---

@Joker:

 

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

 

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

 

to chyba dotyczy tylko Androida. W sumie na iphone może się zdarzyć. Ale nadal, jak ktoś zautoryzuje się w aplikacji kluczem raz, prawidłowo, to jaki kłopot, aby przez jakiś czas działała ta aplikacja bez podawania klucza ponownie? np. do następnej aktualizacji chociażby. Faceid powinno wystarczyć wtedy. Rozumiem zwiększone bezpieczeństwo jak zawsze trzeba klucz, ale dla mnie to już over-security. Przy zaufanej apce raz dobrze zautoryzowanej, możnaby co jakiś czas wymagać klucza imho.

---

@b9MSJPa9brrw7BS:
Oczywiście jest za dodatkową weryfikacją, ale jeśli konto da się założyć na selfie to dlaczego w podobny sposób nie można autoryzować dodania kluczy U2F ? Albo np zeskanowanie e-dowodu ?

bo to najbardziej "pewna" metoda weryfikacji tożsamości i dodanie klucza pierwszy raz wymaga tego - w przeciwnym razie ktoś mógłby zrobić jakiś scam online i dodać swoje klucze do czyjegoś konta i odciąć prawowitego właściciela kompletnie. Raz pójście do oddziału w tym przypadku oceniam jako nie nadmierna uciążliwość względem powodów.

---

@Joker:

[...]

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

 

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

[...]

---

Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie (tak upraszczając).
Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana. 
Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.

Niech ktoś proszę ze strony Banku wyjaśni tę funkcjonalność i wyjaśni mi, jaki to ma sens, no albo jakiego nie ma? Tylko wyjaśnienie że to jest "bezpieczniejsze" nie jest sensowne. Równie dobrze można powiedzieć, żeby nie używać aplikacji i telefonów, bo to też bezpieczniejsze. A nie o to chodzi. Proszę też o info czy są plany na złagodzenie konieczności posiadania klucza przy każdorazowym logowaniu do aplikacji?

Dziękuję za informacje
Artur

Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie

Czyli jednak pomaga likwidować zagrożenia

Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana.

Skąd pewność, że to prawdziwa aplikacja? Nawet jeśli zarejestrujesz ją kluczem U2F skąd będziesz wiedział, że np. przez jakiś backdoor w telefonie nie podmienił Ci jej na fałszywą. Logując się na serwery banku masz po prostu gwarancję, że bez tego klucza przestępca nie zaloguje się na Twoje konto. Oprócz kontrolą nad Twoim smartfonem musi mieć jeszcze Twój klucz.

Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.

Dla Ciebie nic nie wnosząca a dla mnie i innych jak najbardziej podnosząca bezpieczeństwo. Nawiasem mówiąc trochę sam sobie przeczysz skoro piszesz, że szala przesunęła się w stronę bezpieczeństwa. Skoro uważasz, że klucz odbiera Ci wygodę - po prostu z niego nie korzystaj i tyle. Możesz uważać, że to absurd a jednak ludziom coraz częściej znikają pieniądze z konta. 

Dzień dobry,

Czy bank planuje cokolwiek zmienić na podstawie tych sugestii ?
po ponad roku od wprowadzenia używanie kluczy u2f w ING jest nadal bez sensu...

Raczej nie, ING wie wszystko lepiej

Dziękujemy za opinię. Aktualnie nie planujemy zmian w tym zakresie.