Aplikacja mobilna

Odpowiedz

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

uwagi do powyższych uwag b9MSJPa9brrw7BS c.d.

 

"Dodam jeszcze, że śmieszne jest to, że jak się oszust zaloguje i zleci przelew to wszystko jest " OK ", ale żeby zwiększyć bezpieczeństwo konta i dodać U2F trzeba iść do placówki, bo to już jest groźniejsze niż zostanie okradzionym..."

 

Ale przecież właśnie chodzi o to, żeby atakujący nie mógł się na Twoje konto zalogować. Dlatego musisz iść osobiście do banku, żeby uwierzytelnić swój klucz - po to, żeby atakujący po przejęciu Twojego loginu i hasła nie mógł dodać własnego klucza i odciąć Cię od Twojego konta.

Odpowiedz
0 Lajków
Joker
Nowy w branży II
Nowy w branży II icon
3
0
04-08-2023
Wiadomość 11 z 18 (5 621 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!



 


@Joker:

 

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

 

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

 

to chyba dotyczy tylko Androida. W sumie na iphone może się zdarzyć. Ale nadal, jak ktoś zautoryzuje się w aplikacji kluczem raz, prawidłowo, to jaki kłopot, aby przez jakiś czas działała ta aplikacja bez podawania klucza ponownie? np. do następnej aktualizacji chociażby. Faceid powinno wystarczyć wtedy. Rozumiem zwiększone bezpieczeństwo jak zawsze trzeba klucz, ale dla mnie to już over-security. Przy zaufanej apce raz dobrze zautoryzowanej, możnaby co jakiś czas wymagać klucza imho.

Odpowiedz
0 Lajków
artsssss
Doradca z ambicjami I
Doradca z ambicjami I icon
8
3
27-09-2023
Wiadomość 12 z 18 (5 161 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!


@b9MSJPa9brrw7BS:
Oczywiście jest za dodatkową weryfikacją, ale jeśli konto da się założyć na selfie to dlaczego w podobny sposób nie można autoryzować dodania kluczy U2F ? Albo np zeskanowanie e-dowodu ?

bo to najbardziej "pewna" metoda weryfikacji tożsamości i dodanie klucza pierwszy raz wymaga tego - w przeciwnym razie ktoś mógłby zrobić jakiś scam online i dodać swoje klucze do czyjegoś konta i odciąć prawowitego właściciela kompletnie. Raz pójście do oddziału w tym przypadku oceniam jako nie nadmierna uciążliwość względem powodów.

Odpowiedz
0 Lajków
artsssss
Doradca z ambicjami I
Doradca z ambicjami I icon
8
3
27-09-2023
Wiadomość 13 z 18 (5 158 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!


@Joker:

[...]

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

 

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

[...]


Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie (tak upraszczając).
Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana. 
Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.

Niech ktoś proszę ze strony Banku wyjaśni tę funkcjonalność i wyjaśni mi, jaki to ma sens, no albo jakiego nie ma? Tylko wyjaśnienie że to jest "bezpieczniejsze" nie jest sensowne. Równie dobrze można powiedzieć, żeby nie używać aplikacji i telefonów, bo to też bezpieczniejsze. A nie o to chodzi. Proszę też o info czy są plany na złagodzenie konieczności posiadania klucza przy każdorazowym logowaniu do aplikacji?

 

Dziękuję za informacje
Artur

Odpowiedz
0 Lajków
artsssss
Doradca z ambicjami I
Doradca z ambicjami I icon
8
3
27-09-2023
Wiadomość 14 z 18 (4 234 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie

Czyli jednak pomaga likwidować zagrożenia

 

 

Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana.

 

Skąd pewność, że to prawdziwa aplikacja? Nawet jeśli zarejestrujesz ją kluczem U2F skąd będziesz wiedział, że np. przez jakiś backdoor w telefonie nie podmienił Ci jej na fałszywą. Logując się na serwery banku masz po prostu gwarancję, że bez tego klucza przestępca nie zaloguje się na Twoje konto. Oprócz kontrolą nad Twoim smartfonem musi mieć jeszcze Twój klucz.

 

Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.

Dla Ciebie nic nie wnosząca a dla mnie i innych jak najbardziej podnosząca bezpieczeństwo. Nawiasem mówiąc trochę sam sobie przeczysz skoro piszesz, że szala przesunęła się w stronę bezpieczeństwa. Skoro uważasz, że klucz odbiera Ci wygodę - po prostu z niego nie korzystaj i tyle. Możesz uważać, że to absurd a jednak ludziom coraz częściej znikają pieniądze z konta. 

 

 

 

 

 

 

Odpowiedz
0 Lajków
Joker
Nowy w branży II
Nowy w branży II icon
3
0
04-08-2023
Wiadomość 15 z 18 (3 035 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Dzień dobry,

 

Czy bank planuje cokolwiek zmienić na podstawie tych sugestii ?
po ponad roku od wprowadzenia używanie kluczy u2f w ING jest nadal bez sensu...

 

 

Odpowiedz
0 Lajków
3ehu
Nowy w branży II
Nowy w branży II icon
1
0
09-10-2024
Wiadomość 16 z 18 (1 163 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Raczej nie, ING wie wszystko lepiej Emotikon: Szczęśliwy

Odpowiedz
0 Lajków
f0ku5
Zaprawiony analityk II
Zaprawiony analityk II icon
155
45
02-12-2022
Wiadomość 17 z 18 (1 123 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Dziękujemy za opinię. Aktualnie nie planujemy zmian w tym zakresie.



-----------------
Moja odpowiedź Ci pomogła? Zaakceptuj ją jako rozwiązanie.
Jeśli chcesz szybciej uzyskać odpowiedź, zachęcamy Cię do kontaktu na czacie w Moim ING lub skorzystania z Wirtualnego Asystenta.
Odpowiedz
0 Lajków
MateuszF
Moderator
Moderator icon
591
127
12-04-2017
Wiadomość 18 z 18 (1 094 wyświetleń)
Ostatnie wpisy na forum
Prowizja pośrednika hipotecznego

Dzień dobry, czy pośrednik kredytowy może dobrowolnie zrzec się prowizji przy składaniu wniosków kredytowych?

22-12-2024
Rejestracja działalności jednoosobowej - kod pkd

Dobry wieczór,
Jaki format kodu PKD wpisać w rubryce "rodzaj działalności gospodarczej"? Próbowałam już wszystkiego i nic nie wyszukuje wysxukiwarka

20-12-2024
Re.: Pusta strona logowania w Chrome

Dzień dobry,
proszę, sprawdź czy w ustawieniach programu antywirusowego nie masz wprowadzonych ograniczeń dla naszej strony logowania. Proszę, spróbuj też skorzystać z innej przeglądarki lub innego urz

...

20-12-2024
Najbardziej pomocni użytkownicy