Dvoufázové ověření do Můj Vodafone

[Václav.]

On 6/28/2024 at 9:26 AM, Ondra - Vodafone said:

@Led20en24

Dobrý den, rozumím vaší připomínce, takové situace skutečně při dvoufázovém přihlašování mohou nastat, nicméně vyvažují to bezpečnostní výhody, které dvoufázové přihlašování přináší. A věřím, že to především nebude tak častá situace a setkáme se s ní jen výjimečně. I v případě, kdy ztratíte SIM kartu, máte možnosti, jak vše řešit. Například můžete využít mobilní aplikaci Můj Vodafone (pokud máte funkční mobil a používáte trvalé přihlášení s biometrikou), případně nám můžete bezplatně zavolat na Linku péče o zákazníky (800770077) a vše vám pomůžeme dořešit telefonicky.

To je ale naprostá absurdita, ne? Když mi bude ukraden telefon, tak nemám možnost

1) zavolat na Linku péče o zákazníky, ani na jakoukoliv jinou linku (nemám telefon!)

2) použít aplikaci Můj Vodafone, ani jakoukoliv jinou aplikaci (nemám telefon!)

3) přihlásit se na počítači (pro dvoufázové přihlašování potřebuji telefon!)

 

Jsem prostě naprosto v háji.

 

A jak "setkáme se s ní výjimečně"?! To je jako napsat "bezpečnostní pásy jsou k ničemu, protože nehoda nastane jen výjimečně". Jasně, že mi telefon neukradnou každej den, ale až se to stane, tak mi dvoufázové přihlašování může způsobit strašný problémy. 

 

Člověk, co to vymyslel, si zaslouží, aby každý jeho ranní kafe bylo hnusný a studený.

 

[randomofamber]

2FA přihlašování přes SMS? To vymyslel jaký konečník v době, kdy se SMS již dávno nepovažuje za bezpečný způsob přihlašování? To není možné, jako to má každý jiný normální web s 2FA, použít TOTP kód, který můžu mít v aplikaci, jako jsou například Google nebo Microsoft authenticator případně aplikace jako je Authy nebo 2FAS Auth?

[Adolf.Shitler]

Kdy budu ověřovací kód pro přihlášení zadávat?

Můj Vodafone na webu – ověřovací kód vám na telefonní číslo pošleme po správném zadání e-mailu a hesla při každém přihlášení. Teprve po zadání ověřovacího kódu z SMS se do samoobsluhy přihlásíte.

Aplikace Můj Vodafone – při přihlášení do aplikace vám dočasně bude stačit e-mail a heslo. Dvoufázové ověřování bude podporovat nová aplikace Můj Vodafone, kterou pro vás chystáme. V aplikaci budete moct i nadále využívat výhody biometrického přihlášení, díky kterému nebudete muset zadávat přihlašovací údaje tak často.

https://www.vodafone.cz/pece/muj-vodafone/prihlasovani-e-mailem/dvoufazove-prihlaseni-muj-vodafone/

[Ivo2003]

před 39 minutami, randomofamber napsal:

2FA přihlašování přes SMS? To vymyslel jaký konečník v době, kdy se SMS již dávno nepovažuje za bezpečný způsob přihlašování? To není možné, jako to má každý jiný normální web s 2FA, použít TOTP kód, který můžu mít v aplikaci, jako jsou například Google nebo Microsoft authenticator případně aplikace jako je Authy nebo 2FAS Auth?

Pro účely webové samoobsluhy  je to asi dostatečné.

Chtít po uživatelích nějaký autentifikační program by bylo zbytečně složité a určitě se najdou uživatelé bez smartphone.

SMS ověření ještě používají na přání klienta snad všechny banky v ČR.

Možnost odposlechu SMS cestou je spíše scifi než reálnou skutečností.

[Ondra - Vodafone]

@randomofamberDobré odpoledne, díky za připomínku, rozumím vám, jako další možnost by to určitě ničemu nevadilo, naopak. Začínáme ale s SMSkami. Do budoucna pak chceme přidat i další (jinou) možnost potvrzení. A díky také @Ivo2003za postřehy k tomu, to můžu v zásadě podepsat...

[Adolf.Shitler]

Pokud možnost přihlášení nebude rovnou i v aplikaci, ale bude zatím jenom přes SMS, tak je to jednoznačně krok zpátky. V takovém případě by měl VF napřed udělat aplikaci a pak teprve měnit přihlášení na to s dvoufaktorovým zabezpečením.

[randomofamber]

před 1 hodinou, Ivo2003 napsal:

Pro účely webové samoobsluhy  je to asi dostatečné.

Chtít po uživatelích nějaký autentifikační program by bylo zbytečně složité a určitě se najdou uživatelé bez smartphone.

SMS ověření ještě používají na přání klienta snad všechny banky v ČR.

Možnost odposlechu SMS cestou je spíše scifi než reálnou skutečností.

Chápu, je však pravdou, že u bank je SMS aktuálně spíš nouzové přihlašování a také pro staré klienty, kteří nemají tzv. smart mobil, ale např. starou Nokia 5110... Každá z bank má vlastní aplikaci, která slouží pro 2FA potvrzování, což je sice asi v rámci možností lepší než TOTP 2FA aplikace, ale to mám v mobilu už "přeaplikováno". No a co se týká další aplikace, nejsem moc nadšen. Navíc si nebudeme nic nalhávat, kdy z recenzí u aplikace Vodafone plyne, že lidé s ní nejsou spokojeni ať už z pohledu spolehlivosti, tak i z pohledu praktičnosti. Má-li pak taková aplikace sloužit k přihlašování, obávám se, aby se s ní dalo skutečně přihlašovat a byl bych raději za něco, co je funkční a doslova celosvětově prověřené, což jsou mnou zmíněné TOTP 2FA aplikace.

Možnost odposlechu SMS není sci-fi, jinak by to banky neřešili a stále by se SMS používalo jako standard. Nejvíce jsou problematické trojské koně v aplikacích, které sledují a čtou vaše zprávy přímo ve vašem mobilu ( ... a může se jednat o aplikaci schválenou ve "store" ... ), ale je pravdou, že útočník by tímto způsobem nezískal tolik, kolik může v případě bankovních operací a uznávám, že útok na Vodafone účet bude spíše nepravděpodobný. To však neznamená, že se u 2FA přes SMS nejedná o zastaralou metodu, od které se upouští, a která, jak jsem psal, slouží pro minoritní anebo záložní způsob autentizace, který se alespoň posiluje PINem (Různé T, S, I apod. PINy, jak si banky vymyslí vlastní názvy...). U nově vytvářeného způsobu 2FA přihlašování do nějaké webové aplikace bych v roce 2024 SMS jako hlavní způsob autentizace nečekal.

[sodekcz]

Bojim, bojim, co s ověřováním VF vymyslí. Tam nemají programátoři, nebo návrháři příliš za ušima.

Mám firemní VF číslo  a současně i soukromé služby u VF, kde nemám možnost pro ověřování použít jiné, než firemní číslo pro oba typy služeb. Když vím, jak VF zkomplikoval u tchýně převod ze zemřelého tchána na tchýni, když původní služba byla sice na tchána ale měla registrovaný e-mail na tchyni, byl to nadlidský úkol. Když vím, jak je komplikované ze služebního čísla řešit soukromé volání na VF linku. Prostě bojim bojim.

[Ivo2003]

před 15 minutami, randomofamber napsal:

Možnost odposlechu SMS není sci-fi, jinak by to banky neřešili a stále by se SMS používalo jako standard. Nejvíce jsou problematické trojské koně v aplikacích, které sledují a čtou vaše zprávy přímo ve vašem mobilu ( ... a může se jednat o aplikaci schválenou ve "store" ... ), ale je pravdou, že útočník by tímto způsobem nezískal tolik, kolik může v případě bankovních operací a uznávám, že útok na Vodafone účet bude spíše nepravděpodobný. To však neznamená, že se u 2FA přes SMS nejedná o zastaralou metodu, od které se upouští, a která, jak jsem psal, slouží pro minoritní anebo záložní způsob autentizace, který se alespoň posiluje PINem (Různé T, S, I apod. PINy, jak si banky vymyslí vlastní názvy...). U nově vytvářeného způsobu 2FA přihlašování do nějaké webové aplikace bych v roce 2024 SMS jako hlavní způsob autentizace nečekal.

Odposlech SMS v případě nějakého malware  v telefonu  sice možný je,  ale uživatel si tam většinou tento malware stáhne sám.

Odposlech SMS při přenosu v síti je taky teoreticky  možný,  ale útočník by musel znát uživatelovy přihlašovací údaje,  znát jeho telefonní číslo,  být v jeho blízkosti a mít odposlechové zařízení.  Splnění všech podmínek asi není moc pravděpodobné.

To už je pravděpodobnější že user bude mít malware v počítači,  který  místo pravé  login page zobrazí falešnou stránku kde přihlašovací údaje předá útočníkovi a ještě mu následně potvrdí 2FA ověření na mobilu.

[CableG]

před 40 minutami, sodekcz napsal:

Bojim, bojim, co s ověřováním VF vymyslí. Tam nemají programátoři, nebo návrháři příliš za ušima.

Mám firemní VF číslo  a současně i soukromé služby u VF, kde nemám možnost pro ověřování použít jiné, než firemní číslo pro oba typy služeb. Když vím, jak VF zkomplikoval u tchýně převod ze zemřelého tchána na tchýni, když původní služba byla sice na tchána ale měla registrovaný e-mail na tchyni, byl to nadlidský úkol. Když vím, jak je komplikované ze služebního čísla řešit soukromé volání na VF linku. Prostě bojim bojim.

Přesně. Mám tři služby a u všech stejné číslo. Když mi volají a chtějí nějaký to numero z toho šestičíslí, tak nejsou ani schopní říct kvůli které smlouvě volají a tedy které šestičíslí mám zvolit.