» »

Slo banke in spletna varnost

Slo banke in spletna varnost

miharix ::

Hoj,

vsem Slo bankam sem 19.5.22 poslal sočasno kratka vprašanja na temo e-banka/mobilna banka/avtentifikacije

Nekaj jih je odgovorilo, nekatere pa tudi do sedaj ne.

Njihove odgovore in tabelo z vsemi odgovori na enkrat,
najdete tukaj:
https://we.tl/t-IDTQQ2vlhU

-
Povod za to je bil ker sem ugotovil, da NLB mobilna aplikacija je očitno zapečena na knjižnice GooglePlay
(kolikor se spoznam to pomeni: google slučajno reče to aplikacijo off -> vsi komitenti brez dostopa do banke)
-

Moje skromno mnenje je, da banke neupravičeno vsiljujejo svoje mobilne aplikacije, izgovor pa iščejo v EU uredbi, čeprav tam nič ne piše da za avtentifikacijo morajo biti mobilne aplikacije (vsaj sam nisem našel - nisem pravnik!) uporablja se le izraz "močna avtentifikacija"
Lp,
M.

DamijanD ::

Meni osebno je avtentikacija preko mobilne aplikacije banke obupna - rabim vsaj 30s (kakšnih 10s je samo, da sploh dobim push na telefon), da pridem skozi (medtem, ko recimo Ms authenticator deluje instantno)

starfotr ::

Daj te datoteke nekam na bolj trajno mesto. Recimo https://file.si/

miharix ::

@starfotr hvala za predlog
sem dal sem: https://file.si/3N2K/slo-bankeodgovori....
Lp,
M.

Ice-Heki ::

Mogoče v svoj seznam vključiš še preostale banke in hranilnice v Sloveniji?

Pri bankah, ki za dostop do spletne banke uporabljajo Rekono, lahko za 2FA uporabiš certifikat ali FIDO ključek, tako da gre brez mobilne aplikacije.

Lonsarg ::

Geoza je ta obsesija z promoviranjem mobilnih aplikacij.

Malo upe polagam v Windows 11 podporo za Android aplikacije, obstajajo že neki neuradni hacki da si tudi Google Play usposobiš, me zanima če bi potem delale te spletne banke, da ne bi bil več omejen na mobitel.

bluefish ::

Pohvale za deljenje. Bi pa v temi o spletni varnosti vseeno pričakoval, da za ogled ni potrebe po prenašanju datotek neznanca :P

predi ::

V temi, katere naslov vsebuje besedno zvezo "spletna varnost", nekdo razpečuje tekstovne datoteke v obliki arhiva. Namesto pod Informacijska varnost je zadeva v Loži. Slovenščina bolj tako.

Čakaj malo.

https://www.varninainternetu.si/prevare...

@OP, niti ni važno ali so moje insinuacije pravilne ali ne, pomembno je, kako je zadeva videti.

Magic1 ::

Hehe, lahko bi dal vsaj na google doc, samo potem smo spet odvisno od Googla.
Magic

miharix ::

Haha dobra, na to res nisem pomislil, le zdelo se mi je da bi znala biti zanimiva debata.
Ja res, tu nisem aktivni uporabnik, bi rabil naložiti kot txt ter bmp, da nebi bil sumljiv ;)

Drugače sem isto naložil na s5tech ter elektronik.si, kjer sem bolj aktiven (isti nick), upam da bo dovolj za zaupanje.
https://www.s5tech.net/viewtopic.php?f=...
https://www.elektronik.si/phpBB2/viewto...

Če ne pa zbootajte npr Tails :))

No čisto resno, meni se zdi to posiljevanje z mobilnimi aplikacijami gnilo.
Jasno, cilj je da uporabnik izvaja čim več bančnih transakcij.

Pa tisi rekono... meni to zgleda kot neka na silo rešitev, kot da banka noče s svojim IT skrbeti za svoje stranke.
Sicer imajo vsake oči svojega malarja, a GUI od rekono bi pomojem rabil, še kar piljenja.

@Lonsarg Če si odvisen od GooglePlay si odvisen od google. Drži? Zakaj mora biti Slovenska BANKA odvisna od ene Ameriške korporacije ?
Lp,
M.

Lonsarg ::

GooglePlay knjižnica je interface, API. Tak da obstaja več kot ena implementacija, čeprav Google to res zavira in alternative pogosto ne delajo za vse aplikacije, vem da je nekdo enkrat že raziskoval in ene bančne aplikacije so delovale druge ne.

Glavni issue pa sicer ni to katere odvisnosti so izbrali za Android (ker GooglePlay je tle čisto logična izbira). Issue je to da so izpustili Windows platformo in nas silijo v uporabo mobitela. Pa tut Web+FIDO standard kot alternativo aplikacijam bi se spodobilo da podprejo.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

miharix ::

A lahko prosim najdeš link, so seznama katere so delovale brez?

Tako je namizne platforme vedno bolj ignorirajo.

Če že po vsej sili mobilne aplikacije bi od banke pričakoval GooglePlay / AppleStore / Huaway.. / in obvezno APK na uradni strani banke

Pa tudi ni mi jasno kaj je problem, da nekdo, ki je bolj IT freak ne more iti na banko in tam prevzeti ustrezne podatke za nastavit poljuben OTP generator (kateri algoritem izbrat ter tvoj osebni ključ)
Lp,
M.

Lonsarg ::

To so vse grdi hacki za entuziaste, pa se to vprasanje koliko bi jih delalo dandanes sploh na ta nacin. microG je drgac ta alternativa o kateri sem govoril. Rabis custom ROM.

Ja firme so masovno podprle Google/Apple duopoly, tak da tak imamo.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Patrik0 ::

No glede bančne varnosti.
Banka Intesa, nbanka, nlb, skb in unicredit uporabljajo OTP generatorje (software based). Pomeni do generatorji neposredno vdelani v mobilne storitve (to so mobilne banke: isps, klikin, mojaskb itd.). Preden sploh mobilno banko lahko aktivno uporabljaš je potrebno se vnaprej verificirati z geslom, pin kodo ali s pomočjo biometrije (najpogosteje prstni odtis ali faceid). Šele nato lahko aktivno karkoli delaš z mobilno banko oz. temu pripadajočimi generatorji, skenerji itd. Glede na mehanizme in nastavitve je potrebno se v mobilno banko oz. mobilni generator direkt prijaviti oz. aplikacijo direkt zagnati. So pa banke in njihove aplikacije, ki izvajajo takšne in drugačne procese v ozadju, ko uporabniku pošljejo push notification. Pri nekaterih dela to zelo dobro, pri nekaterih včasih ne. Po verifikaciji v mobilni aplikaciji se uporabniku izpiše 6-8-10 mestna šifra (t.i. one-time passcode), ki je generiran po naključju in samo enkrat ter trjaa odločen čas (20, 30.60 sekund), odvisno pač od banke. To šifro je treba s kombinacijo maila, uporabniškega imena ali drugega vpisati v polja in se tako lahko prijaviš v spletno banko. Nekatere banke še imajo dodatno varnostno opcijo (npr. pri nlb-->vpišeš uporabniško ime in otp geslo, če je to uspešno te pusti naprej, potem pa še moraš v tretjem koraku vpisati osebno geslo, ki si ga nastavil sam. Ko so vsi trije vnosi pravilni šele potem se komaj prijaviš v dejansko spletno banko).

No nekateri (delavska hranilnica, vipavska hranilnica, dbs itd.) pa uporabljajo storitve tretjih oseb "ala" Rekono. No tukaj ne gre za neko "povečano" varnost, ker ta rekono storitve v osnovi dela isto kot so banke delale zmeraj do slej. Zakaj pa potem banke to nalogo varnosti in verificiranja prenašajo na rekono? Ker imajo potem manj dela, manj stroškov, manj težav in en razlog več: če kaj ne dela ob prijavi "nismo mi krivi naš partner rekono ima težave s strežniki" itn. Kakorkoli tale rekono ni nič drugega kot ena stvar več v bančništvu, postopki verifikacij pa so enaki, vendar sedaj združeni vsi na enem mestu. Rekono omogoča prijavo z mailom/uporabniškim imenom in določenim geslom. Drugi postopek verifikacije pa sledi lahko s pmočjo certifikata, s pomočjo kode poslane preko e-pošte, s pomočjo kode poslane preko sms sporočila ali pa s pomočjo rekono onepass aplikacije, kjer se lokalno na napravi generira otp šifra.
In to je praktično vse kaj ta rekono v osnovi počne. Po novem še preko rekonota dleuje tudi kartična verifikacija "3d/visa secure".

No in pa obstajajo še banke, ki pa pač ne dajo nekaj baš na varnost, kajti bilo je že dokazano, da je lažje vdret v telefon in prebrat sms z otp šifro, kot pa vdret v telefon, ugotiv gesla, pin kode ipd od mobilnih aplikacij, genratorjev in pa ebank.
No banke unicredit, nkbm in addiko pa uporabljajo zastarelo opcijo prijave (vpišeše uporabniško ime in geslo, nato pa preko sms-a dobiš sporočilo, v katerem se nahaja tudi otp šifra-kao 2. korak preverjanja prisotnosti)-kakorkoli vseeno bi bilo bolj varno uporablat v tem primeru ali certifikat kot pred 15-imi leti ali pa preit na rekono.

FAZIT: najbolj varna opcija definitivno 2. oz. novejša 3fa zaščita. Najboljša opcija je pač generator na mobilni napravi, ločeni klasik generator ali pa se pač pridružit v skupnost rekono. Vse je boljše in vse je za moje pojme bolj varno kot pa pošiljat sms sporočila z vatnosntimi šiframi. Ker kajti na koncu se tudi kdo nevidno od blizu lahko priliže in prestreže oz. pograbi signal in vidi vsebino sms - v tem primeru mu ni treba niti vdirat v naprvo, torej tvoj telefon.

Kakorkoli zgoraj napisano je samo moje mnenje. Zapisano o varnosnrih mehanizmih pa je resnično, saj sem sam preizkušal banke, bančne sotritve in njihove digitalne produkte.

krho ::

Patrik0 je izjavil:


No in pa obstajajo še banke, ki pa pač ne dajo nekaj baš na varnost, kajti bilo je že dokazano, da je lažje vdret v telefon in prebrat sms z otp šifro, kot pa vdret v telefon, ugotiv gesla, pin kode ipd od mobilnih aplikacij, genratorjev in pa ebank.
No banke unicredit, nkbm in addiko pa uporabljajo zastarelo opcijo prijave (vpišeše uporabniško ime in geslo, nato pa preko sms-a dobiš sporočilo, v katerem se nahaja tudi otp šifra-kao 2. korak preverjanja prisotnosti)-kakorkoli vseeno bi bilo bolj varno uporablat v tem primeru ali certifikat kot pred 15-imi leti ali pa preit na rekono.

Hvala bogu, ker jaz bi NKBM že zdavnaj poslal v kur*c, če bi moral za prijavo v spletno banko uporabiti mdenarnico, ker ta hudič NE DELA po 2-3 mesece ob vsakem novem Andorid-u. Letos je to druga runda, ko ne dela. Pa se naši spletni banki, ki je baje #1 gladko je*e.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

miharix ::

Patrik0 hvala za napisano.

Patrik0 je izjavil:

Vse je boljše in vse je za moje pojme bolj varno kot pa pošiljat sms sporočila z vatnosntimi šiframi. Ker kajti na koncu se tudi kdo nevidno od blizu lahko priliže in prestreže oz. pograbi signal in vidi vsebino sms - v tem primeru mu ni treba niti vdirat v naprvo, torej tvoj telefon.

Da, a bo takega napadalca zelo oviralo že da sistem reče "vtipkajte SMS OTP in 4 ter 8 znak vašega sekundnega gesla"
To geslo pa vsilit menjavo na vsakih par mesecev. Po OTP pa še vnos primarnega gesla ter obvezna uporaba certifikata.
Lp,
M.

Patrik0 ::

Res je. Ampak takih oblik napada pri nas pomoje ni nekaj pretirano. Kolikor opažam se včasih ampak redkeje zgodi, da nepridipravi pošiljajo lažne sms-e. Bolj priljubljen in enostaven je phising napad, ko ti pošiljajo lažne maile in tako pač pridejo do podatkov. No ne vem kako ostali gledate na to vse. Me zanima kakšna so vaša mnenja in izkušnje z varnostnimi mehanizmi bank in kaj komu ustreza oz. ne ustreza??

Evolve ::

Če si dovolj butast ti tudi 10 faktorska zaščita ne pomaga


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Delavska hranilnica (strani: 1 2 3 414 15 16 17 )

Oddelek: Loža
845200487 (3710) Pro
»

Rekono App (strani: 1 2 )

Oddelek: Omrežja in internet
517467 (880) EjTi
»

Primerjava spletnih bank (strani: 1 2 3 )

Oddelek: Loža
11920640 (2482) delavec44
»

NLB ukinitev certifikatov ? (strani: 1 2 3 411 12 13 14 )

Oddelek: Loža
697134657 (41666) WizzardOfOZ
»

Menjava banke (strani: 1 2 3 4 )

Oddelek: Loža
16632819 (15915) nejc_nejc

Več podobnih tem