Telefon jako klíč k vašemu účtu: Google spustil bezpečnější přihlašování mobilem

A teď ještě tu o vesmírných lidech

Používáte online push autentizaci přes Internet, zatímco tohle být online nepotřebuje. Nahrazuje to půl roku starý Google Titan Security Key za 50 dolarů, v budoucnu i USB dongly, které musí mít třeba účetní s přístupem do banky. Takže to, co používají banky je teď i pro GMail/GDrive atd.

Názor byl 2× upraven, naposled 13. 04. 2019 08:40

Nahrazuje to bezpečnostní USB dongle klíče, což je vyšší úroveň zabezpečení, než push notifikace přes net nebo opisování čísla z generátoru.

Protože napadnout push notifikace nebo softwarový generátor čísel je jednodušší - jen využijete stávající zařízení v počítačové síti nebo so napíšete program. Tohle je odolnější, protože byste potřebovat speciální hardware a to jen tak nevyrobíte (je to o hodně dražší).

sms nejsou bezpecne protoze si je muze kdokoli precist. SMS komunikace neni sifrovana. chce to trochu namahy a byt pod stejnou BTS jako vy.

a key generator ?

Pokud máte dostatek výpočetního výkonu a potřebné znalosti, mohl byste s jistou úspěšností predikovat další číslo. Případně najít v generátoru chybu, která významně zvýší tuto úspěšnost.

SMS muze byt sifrovana, ale vyzaduje to SIM Tool Kit. Tak to mela ebanka.
I kdyz SMS jako takova sifrovana neni, tak vetsinou je sifrovany samotny signaling, kteryho je SMS soucasti.
A BTS uz byly davno nahrazeny node_b(3G) a enode_b(4G).

eBanka, která to z nepochopitelných důvodů zrušila (nechává doběhnout původní, ale např. nové služby s tím už vůbec nepočítají)

eBanka zrušila SIM toolkit, protože jeho podpora je obvykle jen ve smartphonech, které prodávají operátoři.

Jste si jistý?
Měl jsem Nexus 5X z LG eshopu, druhý Nexus 5X z Amazon.de a pak Pixel 3 opět z Amazon.de. Všude SIM toolkit fungoval.

Vypínali mi v eBance v roce 2010 šifrování SMS kvůli Dell Streak (předchůdce Galaxy Note), na který jsem si dal korejský firmware (v angličtině, pro Evropu novější verze nebyla). Mluvil jsem i s technikem eBanky.

SMS si může přečíst jakákoliv aplikace (týká se i tzv. "hloupých" telefonů kromě prehistorických černobílých). Celé se to děje, protože se SMS začaly ve velkém zneužívat.

V tomhle případě jde o úplně něco jiného. Ověření probíhá na úrovni HW a to buď přes bluetooth nebo USB.

priznam se, ze jse vubec nepochopil, v cem to je lepsi nez to, co uz par let pouzivam, tedy vyzva z aplikace google v telefonu.

ja byc hse pridal ... v cem je to lepsi nez klasicky dvoufaktor ?

SMS není bezpečná (leda byste měl starou *černobílou* Nokii). V telefonu může být nainstalována aplikace, která SMS čte (a přeposílá), což jsou aplikace noLED, zálohovací programy, nahrávání hovorů, blokátory čísel, atd. Navíc nemusíte mít v telefonu data (být online). Jednoduše se dají napadnout i push notifikace a softwarový generátor čísel. Tohle je složitější, potřeboval byste speciální hardware.

Názor byl 2× upraven, naposled 13. 04. 2019 08:35

Je to tak správně, ta push notifikace vypadá úplně stejně, jen se po potvrzení "Ano" spustí ověřování přes Bluetooth nebo USB.

Snímky v článku opravdu ukazují konfiguraci push notifikací přes Internet místo nastavení funkce USB donglu.

Naopak to zvyšuje zabezpečení. SMS může přečíst (a přeposlat) jednoduchá aplikace v chytrém i hloupém telefonu, push notifikace se dají napadnout po cestě v Internetu/síti, generátory čísel jsou také napadnutelné softwarově (nebo predikcí).