Velký bratr Tě sleduje...

[PeFi]

Pojišťovna generali - dokumenty ke škodní události nahrajte ze svého telefonu, pošlu vám odkaz v SMSce, ne na e-mailem ho poslat nemohu, my nemáme e-mail pouze SMS. A na starý hloupý telefon důchodci přijde jakýsi zatracený deeplink s webovou adresou dlouhou asi 200 znaků, z níž podstatná část jsou nesmysly vypadající jako nějaký hash, takže to opsat nejde. To se fakt uplně pomátli ?
Přeposlat na smartphone -> přeposlat na e-mail -> otevřít v počítači a juchů, důchodce může vyplňovat. Měl jsem jim splnit přání a dokumenty vyfotit tím starým telefonem a fotky jim naposílat v nějakém obskurním formátu (třeba jako animovaný GIF z přeskakujících skoro nečitelných dokumentů) s tím, že když zjistí, že to nejde přečíst , tak ať důchodci teda poskytnou telefon s lepším foťákem.

Tenhle svět spěje mílovými kroky k tomu, že smartphone bude povinost.

[Germanik1]

Nebo vznikne nové povolání. Něco jako zajišťovač společenského kontaktu. Bude z plných mocí všechny nejnutnější služby zajišťovat a krýt soukromí.

[Bill Masen]

Ono je to asi spíš o tom, že pokud ten smartphone mám, tak to mohu vyřdit jednoduše a rychle a pokud ne, tak to pujde třeba poštou nebo nohama, ne?
Taky mě serou ty neustál požadavky se někde registrovat kůly jednorázový akci a pak ještě po mě chtěj heslo, který bude mít 256 znaků, Velká psmena, malí psmena, čísla, zvláštn znaky, obrátzky, smajlíky, opisk palce, fotka zadku a to vše v osmi barvách.

[Paul]

V čem je ten smartphone jednodušší a rychlejší než opsat kód ze SMS?

Evoluce je taková:
- člověk byl bez telefonu, všude teda chodil fyzicky nebo posílal poštou, trvalo trilión let než něco pořešil
- měl telefon doma nebo v budce, identifikoval se např. osobními údaji
- má mobilní telefon a musí se identifikovat přes SMS kód (musí fugnovat GSM síť a nějaký ten platební systém)
- má smartphone a musí se identifikovat přes aplikaci (nutnost mít signál, data, platební systém a i samotná aplikace musí fungovat)

SMS přijde vždycky, jestli se spustí aplikace nebo ne je ve hvězdách.

Každý ten bod ubírá svobody v tom jak člověk může konat, jaké informace o něm kdo sbírá a přidává na složitosti celého systému. Bezpečnost to stejně neřeší, nejjednodušší způsob jak někoho podvést je obejít celý systém a jednat přímo s daným člověkem např. přes telefon a on to všechno sám autentifikuje nehledě jestli aplikací nebo čímkoliv jiným.

[Bill Masen]

Obsah SMS může číst operátor, tedy kdokoliv. Data z aplikace ne. SMS jsem vůbec nezmiňoval, myslel jsem že smartphone je jednodužší a rychlejší, než jít na poštu, na pobočku.

[Paul]

Pokud operátor nezná kontext a má jen kód, je mu to nejspíše k ničemu co se týče plateb. Aplikace, která sice využívá peer to peer šifrování, ale běží na něčem jako je Android, má k bezpečnosti asi stejně daleko.

Vláda atd. používá GSM telefony, kde má výrobce vlastní OS + šifrování a stojí 30 tis Kč.

[pracintl]

Snad nebude vadit odkaz na petici

https://digitalnisvobody.cz/mujoblicej/

[janik225]

To taky úplně nechápu, k čemu je potřeba ePIN, když už existuje PIN? A navíc ještě teda existuje trojmístný autorizační kód CVC/CVV pro elektronické platby, který je zcela šikovně napsaný na kartě.

Práve preto
O to cvv môžeš prísť hocikedy. Aj pri zadávaní pri platbe kartou cez net.
Alebo stratíš kartu a kým si všimneš, niekto už veselo nakupuje za tvoje.
Prijatie sms s overovacím kódom sa za bezpečné nepovažuje, lebo ževraj je veľmi
jednoduché "odchytiť" správu idúcu k tebe.
Viem o 2 prípadoch, kedy stratu peňazí zistili len tým, že prišla sms s výpisom u účtu:
mínus pár tisíc €.

PIN - používaš v bankomate/termináli
ePIN - používaš na internete

Samozrejme ak ťa niekto chce obrať o peniaze, tak sa mu to aj tak podarí.
Ale s ePINom to vyzerá oveľa bezpečnejšie ako s obyčajným cvv.

[Serža]

čím víc budeš mít požadavků na různé piny, hesla, jejich pravidelnou změnu atd, tím víc uživatelů bude sklouzávat k různým "šablonám" a unifikaci = požadavek na "větší" zabezpečení povede k menšímu zabezpečení

[cipis]

Přesně, kontraproduktivní požadavky. K čemu je složitost hesla, že z toho vyjde takové, co si většina nezapamatuje a pak ho má nalepené na lístečku na monitoru třeba.

[tygrsdrakem]

@cipis: Ono to s těmi hesly není tak jednoznačné. Já to třeba dělám tak, že do několika málo aplikací, které používám často, si hesla vymýšlím a pamatuju. A to i poměrně dlouhá hesla, která ovšem kvůli zapamatovatelnosti musí mít nějakou vnitřní logiku. Do většiny ostatních aplikací (hlavně citlivých, typu banking, administrace webů a podobně) ani já svoje hesla neznám, prostě si je nechám vygenerovat password managerem a tam je mám uložené. To má na jednu stranu omezení v tom, že se do těch aplikací dostanu jen a pouze ze svého osobního počítače. Na druhou stranu mě to chrání před nutkáním lézt do citlivých aplikací z neprověřeného zařízení.
Pro to běžné denní použití by se mi ještě líbila kombinace jednoduchého hesla a HW klíče, ale bohužel to zatím málo služeb podporuje. Třeba Protonmail mě v tomto vyloženě zklamal, i když jinak si na něj nemůžu stěžovat.

@Paul: Nejsem vláda, ale objednal jsem si toto: https://puri.sm/products/librem-5/
Akorát musím s politováním konstatovat, že už na něj čekám asi tak rok a půl a furt nic... holt je o to zájem. Kdyby měl někdo z místních praktické zkušenosti, bude fajn, když se podělí. Akorát tyhle zařízení mají stejně jako end-to-end šifrované maily zásadní nevýhodu v tom, že aby to fungovalo, musí to používat všechny zúčastněné strany. Což se dá řešit třeba v rámci rodiny, nebo nějaké menší skupiny, ale dost často ani tam ne...

[TomSmith]

Existují multiplatformní Open Source password managery.
Stačí si akurát přehodit šifrovanou DB z PC na Mobil či opačně a mám hesla všude kde potřebuji a pořád u sebe.

[pedro!]

Kdysi jsem si koupil Openmoko Freerunner, http://wiki.openmoko.org/wiki/Neo_FreeRunner . Vyvíjelo se to hrozně dlouho a když to bylo konečně vyrobeno, bylo to vlastně už zastaralé, vážné chyby v hardware, software moc nefungoval, telefonovat se s tím prakticky nedalo. Pak vyrobili upgrade GTA-04, jen základní desku, těch se prodalo celosvětově asi 10 ks , stala asi 600 EUR a tak se ani nedivím. Obávám se, že Librem-5 bude to samé v modernější podobě. 3GB RAM, 32GB storage, hmm, to mají dnes telefony od Huráhej v ceně pod 2.000 .

[janik225]

čím víc budeš mít požadavků na různé piny, hesla, jejich pravidelnou změnu atd, tím víc uživatelů bude sklouzávat k různým "šablonám" a unifikaci = požadavek na "větší" zabezpečení povede k menšímu zabezpečení

To máš pravdu.
Kvôli tomu sa v (aspoň v mojej) banke zrušilo pravidelné obmieňanie hesiel po 3 mesiacoch. Striedal som tie isté dve dookola. Predpokladám, že od tohto upúšťajú aj iné služby, ktoré to ešte využívajú a prejde sa na niečo, čo tak ľahko neobídeš. Napr. zadať ePIN.

Inak veľmi jednoduché je nechať si heslo vygenerovať a uložiť.
Ako bolo spomínané, sú na to aj rôzne programy/appky.
Napr. Chrome to má vstavané v sebe takže použitie je veľmi jednoduché, ak máte aj v PC aj v mobile prihlásený ten istý účet. Na mobiloch vie ukladať aj heslá do aplikácii.

Ako heslo nemusíš mať "banka123" ani @bpm-"5;rn*}='"F`t4e môžeš si dať napr. "jankoaM4rienkasikupilifacebookoveakcie" čo je celkom ľahko zapamätateľné.
Frázy môžeš používať na tie služby, ktoré používaš pravidelne a ostatné si môžeš uložiť.
Ak potrebuješ vedieť uložené heslo, tak neviem ako to je pri iný appkách, ale cez chrome sa dá pozrieť heslo - akurát ho vie pozrieť iba ten, čo má aj heslo od windowsu, inak ti ho nezobrazí.

Na heslá alebo všeobecne bezpečnosť na internete odporúčam pozrieť na YT paralelni polis


Inak používate HW klúčenky na prihlasovanie? Ak áno, tak ktorú? Ja som zatiaľ našiel yubikey. Oplatí sa kúpiť, či radšej niečo iné?

[TomSmith]

Správce hesel vbudované do internetových prohlížečů zásadně nepoužívat!
Jednak je to první místo na které se útoky zaměřují a druhak když se ti při aktualizaci nebo jíné havárii pos... tak máš o zábavu postaráno

[Paul]

A to je teda pravidelně vypisuješ a nebo nikdy nemažeš cookies? Pokud se někdo vzdáleně dostane k heslům v prohlížeči, keylogger pro něj už asi nebude takovej problém.

Pokud si hesla občas vyexportuješ a nebo alespoň znáš loginy k emailovým adresám, je ti havárie jedno.

[janik225]

Správce hesel vbudované do internetových prohlížečů zásadně nepoužívat!
Jednak je to první místo na které se útoky zaměřují a druhak když se ti při aktualizaci nebo jíné havárii pos... tak máš o zábavu postaráno

Aj údaje v Chrome môžeš mať zašifrované prístupovou frázou. Keď sa idem prihlásiť do Chrome na novom počítači, tak mi nestiahne hádam ani záložky, kým nezadám prístupovú frázu. Nemáš nejaké bližšie info, prípadne nejaké porovnanie zabezpečenie hesiel cez password manager ako LastPass vs zašifrované v Chrome?

[DanBlack]

Dorazil mi HW líč od mojeID...
Na mobilu šlape dobře (přes NFC), na počítači se s tím ještě peru (linux).
Ale jinak dobrá práce od CZ-NIC.
Chtěli otagovat soc.sítě, jenže žádné nemám...tak alespoň sem.
#overenomojeid

[janik225]

Čo to je to mojeID?
Oplatí sa to zaregistrovať? Či pre Slovákov ani nie?

[Lyster]

Už pár let používám KeePass a zatím dobrý.