Václav. Posted July 3 Share Posted July 3 On 6/28/2024 at 9:26 AM, Ondra - Vodafone said: @Led20en24 Dobrý den, rozumím vaší připomínce, takové situace skutečně při dvoufázovém přihlašování mohou nastat, nicméně vyvažují to bezpečnostní výhody, které dvoufázové přihlašování přináší. A věřím, že to především nebude tak častá situace a setkáme se s ní jen výjimečně. I v případě, kdy ztratíte SIM kartu, máte možnosti, jak vše řešit. Například můžete využít mobilní aplikaci Můj Vodafone (pokud máte funkční mobil a používáte trvalé přihlášení s biometrikou), případně nám můžete bezplatně zavolat na Linku péče o zákazníky (800770077) a vše vám pomůžeme dořešit telefonicky. To je ale naprostá absurdita, ne? Když mi bude ukraden telefon, tak nemám možnost 1) zavolat na Linku péče o zákazníky, ani na jakoukoliv jinou linku (nemám telefon!) 2) použít aplikaci Můj Vodafone, ani jakoukoliv jinou aplikaci (nemám telefon!) 3) přihlásit se na počítači (pro dvoufázové přihlašování potřebuji telefon!) Jsem prostě naprosto v háji. A jak "setkáme se s ní výjimečně"?! To je jako napsat "bezpečnostní pásy jsou k ničemu, protože nehoda nastane jen výjimečně". Jasně, že mi telefon neukradnou každej den, ale až se to stane, tak mi dvoufázové přihlašování může způsobit strašný problémy. Člověk, co to vymyslel, si zaslouží, aby každý jeho ranní kafe bylo hnusný a studený. 5 Quote Basic Start - Compal CH7465 3 Link to comment Share on other sites More sharing options...
randomofamber Posted July 8 Share Posted July 8 2FA přihlašování přes SMS? To vymyslel jaký konečník v době, kdy se SMS již dávno nepovažuje za bezpečný způsob přihlašování? To není možné, jako to má každý jiný normální web s 2FA, použít TOTP kód, který můžu mít v aplikaci, jako jsou například Google nebo Microsoft authenticator případně aplikace jako je Authy nebo 2FAS Auth? Quote 300 Mb/s - Komfort UBEE EVW3226 (bridge), 3x CA vlastní Praha, Černý most I. Link to comment Share on other sites More sharing options...
Adolf.Shitler Posted July 8 Share Posted July 8 Kdy budu ověřovací kód pro přihlášení zadávat? Můj Vodafone na webu – ověřovací kód vám na telefonní číslo pošleme po správném zadání e-mailu a hesla při každém přihlášení. Teprve po zadání ověřovacího kódu z SMS se do samoobsluhy přihlásíte. Aplikace Můj Vodafone – při přihlášení do aplikace vám dočasně bude stačit e-mail a heslo. Dvoufázové ověřování bude podporovat nová aplikace Můj Vodafone, kterou pro vás chystáme. V aplikaci budete moct i nadále využívat výhody biometrického přihlášení, díky kterému nebudete muset zadávat přihlašovací údaje tak často. https://www.vodafone.cz/pece/muj-vodafone/prihlasovani-e-mailem/dvoufazove-prihlaseni-muj-vodafone/ 1 Quote - - - - - Link to comment Share on other sites More sharing options...
Ivo2003 Posted July 8 Share Posted July 8 před 39 minutami, randomofamber napsal: 2FA přihlašování přes SMS? To vymyslel jaký konečník v době, kdy se SMS již dávno nepovažuje za bezpečný způsob přihlašování? To není možné, jako to má každý jiný normální web s 2FA, použít TOTP kód, který můžu mít v aplikaci, jako jsou například Google nebo Microsoft authenticator případně aplikace jako je Authy nebo 2FAS Auth? Pro účely webové samoobsluhy je to asi dostatečné. Chtít po uživatelích nějaký autentifikační program by bylo zbytečně složité a určitě se najdou uživatelé bez smartphone. SMS ověření ještě používají na přání klienta snad všechny banky v ČR. Možnost odposlechu SMS cestou je spíše scifi než reálnou skutečností. 2 1 Quote Start - Základní Compal CH7465 Opava Link to comment Share on other sites More sharing options...
Help center Ondra - Vodafone Posted July 8 Help center Share Posted July 8 @randomofamberDobré odpoledne, díky za připomínku, rozumím vám, jako další možnost by to určitě ničemu nevadilo, naopak. Začínáme ale s SMSkami. Do budoucna pak chceme přidat i další (jinou) možnost potvrzení. A díky také @Ivo2003za postřehy k tomu, to můžu v zásadě podepsat... Quote Super Fibre Premium 5G ALLinONE Set-top box Premium Pardubice Link to comment Share on other sites More sharing options...
Adolf.Shitler Posted July 8 Share Posted July 8 Pokud možnost přihlášení nebude rovnou i v aplikaci, ale bude zatím jenom přes SMS, tak je to jednoznačně krok zpátky. V takovém případě by měl VF napřed udělat aplikaci a pak teprve měnit přihlášení na to s dvoufaktorovým zabezpečením. Quote - - - - - Link to comment Share on other sites More sharing options...
randomofamber Posted July 8 Share Posted July 8 před 1 hodinou, Ivo2003 napsal: Pro účely webové samoobsluhy je to asi dostatečné. Chtít po uživatelích nějaký autentifikační program by bylo zbytečně složité a určitě se najdou uživatelé bez smartphone. SMS ověření ještě používají na přání klienta snad všechny banky v ČR. Možnost odposlechu SMS cestou je spíše scifi než reálnou skutečností. Chápu, je však pravdou, že u bank je SMS aktuálně spíš nouzové přihlašování a také pro staré klienty, kteří nemají tzv. smart mobil, ale např. starou Nokia 5110... Každá z bank má vlastní aplikaci, která slouží pro 2FA potvrzování, což je sice asi v rámci možností lepší než TOTP 2FA aplikace, ale to mám v mobilu už "přeaplikováno". No a co se týká další aplikace, nejsem moc nadšen. Navíc si nebudeme nic nalhávat, kdy z recenzí u aplikace Vodafone plyne, že lidé s ní nejsou spokojeni ať už z pohledu spolehlivosti, tak i z pohledu praktičnosti. Má-li pak taková aplikace sloužit k přihlašování, obávám se, aby se s ní dalo skutečně přihlašovat a byl bych raději za něco, co je funkční a doslova celosvětově prověřené, což jsou mnou zmíněné TOTP 2FA aplikace. Možnost odposlechu SMS není sci-fi, jinak by to banky neřešili a stále by se SMS používalo jako standard. Nejvíce jsou problematické trojské koně v aplikacích, které sledují a čtou vaše zprávy přímo ve vašem mobilu ( ... a může se jednat o aplikaci schválenou ve "store" ... ), ale je pravdou, že útočník by tímto způsobem nezískal tolik, kolik může v případě bankovních operací a uznávám, že útok na Vodafone účet bude spíše nepravděpodobný. To však neznamená, že se u 2FA přes SMS nejedná o zastaralou metodu, od které se upouští, a která, jak jsem psal, slouží pro minoritní anebo záložní způsob autentizace, který se alespoň posiluje PINem (Různé T, S, I apod. PINy, jak si banky vymyslí vlastní názvy...). U nově vytvářeného způsobu 2FA přihlašování do nějaké webové aplikace bych v roce 2024 SMS jako hlavní způsob autentizace nečekal. Quote 300 Mb/s - Komfort UBEE EVW3226 (bridge), 3x CA vlastní Praha, Černý most I. Link to comment Share on other sites More sharing options...
sodekcz Posted July 8 Share Posted July 8 Bojim, bojim, co s ověřováním VF vymyslí. Tam nemají programátoři, nebo návrháři příliš za ušima. Mám firemní VF číslo a současně i soukromé služby u VF, kde nemám možnost pro ověřování použít jiné, než firemní číslo pro oba typy služeb. Když vím, jak VF zkomplikoval u tchýně převod ze zemřelého tchána na tchýni, když původní služba byla sice na tchána ale měla registrovaný e-mail na tchyni, byl to nadlidský úkol. Když vím, jak je komplikované ze služebního čísla řešit soukromé volání na VF linku. Prostě bojim bojim. Quote Premium - Základní Vodafone Station KrPole Link to comment Share on other sites More sharing options...
Ivo2003 Posted July 8 Share Posted July 8 před 15 minutami, randomofamber napsal: Možnost odposlechu SMS není sci-fi, jinak by to banky neřešili a stále by se SMS používalo jako standard. Nejvíce jsou problematické trojské koně v aplikacích, které sledují a čtou vaše zprávy přímo ve vašem mobilu ( ... a může se jednat o aplikaci schválenou ve "store" ... ), ale je pravdou, že útočník by tímto způsobem nezískal tolik, kolik může v případě bankovních operací a uznávám, že útok na Vodafone účet bude spíše nepravděpodobný. To však neznamená, že se u 2FA přes SMS nejedná o zastaralou metodu, od které se upouští, a která, jak jsem psal, slouží pro minoritní anebo záložní způsob autentizace, který se alespoň posiluje PINem (Různé T, S, I apod. PINy, jak si banky vymyslí vlastní názvy...). U nově vytvářeného způsobu 2FA přihlašování do nějaké webové aplikace bych v roce 2024 SMS jako hlavní způsob autentizace nečekal. Odposlech SMS v případě nějakého malware v telefonu sice možný je, ale uživatel si tam většinou tento malware stáhne sám. Odposlech SMS při přenosu v síti je taky teoreticky možný, ale útočník by musel znát uživatelovy přihlašovací údaje, znát jeho telefonní číslo, být v jeho blízkosti a mít odposlechové zařízení. Splnění všech podmínek asi není moc pravděpodobné. To už je pravděpodobnější že user bude mít malware v počítači, který místo pravé login page zobrazí falešnou stránku kde přihlašovací údaje předá útočníkovi a ještě mu následně potvrdí 2FA ověření na mobilu. 1 Quote Start - Základní Compal CH7465 Opava Link to comment Share on other sites More sharing options...
CableG Posted July 8 Share Posted July 8 před 40 minutami, sodekcz napsal: Bojim, bojim, co s ověřováním VF vymyslí. Tam nemají programátoři, nebo návrháři příliš za ušima. Mám firemní VF číslo a současně i soukromé služby u VF, kde nemám možnost pro ověřování použít jiné, než firemní číslo pro oba typy služeb. Když vím, jak VF zkomplikoval u tchýně převod ze zemřelého tchána na tchýni, když původní služba byla sice na tchána ale měla registrovaný e-mail na tchyni, byl to nadlidský úkol. Když vím, jak je komplikované ze služebního čísla řešit soukromé volání na VF linku. Prostě bojim bojim. Přesně. Mám tři služby a u všech stejné číslo. Když mi volají a chtějí nějaký to numero z toho šestičíslí, tak nejsou ani schopní říct kvůli které smlouvě volají a tedy které šestičíslí mám zvolit. Quote Premium Profi - ALLinONE Vodafone Station WiFi 5, Vodafone TV Premium, CA modul Praha 6 Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.