Aplikacja mobilna

Odpowiedz

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

uwagi do powyższych uwag b9MSJPa9brrw7BS c.d.

 

"Dodam jeszcze, że śmieszne jest to, że jak się oszust zaloguje i zleci przelew to wszystko jest " OK ", ale żeby zwiększyć bezpieczeństwo konta i dodać U2F trzeba iść do placówki, bo to już jest groźniejsze niż zostanie okradzionym..."

 

Ale przecież właśnie chodzi o to, żeby atakujący nie mógł się na Twoje konto zalogować. Dlatego musisz iść osobiście do banku, żeby uwierzytelnić swój klucz - po to, żeby atakujący po przejęciu Twojego loginu i hasła nie mógł dodać własnego klucza i odciąć Cię od Twojego konta.

Odpowiedz
0 Lajków
Joker
Nowy w branży II
Nowy w branży II icon
3
0
04-08-2023
Wiadomość 11 z 18 (4 968 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!



 


@Joker:

 

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

 

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

 

to chyba dotyczy tylko Androida. W sumie na iphone może się zdarzyć. Ale nadal, jak ktoś zautoryzuje się w aplikacji kluczem raz, prawidłowo, to jaki kłopot, aby przez jakiś czas działała ta aplikacja bez podawania klucza ponownie? np. do następnej aktualizacji chociażby. Faceid powinno wystarczyć wtedy. Rozumiem zwiększone bezpieczeństwo jak zawsze trzeba klucz, ale dla mnie to już over-security. Przy zaufanej apce raz dobrze zautoryzowanej, możnaby co jakiś czas wymagać klucza imho.

Odpowiedz
0 Lajków
artsssss
Doradca z ambicjami I
Doradca z ambicjami I icon
8
3
27-09-2023
Wiadomość 12 z 18 (4 508 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!


@b9MSJPa9brrw7BS:
Oczywiście jest za dodatkową weryfikacją, ale jeśli konto da się założyć na selfie to dlaczego w podobny sposób nie można autoryzować dodania kluczy U2F ? Albo np zeskanowanie e-dowodu ?

bo to najbardziej "pewna" metoda weryfikacji tożsamości i dodanie klucza pierwszy raz wymaga tego - w przeciwnym razie ktoś mógłby zrobić jakiś scam online i dodać swoje klucze do czyjegoś konta i odciąć prawowitego właściciela kompletnie. Raz pójście do oddziału w tym przypadku oceniam jako nie nadmierna uciążliwość względem powodów.

Odpowiedz
0 Lajków
artsssss
Doradca z ambicjami I
Doradca z ambicjami I icon
8
3
27-09-2023
Wiadomość 13 z 18 (4 505 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!


@Joker:

[...]

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

 

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

[...]


Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie (tak upraszczając).
Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana. 
Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.

Niech ktoś proszę ze strony Banku wyjaśni tę funkcjonalność i wyjaśni mi, jaki to ma sens, no albo jakiego nie ma? Tylko wyjaśnienie że to jest "bezpieczniejsze" nie jest sensowne. Równie dobrze można powiedzieć, żeby nie używać aplikacji i telefonów, bo to też bezpieczniejsze. A nie o to chodzi. Proszę też o info czy są plany na złagodzenie konieczności posiadania klucza przy każdorazowym logowaniu do aplikacji?

 

Dziękuję za informacje
Artur

Odpowiedz
0 Lajków
artsssss
Doradca z ambicjami I
Doradca z ambicjami I icon
8
3
27-09-2023
Wiadomość 14 z 18 (3 581 wyświetleń)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie

Czyli jednak pomaga likwidować zagrożenia

 

 

Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana.

 

Skąd pewność, że to prawdziwa aplikacja? Nawet jeśli zarejestrujesz ją kluczem U2F skąd będziesz wiedział, że np. przez jakiś backdoor w telefonie nie podmienił Ci jej na fałszywą. Logując się na serwery banku masz po prostu gwarancję, że bez tego klucza przestępca nie zaloguje się na Twoje konto. Oprócz kontrolą nad Twoim smartfonem musi mieć jeszcze Twój klucz.

 

Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.

Dla Ciebie nic nie wnosząca a dla mnie i innych jak najbardziej podnosząca bezpieczeństwo. Nawiasem mówiąc trochę sam sobie przeczysz skoro piszesz, że szala przesunęła się w stronę bezpieczeństwa. Skoro uważasz, że klucz odbiera Ci wygodę - po prostu z niego nie korzystaj i tyle. Możesz uważać, że to absurd a jednak ludziom coraz częściej znikają pieniądze z konta. 

 

 

 

 

 

 

Odpowiedz
0 Lajków
Joker
Nowy w branży II
Nowy w branży II icon
3
0
04-08-2023
Wiadomość 15 z 18 (2 382 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Dzień dobry,

 

Czy bank planuje cokolwiek zmienić na podstawie tych sugestii ?
po ponad roku od wprowadzenia używanie kluczy u2f w ING jest nadal bez sensu...

 

 

Odpowiedz
0 Lajków
3ehu
Nowy w branży II
Nowy w branży II icon
1
0
09-10-2024
Wiadomość 16 z 18 (510 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Raczej nie, ING wie wszystko lepiej Emotikon: Szczęśliwy

Odpowiedz
0 Lajków
f0ku5
Zaprawiony analityk II
Zaprawiony analityk II icon
150
45
02-12-2022
Wiadomość 17 z 18 (470 wyświetleń)

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Dziękujemy za opinię. Aktualnie nie planujemy zmian w tym zakresie.



-----------------
Moja odpowiedź Ci pomogła? Zaakceptuj ją jako rozwiązanie.
Jeśli chcesz szybciej uzyskać odpowiedź, zachęcamy Cię do kontaktu na czacie w Moim ING lub skorzystania z Wirtualnego Asystenta.
Odpowiedz
0 Lajków
MateuszF
Moderator
Moderator icon
583
126
12-04-2017
Wiadomość 18 z 18 (441 wyświetleń)
Ostatnie wpisy na forum
Re.: Mozliwość weryfikacji płatności kartą za pomocą SMSa zamiast aplikacji mobilnej

@Alison Możesz zmienić metodę autoryzacji płatności na SMS. Na ekranie ze szczegółami transakcji, wybierz opcję potwierdzenia kodem SMS. Zobaczysz stronę logowania do bankowości internetowej Moje ING...

04-11-2024
Re: Re.: Kredyt na oprocentowanie stałe a wakacje kredytowe

U mnie też wydłużyli,przed chwilą zobaczyłem  w aplikacjiEmotikon: Szczęśliwy

04-11-2024
Re.: Hasło maskowane / partial password

Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.
Przeczytałem twoją odpowiedź i szczerze mówiąc, przez to że zahaczyłeś o tak wiele wątków niezwiąz

...

04-11-2024
Najbardziej pomocni użytkownicy