Aplikacja mobilna

Odpowiedz

Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Cześć,

każdy kto zastanawia się nad aktywacją klucz U2F w ING niech się zastanowi czy na pewno ZAWSZE ma klucz przy sobie. NIE DA SIĘ dodać urządzenia do zaufanych. Klucz jest wymagany ZAWSZE.    Stoisz w kolejce w kasie, chcesz zapłacić BLIKiem ?  Bez klucza U2F nie ma szans. Dosłownie każde logowanie do aplikacji wymaga klucza U2F. ING w ogóle nie przemyślało tej sprawy, aplikacja mobilna przestanie być mobilna w momencie aktywacji klucza U2F. Skorzystać z niej można tylko gdy mamy klucz pod ręką...

 

I o ile jest to rozwiązanie meeeeeega bezpieczne, to niestety jak dla mnie nie da się z tego korzystać. Oczywiście da się aktywować klucze U2F tylko dla serwisu WWW, ale wtedy to nie ma żadnego sensu.

 

ING proszę dodajcie możliwość dodania urządzenia mobilnego do zaufanych, tak by do logowania do aplikacji można było używać biometrii. Obecnie nie dość, że muszę użyć biometrii to jeszcze dodatkowo użyć klucza U2F.  Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować.

Obecnie w procesie rejestracji aplikacji JEST WYMAGANY klucz U2F. Po co więc dodatkowo używać go przy absolutnie każdym logowaniu ? W ustawieniach mój telefon nazywacie urządzeniem zaufanym, a i tak żeby się zalogować do apki muszę użyć i biometrii i klucza U2F. Przecież smartfon i tak musi mieć blokadę ekranu + aplikacja ING ma blokadę PIN / biometria, więc co daje ten kolejny krok ?

 

 

W procesie aktywacji klucza ING za to mogę się przyczepić do tego, że 2 razy używamy tej samej metody autoryzacji - po co ? Najpierw dodajemy klucz, potwierdzamy kodem SMS, a później go aktywujemy znowu kodem SMS (w aplikacji mobilnej za to przy dodawaniu klucza trzeba wpisać 2x ten sam PIN). Tutaj mam pytanie do ING w jaki sposób przepisanie 2x kodu SMS lub wpisanie 2x tego samego kodu PIN ma zwiększyć bezpieczeństwo ? Nie dość, że sesja musi być autoryzowana kluczem U2F to jeszcze trzeba użyć 2x metody autoryzacji.  Jeśli już tak mocno chcecie to zabezpieczać to zróbcie tak, żeby był wymagany 1 kod SMS i i 1 autoryzacja w aplikacji zarówno przy dodawaniu przez www jak i przez apkę, wtedy to jeszcze by miało trochę sensu.

 

 

A na koniec, ING posiadając tak zabezpieczoną aplikację, która do każdego użycia wymaga klucza U2F do autoryzacji operacji i tak używa kodów SMS. Są chyba ostatnim zacofanym Bankiem pod tym względem, który nie umożliwia zmiany metody autoryzacji na aplikację mobilną...

 

 

Podsumowując tego mega długiego posta ING proszę dajcie możliwość dodać aplikację mobilną do urządzeń zaufanych przy korzystaniu z U2F oraz pozwólcie w końcu korzystać z autoryzacji w aplikacji Moje ING (bez kodów SMS)

Odpowiedz
0 Lajków
b9MSJPa9brrw7BS
Doradca z ambicjami II
Doradca z ambicjami II icon
29
26
02-04-2023
Wiadomość 1 z 18 (17 677 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Dodam jeszcze, że śmieszne jest to, że jak się oszust zaloguje i zleci przelew to wszystko jest " OK ", ale żeby zwiększyć bezpieczeństwo konta i dodać U2F trzeba iść do placówki, bo to już jest groźniejsze niż zostanie okradzionym...
Oczywiście jest za dodatkową weryfikacją, ale jeśli konto da się założyć na selfie to dlaczego w podobny sposób nie można autoryzować dodania kluczy U2F ? Albo np zeskanowanie e-dowodu ?

Oczywiście w placówce to dosłownie 5 minut roboty, dzisiaj byłem umówiony na spotkanie, pracownik bardzo spoko, aktywował w 3-4 minutki + dla pewności przetestowałem czy wszystko działa na swoim prywatnym sprzęcie, łączy czas pobytu w ING to dosłownie 5 min, więc tutaj duży plus. Pracownicy ING za to wprowadzają w błąd, bo na czacie informuję, że koniecznie trzeba zabrać klucz U2F ze sobą, powiem z doświadczenia, że jak go się wcześniej doda to w placówce wystarczy sam dowód osobisty.


Z ciekawostek dodam, że każde logowanie przez www wymaga loginu + hasła maskowanego + wpisanie PIN do klucza U2F + dotknięcie klucza. Nie wiem od czego to dokładnie zależy bo np logując się do Google wystarczy samo dotknięcie klucza. Używając za to klucza w smartfonie to wystarczy samo przyłożenie w przypadku NFC lub dotknięcie w przypadku USB, wtedy PIN nie jest wymagany.


Z innych rzeczy to jak na kilka godzin posiadania klucza U2F to na pewno trzeba przyznać, że mają te logowanie i dodawanie klucze NIE DOPRACOWANE, aplikacja nie raz się zawiesza przy użyciu klucza, trzeba ją zrestartować i od nowa przyłożyć klucz, przy dodawaniu klucza nie zawsze udaje się go dodać za pierwszym razem, wyskakują różne błędy i trzeba po kilka razy próbować, nawet aplikację przeinstalowałem, ale dalej są sytuacje, gdzie smartfon pokazuje poprawne odczytanie klucza NFC, a aplikacja ING prosi o ponowne jego użycie. Rozumiem, że mają to dopiero od 2 dni, ale chyba w ogóle tego nie przetestowali. A urządzenie na którym mam problem to moim zdaniem nie najgorszy sprzęt- Samsung S23, klucze Yubico czarne...


I chyba ostatnia mega dziwna rzecz, klucze osobno dodaje się dla aplikacji osobno dla www, a w ustawieniach widzi je się wszystkie razem. Nie widzę, żadnego sensu oddzielnej rejestracji. Przecież jak rejestruje klucz np po USB to od razu działa w nim też NFC, więc po co rejestrować go osobno w aplikacji i osobno przez www....
Odpowiedz
0 Lajków
b9MSJPa9brrw7BS
Doradca z ambicjami II
Doradca z ambicjami II icon
29
26
02-04-2023
Wiadomość 2 z 18 (17 668 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Dziękuję za Twoje sugestię w tej sprawie. Przekażę je do odpowiedniego działu w naszym banku. 





-----------------
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
Odpowiedz
0 Lajków
MateuszS
Moderator
Moderator icon
176
36
02-09-2021
Wiadomość 3 z 18 (17 501 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Witam. Do wersji przegladarkowej dodałem 2 klucze bez problemu. W oddziale ING aktywowano mi klucze, i wszystko działa super. Nie mogę niestety dodać tych kluczy do wersji mobilnej ING. Prób dodania było około 20, także przy pani mnie obsługującej w oddziale Banku ( 2 wizyty ). Klucz ma obsługę NFC. Pomóżcie mi w tej sprawie
Kot
Kot
Doradca z ambicjami I
Doradca z ambicjami I icon
4
3
15-07-2023
Wiadomość 4 z 18 (16 734 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Jeszcze dane telefonu. Realme GT 2 PRO, Android 13 , stopień zabezpieczeń 5 czerwca 2023. Oraz najnowsza wersja aplikacji mobilnej ING
Odpowiedz
0 Lajków
Kot
Kot
Doradca z ambicjami I
Doradca z ambicjami I icon
4
3
15-07-2023
Wiadomość 5 z 18 (16 576 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Prosimy, napisz do nas w tej sprawie na czacie w Moim ING. Sprawdzimy to dokładnie i jeśli nie będziemy mogli pomóc przyjmiemy odpowiednie zgłoszenie w celu wyjaśnienia tej sytuacji. Czat jest dostępny w dni robocze 8-24 i w soboty 8-22.



-----------------
Moja odpowiedź Ci pomogła? Zaakceptuj ją jako rozwiązanie.
Jeśli chcesz szybciej uzyskać odpowiedź, zachęcamy Cię do kontaktu na czacie w Moim ING lub skorzystania z Wirtualnego Asystenta.
MateuszF
Moderator
Moderator icon
583
126
12-04-2017
Wiadomość 6 z 18 (16 565 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Ten sam problem, yubikey 5 chyba jeszcze nie współpracuje z ing...

stanleyipkis
Doradca z ambicjami I
Doradca z ambicjami I icon
1
1
30-07-2023
Wiadomość 7 z 18 (14 584 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Witam. Na jednym telefonie bez problemu sparowałem 2 klucze U2F . To był telefon marki Xiaomi. Tą samą aplikację mam na drugim telefonie ( Realne GT 2 Pro ), i tu niestety nie mogę otworzyć aplikacji, mimo że jest komunikat że wszystko jest w porządku. Telefon kilka razy restartowałem. Moduł NFC był włączony, klucze zarejestrowałem osobiście w siedzibie banku,i nic z tego. Pytanie dlaczego? Doradzcie. Dziękuję
Odpowiedz
0 Lajków
Kot
Kot
Doradca z ambicjami I
Doradca z ambicjami I icon
4
3
15-07-2023
Wiadomość 8 z 18 (14 571 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Napisz do nas w tej sprawie na czacie w MoimING. Tutaj, niestety, nie możemy tego sprawdzić. Jeśli sprawa będzie wymagała konsultacji, wyślemy odpowiednie zgłoszenie do działu technicznego.

**
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Moja odpowiedź Ci pomogła? Zaakceptuj ją jako rozwiązanie!
Odpowiedz
0 Lajków
SebastianM
Moderator
Moderator icon
99
16
03-03-2023
Wiadomość 9 z 18 (14 495 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Witam,

uwagi do powyższych uwag b9MSJPa9brrw7BS

 

 "ING w ogóle nie przemyślało tej sprawy, aplikacja mobilna przestanie być mobilna w momencie aktywacji klucza U2F. Skorzystać z niej można tylko gdy mamy klucz pod ręką..."

 

Dlaczego aplikacja miałaby przestać być mobilną tylko z uwagi na dodanie kolejnej warstwy ochrony w postaci klucza? Przecież to tylko kolejny etap do weryfikacji

 

 

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

 

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

 

 

"W ustawieniach mój telefon nazywacie urządzeniem zaufanym, a i tak żeby się zalogować do apki muszę użyć i biometrii i klucza U2F. Przecież smartfon i tak musi mieć blokadę ekranu + aplikacja ING ma blokadę PIN / biometria, więc co daje ten kolejny krok ?"

 

O ile mi wiadomo - klucz do aplikacji mobilnej dodaje się osobno. Nikt nie zmusza Cię do używania yubikeya z telefonem.

 

 

"A na koniec, ING posiadając tak zabezpieczoną aplikację, która do każdego użycia wymaga klucza U2F do autoryzacji operacji i tak używa kodów SMS. Są chyba ostatnim zacofanym Bankiem pod tym względem, który nie umożliwia zmiany metody autoryzacji na aplikację mobilną..."

 

Dlaczego kody SMS mają świadczyć o zacofaniu? Nie mogłoby na przykład być tak, że autoryzujemy operację kodem sms + aplikacją mobilną?

 

 

 

 

 

 

 

Odpowiedz
0 Lajków
Joker
Nowy w branży II
Nowy w branży II icon
3
0
04-08-2023
Wiadomość 10 z 18 (13 788 wyświetleń)
Ostatnie wpisy na forum
Re.: Mozliwość weryfikacji płatności kartą za pomocą SMSa zamiast aplikacji mobilnej

@Alison Możesz zmienić metodę autoryzacji płatności na SMS. Na ekranie ze szczegółami transakcji, wybierz opcję potwierdzenia kodem SMS. Zobaczysz stronę logowania do bankowości internetowej Moje ING...

04-11-2024
Re: Re.: Kredyt na oprocentowanie stałe a wakacje kredytowe

U mnie też wydłużyli,przed chwilą zobaczyłem  w aplikacjiEmotikon: Szczęśliwy

04-11-2024
Re.: Hasło maskowane / partial password

Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.
Przeczytałem twoją odpowiedź i szczerze mówiąc, przez to że zahaczyłeś o tak wiele wątków niezwiąz

...

04-11-2024
Najbardziej pomocni użytkownicy