potwierdzenie i płatność będzie trzeba powtarzać.

_________________

Czyli to nie problem oszczędzania baterii. Niestety w niektórych sprzętach Huawei czy Xiaomi takie problemy to codzienność i łatwiej pozbyć się telefonu niż problemu.

Citi niestety słynie z niskiej jakości rozwiązań informatycznych, wiec nic dziwić nie powinno.

mam to samo z citi, ruletka z powiadomieniami. wczesniej byly sms-y, wiec bez problemu, ale wylaczyli. reszta bankow dziala. a myslalem ze tylko u mnie citi nawala

@ume
Citi na piśmie twierdzi, że to oszczędzanie baterii jest problemem i rzeczywiście po wyłączeniu tego powiadomienia zaczęły dochodzić ale i tak nie działały czyli problemem jest Citi, a nie telefon, tym bardziej że np. żappce np. oszczędzanie baterii nie przeszkadza no i to Citi wyłączyło sprawdzone działające SMS-y na rzecz czegoś co nie działa, a zwalanie winy banku na androida czy producenta telefonu to zaklinanie rzeczywistości, bo smartfon działa, a zawodzi bank

U mnie na Xiaomi (model z 2020) i Huawei (model 2016) powiadomienia nie tylko z Citi, ale z innych banków oraz Revoluta nie dochodzą póki ręcznie nie wybudzę telefonu. Robiłem research i wyszło, że oba telefony usypiają wszystko co się da by oszczędzać baterię. Wybudzenie telefonu skutkuje od razu dostarczeniem wszystkich zaległych powiadomień.

Historii Citi ciąg dalszy:
https://subiektywnieofinansach.pl/nie-m ... nternecie/