"És ha nincs nyomás az új feature kialakítására, akkor nem fog bekerülni a top prio csoportba - sokszor olyan, egyébként "must have" fejlesztések/átalakítások is mennek a "majd"-ba, amiket nagyon nagyon meg kéne csinálni - de a véges erőforrások miatt nem fér bele adott időszakba. "
Volt anno az user/passwd - kevés volt, lett sms 2FA (látszik, hogy értő olvasásra képtelen userek esetén kevés - bár ők pont nem fognak/akarnak FIDO2-t használni...), lett mobilos app-ba érkező push 2FA - ennél többet nem megvalósítani _üzleti_ döntés volt a bankok részéről. A "nyomás" persze valós, hogy legyen még biztonságosabb, "hülyebiztosabb" az onlány bankoklás - limitmódosítások késleltetése, aml/fraud monitoring erősítése, funkciók átalakítása, stb. jött eddig - most kötelezően ott a DÁP, amit meg kell csinálni, ki kell perkálni az eszközre, fejlesztésre, tanúsítványokra, miegyebekre a nem kevés pénzt...
Sajnos ez _is_ olyan, mint az összes, az user/passwd/SMS szintet meghaladó, biztonságot növelő fejlesztés: a hülyeség, a nemtörődömség ellen nem véd, mert jellemzően nem azok fogják használni, akik a leginkább veszélyeztetett csoportokba tartoznak... Ahogy egy FIDO2-t sem ez a kör vá(na) el a bankoktól.
Szó volt róla, hogy legyen, lehet-e az SMS 2FA "opcionális", azaz user által letiltható fallback módszer - ennek még nem tudtam utánanézni/kérdezni...
A mobilos app aktiválási folyamatát mindenképp szabályozottabbá, biztonságosabbá kellene tenni - erre vannak ötleteim (ha nincs még mobilos app aktiválva az adott számlához, akkor "erős azonosítás" (bankfiókban, videobankon keresztül, vagy DÁP-pal bejelentkezve) után aktiválható az app. Ha van már mobilos app aktiválva, akkor abból indítható a második app aktiválása, ha a korábbi app nem érhető el, akkor goto 10: bankfiók,videobank,dáp-pal a netbankba. Igen, ez sz0pás annak, akinek Honoluluban esik bele a telefonja a klotyóba, de az ilyen eseteket tekintsük a biztonság szempontjából vállalható kockázatnak :-)