05-07-2023 14:11
Cześć,
każdy kto zastanawia się nad aktywacją klucz U2F w ING niech się zastanowi czy na pewno ZAWSZE ma klucz przy sobie. NIE DA SIĘ dodać urządzenia do zaufanych. Klucz jest wymagany ZAWSZE. Stoisz w kolejce w kasie, chcesz zapłacić BLIKiem ? Bez klucza U2F nie ma szans. Dosłownie każde logowanie do aplikacji wymaga klucza U2F. ING w ogóle nie przemyślało tej sprawy, aplikacja mobilna przestanie być mobilna w momencie aktywacji klucza U2F. Skorzystać z niej można tylko gdy mamy klucz pod ręką...
I o ile jest to rozwiązanie meeeeeega bezpieczne, to niestety jak dla mnie nie da się z tego korzystać. Oczywiście da się aktywować klucze U2F tylko dla serwisu WWW, ale wtedy to nie ma żadnego sensu.
ING proszę dodajcie możliwość dodania urządzenia mobilnego do zaufanych, tak by do logowania do aplikacji można było używać biometrii. Obecnie nie dość, że muszę użyć biometrii to jeszcze dodatkowo użyć klucza U2F. Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować.
Obecnie w procesie rejestracji aplikacji JEST WYMAGANY klucz U2F. Po co więc dodatkowo używać go przy absolutnie każdym logowaniu ? W ustawieniach mój telefon nazywacie urządzeniem zaufanym, a i tak żeby się zalogować do apki muszę użyć i biometrii i klucza U2F. Przecież smartfon i tak musi mieć blokadę ekranu + aplikacja ING ma blokadę PIN / biometria, więc co daje ten kolejny krok ?
W procesie aktywacji klucza ING za to mogę się przyczepić do tego, że 2 razy używamy tej samej metody autoryzacji - po co ? Najpierw dodajemy klucz, potwierdzamy kodem SMS, a później go aktywujemy znowu kodem SMS (w aplikacji mobilnej za to przy dodawaniu klucza trzeba wpisać 2x ten sam PIN). Tutaj mam pytanie do ING w jaki sposób przepisanie 2x kodu SMS lub wpisanie 2x tego samego kodu PIN ma zwiększyć bezpieczeństwo ? Nie dość, że sesja musi być autoryzowana kluczem U2F to jeszcze trzeba użyć 2x metody autoryzacji. Jeśli już tak mocno chcecie to zabezpieczać to zróbcie tak, żeby był wymagany 1 kod SMS i i 1 autoryzacja w aplikacji zarówno przy dodawaniu przez www jak i przez apkę, wtedy to jeszcze by miało trochę sensu.
A na koniec, ING posiadając tak zabezpieczoną aplikację, która do każdego użycia wymaga klucza U2F do autoryzacji operacji i tak używa kodów SMS. Są chyba ostatnim zacofanym Bankiem pod tym względem, który nie umożliwia zmiany metody autoryzacji na aplikację mobilną...
Podsumowując tego mega długiego posta ING proszę dajcie możliwość dodać aplikację mobilną do urządzeń zaufanych przy korzystaniu z U2F oraz pozwólcie w końcu korzystać z autoryzacji w aplikacji Moje ING (bez kodów SMS)
05-07-2023 14:34
06-07-2023 20:52
Dziękuję za Twoje sugestię w tej sprawie. Przekażę je do odpowiedniego działu w naszym banku.
15-07-2023 13:07
16-07-2023 08:47
16-07-2023 10:04
Prosimy, napisz do nas w tej sprawie na czacie w Moim ING. Sprawdzimy to dokładnie i jeśli nie będziemy mogli pomóc przyjmiemy odpowiednie zgłoszenie w celu wyjaśnienia tej sytuacji. Czat jest dostępny w dni robocze 8-24 i w soboty 8-22.
30-07-2023 16:56
Ten sam problem, yubikey 5 chyba jeszcze nie współpracuje z ing...
30-07-2023 17:38
31-07-2023 17:50
Napisz do nas w tej sprawie na czacie w MoimING. Tutaj, niestety, nie możemy tego sprawdzić. Jeśli sprawa będzie wymagała konsultacji, wyślemy odpowiednie zgłoszenie do działu technicznego.
04-08-2023 09:50
Witam,
uwagi do powyższych uwag b9MSJPa9brrw7BS
"ING w ogóle nie przemyślało tej sprawy, aplikacja mobilna przestanie być mobilna w momencie aktywacji klucza U2F. Skorzystać z niej można tylko gdy mamy klucz pod ręką..."
Dlaczego aplikacja miałaby przestać być mobilną tylko z uwagi na dodanie kolejnej warstwy ochrony w postaci klucza? Przecież to tylko kolejny etap do weryfikacji
"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."
Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.
"W ustawieniach mój telefon nazywacie urządzeniem zaufanym, a i tak żeby się zalogować do apki muszę użyć i biometrii i klucza U2F. Przecież smartfon i tak musi mieć blokadę ekranu + aplikacja ING ma blokadę PIN / biometria, więc co daje ten kolejny krok ?"
O ile mi wiadomo - klucz do aplikacji mobilnej dodaje się osobno. Nikt nie zmusza Cię do używania yubikeya z telefonem.
"A na koniec, ING posiadając tak zabezpieczoną aplikację, która do każdego użycia wymaga klucza U2F do autoryzacji operacji i tak używa kodów SMS. Są chyba ostatnim zacofanym Bankiem pod tym względem, który nie umożliwia zmiany metody autoryzacji na aplikację mobilną..."
Dlaczego kody SMS mają świadczyć o zacofaniu? Nie mogłoby na przykład być tak, że autoryzujemy operację kodem sms + aplikacją mobilną?