Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Niemieckie banki wycofują się z potwierdzania transakcji SMS-ami
Jak pokazuje historia, SMS-y to nie jest idealna metoda dodatkowej autoryzacji transakcji finansowych. M.in. stąd już bardzo konkretne działania kilku konkretnych niemieckich banków:
- Postbank planuje wycofać się z SMS-ów do końca sierpnia
- Raiffeisen Bank, Volksbank, Consorsbank – w okolicach końca roku
- Deutsche Bank i Commerzbank (właściciel mBanku) – też idą w tą stronę, choć banki nie wskazały terminu
Zmiany następują też w związku z dyrektywą PSD2, w której SMSy nie są zbyt mile widziane w kontekście silnego uwierzytelnienia (SCA poniżej to Strong Customer Authentication). Update: jak słusznie wskazuje jeden z czytelników, dokładniej rzecz biorąc SMS-y nie są mile widziane jako tzw. knowledge element w SCA:
A dodatkowo, część rozwiązań bazujących na SMS-ach przestanie być niedługo zgodna z dyrektywą:
By contrast, a number of existing approaches within e-commerce, for card payments in particular, would not be compliant with SCA. This includes approaches in which card details printed in full on the card are used as stand-alone elements or used in combination with a communication protocol such as EMV® 3-D Secure or with only one compliant SCA element (such as SMS OTP).
Więcej o ruchach niemieckich banków w tym temacie – tutaj.
–ms
SMS OTP jest jak najbardziej uznawany przez EBA jako faktor w SCA. Kwestia tylko tego jakiego typu.
Niektórzy postulowali żeby uznawać SMS OTP jako faktor wiedzy – na co EBA się nie zgodziła.
Natomiast SMS TOP jako faktor posiadania (wskazuje na posiadanie karty SIM powiązanej z numerem tel. zarejestrowanym w banku) jest ok, wskazuje to linkowany w artykule dokument oraz bezpośrednia odpowiedź EBA w tym temacie:
https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039
Czyli dzielimy się z bankami swoimi danymi biometrycznymi, jeśli w przyszłości będizemy chcieli zrobić e-przelew. A czy regulator przewidział rejestr takich skompromitowanych danych telemetrycznych internautów? Endshuligung Her Helmud, ale nie możemy włączyć Panu dodatkowego uwierzytelniania po barwie głosu, bo Pana głos wyciekł w radiu Mosqa, gdzie udzielał Pan obszernego wywiadu i audycja jest do odsłuchania na ich stronie :-D.
Hmm Czy nie z Niemiec pochodzi system SOFORT, ten, w którym podaje się UID i hasło do konta bankowego na stronie – delikatnie mówiąc – nie bankowej?
ano. to rozwiązanie jest hardcorowe, ale prawnie nikt tego jeszcze nie rozwalił :/
Ale wprowadzaja cos lepszego? Bo nie mam czasu czytac taraz.
Szczerze nie rozumiem tego.
–> Zeby sie wycofac z SMS trzeba wprowadzic lepszy „pomysl”.
–> Zazwyczaj SMS sam lub duplikat karty SIM nie wystarczy zeby sie zalogowac. Chyba ze ja jestem zbyt zacofany technologicznie.
tak, rozwiązanie podobne do Google Authenticator
https://www.commerzbank.de/portal/de/privatkunden/hilfe-kontakt/services/tan-verfahren/phototan/phototan.html
Dzieki, bo nawet po przeczytaniu miałem problem ze zrozumieniem.
I nawet te dodatkowe urzadzenie weryfikacyjne
https://www.youtube.com/watch?v=jltx8ifPKy8
jest interesujace, bo przestepca go miec nie moze, jesli nam osobiscie nie ukradl.
a coś, co nie wymaga posiadania smartfona?
bo mi bank oferuje autoryzację ze swojej apki, ale nie chcę na nią przechodzić, bo co, jak mi smartfon padnie i będę używał jakiegoś dumb phone’a, który tylko dzwoni i smsuje?
No właśnie, co w zamian SMS-ów?
Chyba nie planują przejść na jakieś appki smartfonowe?
Generalnie przydałoby się w interfejsach banków jakieś ograniczenie kwotowe – do jakiej kwoty mało upierdliwa autoryzacja, a od jakiej telefon z banku przed wykonaniem przelewu. I coś na kształt geoblokady, bo raczej mało możliwe, abym nagle zlecał przelew z drugiego końca świata.
Przecież SMS to jedyny sposób aby uchronić się przed WebInjection, tylko w smsie mamy szanse sprawdzić prawdziwy numer rachunku (jeśli nie mamy przejętej komórki).
Nie jedyny :-) Choć oczywiście zapobiegł on na pewno milionom fraudów
Nie jedyny? Jakie są jeszcze rozwiązania przesyłające numer rachunku innym medium?
kod zdrapka i token są „jednokierunkowe” więc chyba niczym poza SMSem nie dostaniemy inf. zwrotnej z numerem do sprawdzenia.
A autoryzacja z poziomu aplikacji bankowej? Tam są pełne informacje dot przelewu
Zgadza się, ale komunikacja nadal jest przez internet. :)
A ja bardziej myślałem o innym medium i takim całkowicie niezależnym kanałem był SMS.