fremantle - Inventář 
Možná by měl "kamarád takyrád" přestat brouzdat po erotických seznamkách: http://pauza.zive.cz/viewtopic.php?f=61 ... p=11406911 
...a pak by neměl svrbení z toho, že si tahá breberky do počítače a mak by nepochybně měl příjemnější starosti, než vysírání s vláknami jako třeba:
http://forum.zive.cz/viewtopic.php?f=92 ... p=11064077
viewtopic.php?f=316&t=1217137&p=10213124
viewtopic.php?f=316&t=1251560&p=11201660
atd. atd. (btw. nechápu, k čemu je to dobré psát opět po stoprvé?
) 
Jinak za sebe, "nejbezpečnější" přihlašování co jsem nafasoval je od slovenské Tatra banky (kromě 7 místného nepřátelského neměnného číselného ID, které stejně musím mít někde poznamenané a hesla, které nemůže obsahovat speciální znaky - takže ona ta bezpečnost už začíná být tady sporná), autentizační kalkulátor Gemalto (nevím jaký model, propůjčím si obrázek z fóra, který tady někdy už hodně dávno postoval) - dobrovolně bych si to nepořídil, bylo to v ceně balíčku, tak dejme tomu.
Do toho zázraku se vloží karta (debetka k účtu), musí se vepsat PIN k ní, poté je nutno zvolit "režim" (podle druhu akce), v případě aktivních operácí vepsat z IB "otázku" (challenge) a kalkulačka vygeneruje "odpověď" (response). Je to tak bezpečné, že po úvodním nastavení alternativního kalkulátoru do mobilního telefonu a zprovoznění smartbankingu jsem ho již nikdy nepoužil a už dobrý čtvrťrok mi na to na stole sedá prach... Do IB se proto ani raději nepřihlašuji, jen v případě "krize", tedy snad jen kvůli transakcím ve "vyšších" objemech (nevím přesně, snad nad 3000 EUR?) je to nezbytné.
V každém případě za bezpečnější lze považovat právě challenge/response kalkulátor, pokud je to jen "hloupé" OTP jako třeba token od Sberbank CZ, tak klient ani neví co právě podepisuje a pokud v domnění, že podepisuje vlastní podvržený formulář v prohlížeči, přičemž právě podepsal úplně jiný příkaz, tak to už jsou lepší i ty SMS zprávy, kde je účet příjemce aspoň zpravidla uvedený.
Zatím jako nejrozumnější kompromis mezi bezpečím a pohodlím se mi osobně jeví rozumná implementace smart klíče, ten aspoň propojuje IB přímo s aplikací, která přímo na zadaný požadavek pošle push notifikaci bezpečnou cestou (narozdíl od SMS), je vidět přesně co se podepisuje, komunikace je obousměrná, zpravidla kombinuje ještě biometrii (otisk prstu) a znalost PINu, je to docela rychlé, přívětivé a bezpečné. Rozumně je to zatím implementované jen u ČSOB a Creditas, o stupeň horší pak u UCB (neexistuje online režim, pořád je nutno skenovat QR kód z obrazovky)...
...a pak by neměl svrbení z toho, že si tahá breberky do počítače a mak by nepochybně měl příjemnější starosti, než vysírání s vláknami jako třeba: http://forum.zive.cz/viewtopic.php?f=92 ... p=11064077 viewtopic.php?f=316&t=1217137&p=10213124 viewtopic.php?f=316&t=1251560&p=11201660atd. atd. (btw. nechápu, k čemu je to dobré psát opět po stoprvé?
) Jinak za sebe, "nejbezpečnější" přihlašování co jsem nafasoval je od slovenské Tatra banky (kromě 7 místného nepřátelského neměnného číselného ID, které stejně musím mít někde poznamenané a hesla, které nemůže obsahovat speciální znaky - takže ona ta bezpečnost už začíná být tady sporná), autentizační kalkulátor Gemalto (nevím jaký model, propůjčím si obrázek z fóra, který tady někdy už hodně dávno postoval) - dobrovolně bych si to nepořídil, bylo to v ceně balíčku, tak dejme tomu.
Do toho zázraku se vloží karta (debetka k účtu), musí se vepsat PIN k ní, poté je nutno zvolit "režim" (podle druhu akce), v případě aktivních operácí vepsat z IB "otázku" (challenge) a kalkulačka vygeneruje "odpověď" (response). Je to tak bezpečné, že po úvodním nastavení alternativního kalkulátoru do mobilního telefonu a zprovoznění smartbankingu jsem ho již nikdy nepoužil a už dobrý čtvrťrok mi na to na stole sedá prach... Do IB se proto ani raději nepřihlašuji, jen v případě "krize", tedy snad jen kvůli transakcím ve "vyšších" objemech (nevím přesně, snad nad 3000 EUR?) je to nezbytné.
V každém případě za bezpečnější lze považovat právě challenge/response kalkulátor, pokud je to jen "hloupé" OTP jako třeba token od Sberbank CZ, tak klient ani neví co právě podepisuje a pokud v domnění, že podepisuje vlastní podvržený formulář v prohlížeči, přičemž právě podepsal úplně jiný příkaz, tak to už jsou lepší i ty SMS zprávy, kde je účet příjemce aspoň zpravidla uvedený.
Zatím jako nejrozumnější kompromis mezi bezpečím a pohodlím se mi osobně jeví rozumná implementace smart klíče, ten aspoň propojuje IB přímo s aplikací, která přímo na zadaný požadavek pošle push notifikaci bezpečnou cestou (narozdíl od SMS), je vidět přesně co se podepisuje, komunikace je obousměrná, zpravidla kombinuje ještě biometrii (otisk prstu) a znalost PINu, je to docela rychlé, přívětivé a bezpečné. Rozumně je to zatím implementované jen u ČSOB a Creditas, o stupeň horší pak u UCB (neexistuje online režim, pořád je nutno skenovat QR kód z obrazovky)...
