04-08-2023 10:13
uwagi do powyższych uwag b9MSJPa9brrw7BS c.d.
"Dodam jeszcze, że śmieszne jest to, że jak się oszust zaloguje i zleci przelew to wszystko jest " OK ", ale żeby zwiększyć bezpieczeństwo konta i dodać U2F trzeba iść do placówki, bo to już jest groźniejsze niż zostanie okradzionym..."
Ale przecież właśnie chodzi o to, żeby atakujący nie mógł się na Twoje konto zalogować. Dlatego musisz iść osobiście do banku, żeby uwierzytelnić swój klucz - po to, żeby atakujący po przejęciu Twojego loginu i hasła nie mógł dodać własnego klucza i odciąć Cię od Twojego konta.
27-09-2023 15:30
@Joker:
"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."
Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.
to chyba dotyczy tylko Androida. W sumie na iphone może się zdarzyć. Ale nadal, jak ktoś zautoryzuje się w aplikacji kluczem raz, prawidłowo, to jaki kłopot, aby przez jakiś czas działała ta aplikacja bez podawania klucza ponownie? np. do następnej aktualizacji chociażby. Faceid powinno wystarczyć wtedy. Rozumiem zwiększone bezpieczeństwo jak zawsze trzeba klucz, ale dla mnie to już over-security. Przy zaufanej apce raz dobrze zautoryzowanej, możnaby co jakiś czas wymagać klucza imho.
27-09-2023 15:35
@b9MSJPa9brrw7BS:
Oczywiście jest za dodatkową weryfikacją, ale jeśli konto da się założyć na selfie to dlaczego w podobny sposób nie można autoryzować dodania kluczy U2F ? Albo np zeskanowanie e-dowodu ?
bo to najbardziej "pewna" metoda weryfikacji tożsamości i dodanie klucza pierwszy raz wymaga tego - w przeciwnym razie ktoś mógłby zrobić jakiś scam online i dodać swoje klucze do czyjegoś konta i odciąć prawowitego właściciela kompletnie. Raz pójście do oddziału w tym przypadku oceniam jako nie nadmierna uciążliwość względem powodów.
10-12-2023 13:36
@Joker:[...]
"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."
Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.
[...]
Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie (tak upraszczając).
Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana.
Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.
Niech ktoś proszę ze strony Banku wyjaśni tę funkcjonalność i wyjaśni mi, jaki to ma sens, no albo jakiego nie ma? Tylko wyjaśnienie że to jest "bezpieczniejsze" nie jest sensowne. Równie dobrze można powiedzieć, żeby nie używać aplikacji i telefonów, bo to też bezpieczniejsze. A nie o to chodzi. Proszę też o info czy są plany na złagodzenie konieczności posiadania klucza przy każdorazowym logowaniu do aplikacji?
Dziękuję za informacje
Artur
12-03-2024 11:34
Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie
Czyli jednak pomaga likwidować zagrożenia
Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana.
Skąd pewność, że to prawdziwa aplikacja? Nawet jeśli zarejestrujesz ją kluczem U2F skąd będziesz wiedział, że np. przez jakiś backdoor w telefonie nie podmienił Ci jej na fałszywą. Logując się na serwery banku masz po prostu gwarancję, że bez tego klucza przestępca nie zaloguje się na Twoje konto. Oprócz kontrolą nad Twoim smartfonem musi mieć jeszcze Twój klucz.
Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.
Dla Ciebie nic nie wnosząca a dla mnie i innych jak najbardziej podnosząca bezpieczeństwo. Nawiasem mówiąc trochę sam sobie przeczysz skoro piszesz, że szala przesunęła się w stronę bezpieczeństwa. Skoro uważasz, że klucz odbiera Ci wygodę - po prostu z niego nie korzystaj i tyle. Możesz uważać, że to absurd a jednak ludziom coraz częściej znikają pieniądze z konta.
09-10-2024 22:44
Dzień dobry,
Czy bank planuje cokolwiek zmienić na podstawie tych sugestii ?
po ponad roku od wprowadzenia używanie kluczy u2f w ING jest nadal bez sensu...
10-10-2024 10:00
Raczej nie, ING wie wszystko lepiej
10-10-2024 14:46
Dziękujemy za opinię. Aktualnie nie planujemy zmian w tym zakresie.
U mnie pomogło zapisanie ww. numeru w książce.
25-11-2024Mam ten sam problem. Jak to rozwiązać?
25-11-2024