---

@maszaikasza:


Oczywiście postuluje, jako jeden z wielu użytkowników, o udostępnienie użytkownikom opcji wpisywania hasła w całości, co przynajmniej umożliwi ustawienie sobie hasła o odpowiedniej długości i poziomie skomplikowania. Do tego czasu połowa użytkowników pewnie nadal będzie miała za hasło "12345678", co sprytniejsi "23456789"

---

Czekaj. Tworzę hasło odpowiedniej długości i na odpowiednim poziomie skomplikowania. W innym bankach musisz je wpisać całe.

W ING tylko któreś znaki. I to jest problem? To nie jest problem banku, tylko co najwyżej Twój, że masz problem ze skupieniem się albo widzisz już szczyt a nawet do niego nie wystartowałeś. ( bez urazy )

A czy zwykłe wpisywanie całego hasła, gdy masz wirusa na kompie (bo już takie argumenty) to jest bezpieczniejsze od hasła maskowanego? 

Zauważ, że w ING masz jeszcze to, że najpierw wpisujesz login i dopiero przechodzisz do hasła. A na końcu jeszcze potwierdzasz smsem lub aplikacją.

W większości banków login i hasło wpisujesz na tej samej stronie.

Nie. Nie ma idealnych rozwiązań. A jeśli ktoś korzysta z menagera haseł zewnętrznych firm to tylko na swoją odpowiedzialność. Inni takim tworom nie wierzą. Racja, zaraz ktoś zacytuje, że strony bezpieczeństwa zalecają i sugerują stosowania takich rozwiązań. Ale oni mają z tego kasę. Ale gdy dochodzi do włamania jak w LastPass czy 1Password, to taki spec czy portal w pierś się nie uderzy. Menagery haseł to też nie idealne rozwiązanie.

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne. Jeśli poczytasz sobie opinie specjalistów dotyczące rekomendowanych, bezpiecznych sposobów na zarządzanie hasłami, to właśnie menadżer haseł jest polecany jako podstawowe narzędzie - a utrzymywanie dobrze zabezpieczonej bazy haseł, których sam nie znasz (bo nie musisz) tworzy dodatkową ochronę przed wpisaniem hasła w miejscu, w którym nie powinieneś (od pomysłów logowania się do banku na obcym komputerze, po ataki phishingowe).

Prawda jest taka, że hasło maskowane to przestarzały wymysł nie mający żadnego uzasadnienia w dzisiejszych standardach bezpieczeństwa cyfrowego, utrzymujący się właściwie tylko w kilku ostatnich instytucjach bankowych w Polsce, do tego utrudniający życie użytkownikom, którzy o bezpieczeństwie nieco wiedzą, a zarazem potęgujący ryzyko, że leniwy użytkownik ustawi sobie hasło, które będzie proste do wpisania w polu maskującym.
Co do "masz wirusa na kompie" - przed użytkownikami instalującymi przeróżne złośliwe oprogramowanie szerzące się po sieci ochroni 2FA czyli potwierdzenie logowania na drugim urządzeniu. Przed wyrafinowanym atakiem nie ochroni Cię ani hasło maskowane, ani menadżer haseł, ale taki atak będzie kosztował więcej niż prawdopodobnie cały twój i mój majątek łącznie.

Co do ostatniego argumentu, czyli "Ale oni mają z tego kasę", nawet CERT Polska wypuścił w swoich materiałach film promujący korzystanie z menadżerów haseł - żadnych konkretnych, więc nie wiem od kogo mieliby "mieć z tego kasę". I do kogo w sprawie bezpieczeństwa miałbyś mieć większe zaufanie niż do własnej instytucji rządowej utrzymywanej nie z pieniędzy sponsorów, ale naszych podatków.
Sprawa jest prosta - jeśli jako użytkownik uważasz, że hasło maskowane jest dla Ciebie wartością - proszę bardzo. Ale nie wciskajmy innym użytkownikom rozwiązań ogólnie przyjętych w branży za przestarzałe i ryzykowne. Nadal utrzymuję, że bank powinien wprowadzić opcję logowania z użyciem pełnego hasła. 

---

@maszaikasza:

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne.

---

Po pierwsze, sam napisałeś, że jeszcze nie miałeś z tym problemu. JESZCZE

Po drugie. Wolę hasło maskowane w drugim oknie, niż np w PKO BP i mBanku login i hasło na jednym ekranie. W ING też potwierdzasz biometrią w aplikacji albo dodatkowym smsem (jak sobie ustawisz)

Po trzecie - system jakikolwiek masz, gdzie masz go wbudowanego, to nie manager innych firm?

Można korzystać z KeePass ale to też program przez kogoś napisany czyli jest zewnętrzną firmą.

---

@maszaikasza:

 Jeśli poczytasz sobie opinie specjalistów dotyczące rekomendowanych, bezpiecznych sposobów na zarządzanie hasłami, to właśnie menadżer haseł jest polecany jako podstawowe narzędzie - a utrzymywanie dobrze zabezpieczonej bazy haseł, których sam nie znasz (bo nie musisz) tworzy dodatkową ochronę przed wpisaniem hasła w miejscu, w którym nie powinieneś (od pomysłów logowania się do banku na obcym komputerze, po ataki phishingowe).

 

---

Dobrze piszesz. To jest tylko lenistwo ludzi i brak myślenia. Kto się w ogóle loguje na obcym komputerze do banku. Albo kto korzysta z otwartych sieci WIFI

Ale jak sam wiesz,  są tacy ludzie.

Jeśli zatem korzystasz z natywnego wbudowanego w system, to jak chcesz korzystać na innych urządzeniach?

---

Prawda jest taka, że hasło maskowane to przestarzały wymysł nie mający żadnego uzasadnienia w dzisiejszych standardach bezpieczeństwa cyfrowego, utrzymujący się właściwie tylko w kilku ostatnich instytucjach bankowych w Polsce, do tego utrudniający życie użytkownikom, którzy o bezpieczeństwie nieco wiedzą, a zarazem potęgujący ryzyko, że leniwy użytkownik ustawi sobie hasło, które będzie proste do wpisania w polu maskującym.
. 

---

Prawda jest taka, że to nie przestarzały system. Nie utrudnia życia. To ludzie sobie sami utrudniają z lenistwa.

Nie twierdzę, że nie ma być wyboru. W innym temacie napisałem o tym. Jeśli mają mi zrobić logowanie takie jak w mBanku czy PKO BP to ja już wolę takie jakie jest w ING - czyli maskowane. Jestem świadomym użytkownikiem i nie leniwym, który wie, że haseł nie tworzy się 12345 czy 09876 czy jak ktoś sobie to ustawi.

---

Co do "masz wirusa na kompie" - przed użytkownikami instalującymi przeróżne złośliwe oprogramowanie szerzące się po sieci ochroni 2FA czyli potwierdzenie logowania na drugim urządzeniu. Przed wyrafinowanym atakiem nie ochroni Cię ani hasło maskowane, ani menadżer haseł, ale taki atak będzie kosztował więcej niż prawdopodobnie cały twój i mój majątek łącznie.

 

---

Sam sobie zaprzeczasz. Logowanie 2FA czyli uwierzytelnianie dwuskładnikowe to masz nawet dzisiaj z hasłem maskowanym. Ponieważ po loginie, haśle maskowanym, musisz jeszcze potwierdzić logowanie na telefonie przez aplikacje lub kodem sms. Z tym że, jakbyś nie wiedział, to kiedyś była akcja jak gościu miał na kompie Nortona, zalogował się do mBanku i dostał fałszywego smsa. Nie był tego świadomy,, że miał jakiegoś wirusa, nie przeczytał treści smsa i wysłał na rachunek grubą kwotę (rachunek był podłożony)

Przed wyrafinowanym atakiem nawet najlepsze rozwiązania klekną.

Jest jeszcze w ING możliwość nabycia kluczy zabezpieczeń U2F ale temat tego się nie wypowiadam, bo nie wnikałem w szczegóły. Dzisiaj to chyba jednak mimo wszystko najlepsze zabezpieczenie.

https://www.ing.pl/indywidualni/bankowosc-internetowa/bezpieczenstwo/klucze-zabezpieczen-u2f

Natomiast z reguły zwykłym Kowalskim takimi atakami się nie interesują. Tu się zgadzam.

---

Co do ostatniego argumentu, czyli "Ale oni mają z tego kasę", nawet CERT Polska wypuścił w swoich materiałach film promujący korzystanie z menadżerów haseł - żadnych konkretnych, więc nie wiem od kogo mieliby "mieć z tego kasę". I do kogo w sprawie bezpieczeństwa miałbyś mieć większe zaufanie niż do własnej instytucji rządowej utrzymywanej nie z pieniędzy sponsorów, ale naszych podatków.
Sprawa jest prosta - jeśli jako użytkownik uważasz, że hasło maskowane jest dla Ciebie wartością - proszę bardzo. Ale nie wciskajmy innym użytkownikom rozwiązań ogólnie przyjętych w branży za przestarzałe i ryzykowne. Nadal utrzymuję, że bank powinien wprowadzić opcję logowania z użyciem pełnego hasła. 

---

Sorry, ale gdzie Ty żyjesz. A NFZ żyje z naszych podatków i kazali się wszystkim szczepić przeciw Covid. W USA lekarze przepisywali leki na opioidach i teraz mają problem z epidemią. Wymieniać mi się wszystkiego nie chce. Każdy ma z tego biznes.

Managery haseł są promowane nie dlatego, że są mega bezpieczne. Po wpadkach LastPass jak widać, też mają problem.

Managery haseł są modne właśnie przez leniwych ludzi, których się nie chce stworzyć hasła do czegokolwiek i tworzą je do wszystkiego proste (nie tylko do bankowości). Od lat największym problemem są właśnie użytkownicy a nie systemy. Od lat audyty o bezpieczeństwie nic pod tym względem nie zmieniają, bo ludzie tacy są i tego nie zmienisz.  I dlatego wszystkie organizacje promują managery haseł właśnie do ludzi, dla których stworzenie hasła user1 czy 12345 to ich szczyt osiągnięć. Nie względu na mega zabezpieczenie, tylko ze względu na "głupotę" społeczeństwa.

Niektórzy się nałykali promowania, że managery haseł wszystko rozwiązują. A tak naprawdę, chcą mieć tylko wygodę.

Jeśli chodzi o mnie,  nie wierzę w managery haseł, nie stosuje ich na szeroką skalę (korzystałem, dzisiaj już nie korzystam).

Miałem też kumpla informatyka, który zachwalał managery haseł. Głównie LastPass. Po ich wpadce, już takim entuzjastą nie jest.

Nie twierdzę, że ING robi dobrze. Ale wolę to maskowane niż tak jak napisałem wyżej w bankach. Dzisiaj jednak powinni dać wybór - maskowane hasło lub manager haseł (klient sam sobie wybiera sposób logowania). Tylko niech maskowanego hasła nie wyłączają. A jeśli mają problem lub dystans do managerów haseł, to dając wybór obok maskowanego hasła do logowania, to niech dopiszą klauzulę, że odpowiada użytkownik i po temacie.