---

@maszaikasza:


Oczywiście postuluje, jako jeden z wielu użytkowników, o udostępnienie użytkownikom opcji wpisywania hasła w całości, co przynajmniej umożliwi ustawienie sobie hasła o odpowiedniej długości i poziomie skomplikowania. Do tego czasu połowa użytkowników pewnie nadal będzie miała za hasło "12345678", co sprytniejsi "23456789"

---

Czekaj. Tworzę hasło odpowiedniej długości i na odpowiednim poziomie skomplikowania. W innym bankach musisz je wpisać całe.

W ING tylko któreś znaki. I to jest problem? To nie jest problem banku, tylko co najwyżej Twój, że masz problem ze skupieniem się albo widzisz już szczyt a nawet do niego nie wystartowałeś. ( bez urazy )

A czy zwykłe wpisywanie całego hasła, gdy masz wirusa na kompie (bo już takie argumenty) to jest bezpieczniejsze od hasła maskowanego? 

Zauważ, że w ING masz jeszcze to, że najpierw wpisujesz login i dopiero przechodzisz do hasła. A na końcu jeszcze potwierdzasz smsem lub aplikacją.

W większości banków login i hasło wpisujesz na tej samej stronie.

Nie. Nie ma idealnych rozwiązań. A jeśli ktoś korzysta z menagera haseł zewnętrznych firm to tylko na swoją odpowiedzialność. Inni takim tworom nie wierzą. Racja, zaraz ktoś zacytuje, że strony bezpieczeństwa zalecają i sugerują stosowania takich rozwiązań. Ale oni mają z tego kasę. Ale gdy dochodzi do włamania jak w LastPass czy 1Password, to taki spec czy portal w pierś się nie uderzy. Menagery haseł to też nie idealne rozwiązanie.

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne. Jeśli poczytasz sobie opinie specjalistów dotyczące rekomendowanych, bezpiecznych sposobów na zarządzanie hasłami, to właśnie menadżer haseł jest polecany jako podstawowe narzędzie - a utrzymywanie dobrze zabezpieczonej bazy haseł, których sam nie znasz (bo nie musisz) tworzy dodatkową ochronę przed wpisaniem hasła w miejscu, w którym nie powinieneś (od pomysłów logowania się do banku na obcym komputerze, po ataki phishingowe).

Prawda jest taka, że hasło maskowane to przestarzały wymysł nie mający żadnego uzasadnienia w dzisiejszych standardach bezpieczeństwa cyfrowego, utrzymujący się właściwie tylko w kilku ostatnich instytucjach bankowych w Polsce, do tego utrudniający życie użytkownikom, którzy o bezpieczeństwie nieco wiedzą, a zarazem potęgujący ryzyko, że leniwy użytkownik ustawi sobie hasło, które będzie proste do wpisania w polu maskującym.
Co do "masz wirusa na kompie" - przed użytkownikami instalującymi przeróżne złośliwe oprogramowanie szerzące się po sieci ochroni 2FA czyli potwierdzenie logowania na drugim urządzeniu. Przed wyrafinowanym atakiem nie ochroni Cię ani hasło maskowane, ani menadżer haseł, ale taki atak będzie kosztował więcej niż prawdopodobnie cały twój i mój majątek łącznie.

Co do ostatniego argumentu, czyli "Ale oni mają z tego kasę", nawet CERT Polska wypuścił w swoich materiałach film promujący korzystanie z menadżerów haseł - żadnych konkretnych, więc nie wiem od kogo mieliby "mieć z tego kasę". I do kogo w sprawie bezpieczeństwa miałbyś mieć większe zaufanie niż do własnej instytucji rządowej utrzymywanej nie z pieniędzy sponsorów, ale naszych podatków.
Sprawa jest prosta - jeśli jako użytkownik uważasz, że hasło maskowane jest dla Ciebie wartością - proszę bardzo. Ale nie wciskajmy innym użytkownikom rozwiązań ogólnie przyjętych w branży za przestarzałe i ryzykowne. Nadal utrzymuję, że bank powinien wprowadzić opcję logowania z użyciem pełnego hasła. 

---

@maszaikasza:

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne.

---

Po pierwsze, sam napisałeś, że jeszcze nie miałeś z tym problemu. JESZCZE

Po drugie. Wolę hasło maskowane w drugim oknie, niż np w PKO BP i mBanku login i hasło na jednym ekranie. W ING też potwierdzasz biometrią w aplikacji albo dodatkowym smsem (jak sobie ustawisz)

Po trzecie - system jakikolwiek masz, gdzie masz go wbudowanego, to nie manager innych firm?

Można korzystać z KeePass ale to też program przez kogoś napisany czyli jest zewnętrzną firmą.

---

@maszaikasza:

 Jeśli poczytasz sobie opinie specjalistów dotyczące rekomendowanych, bezpiecznych sposobów na zarządzanie hasłami, to właśnie menadżer haseł jest polecany jako podstawowe narzędzie - a utrzymywanie dobrze zabezpieczonej bazy haseł, których sam nie znasz (bo nie musisz) tworzy dodatkową ochronę przed wpisaniem hasła w miejscu, w którym nie powinieneś (od pomysłów logowania się do banku na obcym komputerze, po ataki phishingowe).

 

---

Dobrze piszesz. To jest tylko lenistwo ludzi i brak myślenia. Kto się w ogóle loguje na obcym komputerze do banku. Albo kto korzysta z otwartych sieci WIFI

Ale jak sam wiesz,  są tacy ludzie.

Jeśli zatem korzystasz z natywnego wbudowanego w system, to jak chcesz korzystać na innych urządzeniach?

---

Prawda jest taka, że hasło maskowane to przestarzały wymysł nie mający żadnego uzasadnienia w dzisiejszych standardach bezpieczeństwa cyfrowego, utrzymujący się właściwie tylko w kilku ostatnich instytucjach bankowych w Polsce, do tego utrudniający życie użytkownikom, którzy o bezpieczeństwie nieco wiedzą, a zarazem potęgujący ryzyko, że leniwy użytkownik ustawi sobie hasło, które będzie proste do wpisania w polu maskującym.
. 

---

Prawda jest taka, że to nie przestarzały system. Nie utrudnia życia. To ludzie sobie sami utrudniają z lenistwa.

Nie twierdzę, że nie ma być wyboru. W innym temacie napisałem o tym. Jeśli mają mi zrobić logowanie takie jak w mBanku czy PKO BP to ja już wolę takie jakie jest w ING - czyli maskowane. Jestem świadomym użytkownikiem i nie leniwym, który wie, że haseł nie tworzy się 12345 czy 09876 czy jak ktoś sobie to ustawi.

---

Co do "masz wirusa na kompie" - przed użytkownikami instalującymi przeróżne złośliwe oprogramowanie szerzące się po sieci ochroni 2FA czyli potwierdzenie logowania na drugim urządzeniu. Przed wyrafinowanym atakiem nie ochroni Cię ani hasło maskowane, ani menadżer haseł, ale taki atak będzie kosztował więcej niż prawdopodobnie cały twój i mój majątek łącznie.

 

---

Sam sobie zaprzeczasz. Logowanie 2FA czyli uwierzytelnianie dwuskładnikowe to masz nawet dzisiaj z hasłem maskowanym. Ponieważ po loginie, haśle maskowanym, musisz jeszcze potwierdzić logowanie na telefonie przez aplikacje lub kodem sms. Z tym że, jakbyś nie wiedział, to kiedyś była akcja jak gościu miał na kompie Nortona, zalogował się do mBanku i dostał fałszywego smsa. Nie był tego świadomy,, że miał jakiegoś wirusa, nie przeczytał treści smsa i wysłał na rachunek grubą kwotę (rachunek był podłożony)

Przed wyrafinowanym atakiem nawet najlepsze rozwiązania klekną.

Jest jeszcze w ING możliwość nabycia kluczy zabezpieczeń U2F ale temat tego się nie wypowiadam, bo nie wnikałem w szczegóły. Dzisiaj to chyba jednak mimo wszystko najlepsze zabezpieczenie.

https://www.ing.pl/indywidualni/bankowosc-internetowa/bezpieczenstwo/klucze-zabezpieczen-u2f

Natomiast z reguły zwykłym Kowalskim takimi atakami się nie interesują. Tu się zgadzam.

---

Co do ostatniego argumentu, czyli "Ale oni mają z tego kasę", nawet CERT Polska wypuścił w swoich materiałach film promujący korzystanie z menadżerów haseł - żadnych konkretnych, więc nie wiem od kogo mieliby "mieć z tego kasę". I do kogo w sprawie bezpieczeństwa miałbyś mieć większe zaufanie niż do własnej instytucji rządowej utrzymywanej nie z pieniędzy sponsorów, ale naszych podatków.
Sprawa jest prosta - jeśli jako użytkownik uważasz, że hasło maskowane jest dla Ciebie wartością - proszę bardzo. Ale nie wciskajmy innym użytkownikom rozwiązań ogólnie przyjętych w branży za przestarzałe i ryzykowne. Nadal utrzymuję, że bank powinien wprowadzić opcję logowania z użyciem pełnego hasła. 

---

Sorry, ale gdzie Ty żyjesz. A NFZ żyje z naszych podatków i kazali się wszystkim szczepić przeciw Covid. W USA lekarze przepisywali leki na opioidach i teraz mają problem z epidemią. Wymieniać mi się wszystkiego nie chce. Każdy ma z tego biznes.

Managery haseł są promowane nie dlatego, że są mega bezpieczne. Po wpadkach LastPass jak widać, też mają problem.

Managery haseł są modne właśnie przez leniwych ludzi, których się nie chce stworzyć hasła do czegokolwiek i tworzą je do wszystkiego proste (nie tylko do bankowości). Od lat największym problemem są właśnie użytkownicy a nie systemy. Od lat audyty o bezpieczeństwie nic pod tym względem nie zmieniają, bo ludzie tacy są i tego nie zmienisz.  I dlatego wszystkie organizacje promują managery haseł właśnie do ludzi, dla których stworzenie hasła user1 czy 12345 to ich szczyt osiągnięć. Nie względu na mega zabezpieczenie, tylko ze względu na "głupotę" społeczeństwa.

Niektórzy się nałykali promowania, że managery haseł wszystko rozwiązują. A tak naprawdę, chcą mieć tylko wygodę.

Jeśli chodzi o mnie,  nie wierzę w managery haseł, nie stosuje ich na szeroką skalę (korzystałem, dzisiaj już nie korzystam).

Miałem też kumpla informatyka, który zachwalał managery haseł. Głównie LastPass. Po ich wpadce, już takim entuzjastą nie jest.

Nie twierdzę, że ING robi dobrze. Ale wolę to maskowane niż tak jak napisałem wyżej w bankach. Dzisiaj jednak powinni dać wybór - maskowane hasło lub manager haseł (klient sam sobie wybiera sposób logowania). Tylko niech maskowanego hasła nie wyłączają. A jeśli mają problem lub dystans do managerów haseł, to dając wybór obok maskowanego hasła do logowania, to niech dopiszą klauzulę, że odpowiada użytkownik i po temacie.

Jeszcze uzupełnię, bo przyznaję, że trochę wypadłem z obiegu, z racji tego, iż tego nie używam na co dzień. I myślałem, że coś nowego wprowadzili na rynek i więcej rozwiązań przez ten czas natywnych. Ale dzisiaj raczej to idzie w kierunku chmurowych rozwiązań i jeden (bez wtyczek i swoich rozwiązań) pozostanie natywny.

---

@maszaikasza:

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne.

Jeśli mówimy o natywnym, to pewnie masz na myśli Keepass. Obecnie najbardziej popularny XC.

Ale Keepass można z tego względu, że to open source, "zmusić" do wklejania w przypadku hasła maskowanego.

Można to wyczytać w sieci, jak sobie ludzie radzą a nawet był tutaj temat na forum ING

https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/KeePass-2-x-Pickchars-i-maskowanie-has%...

Czy działa teraz, to nie wiem.

W każdym razie powtarzam, że większość, kto korzysta z managerów nie używa ich do bankowości.

W przypadku wersji XC możemy przez wtyczki działać w przeglądarkach. Tylko, że sam Keepass piszą inni (nie pamiętam nazwiska tego gościa), a przeglądarki ktoś inny. Wystarczy luka i mamy jak ostatnio, że wtyczka w Chrome dla Dashless oraz Bitwardena pozwalała "wpisywać" hasła nawet na stronach phishingowych.

To samo apki na telefony, są pisane przez kogos innego. I może być Keepass idealny ale apki już nie.

Zmierzam do tego, że opieranie się, że mając managera haseł, to lek na całe zło, jest moim zdaniem trochę ryzykowne. Jeśli nie powiedzieć, naiwne.

Oczywiście nikt nikomu tego nie broni. Technologie są coraz lepsze i nowsze a są po to aby ludziom ułatwić życie w świecie wirtualnym.

Tylko, że zawsze jest coś za i coś przeciw. Nie ma rozwiązań idealnych i musimy mieć tego świadomość.

Managery mają coraz większą popularność i coraz więcej firm w to wchodzi. Zresztą podobnie było kiedyś z VPN.

https://proton.me/pass

Im większa popularność, tym będzie większe napieranie hakerów na managery haseł. Ale nie u ludzi na kompie a raczej w przeglądarki (wtyczki) i na infrastrukturę managerów haseł.

Są również tacy, co używają managery haseł do banków ale dodatkowo używają tzw "sól" O tym można poczytać w sieci, na czym to polega.

Ostatnio coraz częściej przez BigTechy i większość firm nawet mniejszych (głównie USA) promują PassKeys. Czyli takie 2FA, gdzie klucz prywatny mamy na sprzęcie (komp, telefon) a publiczny w chmurze. Również wygoda, bezpieczeństwo itd.

Ale znając USA i ich firmy 3literowe, pewnie gdzieś jest haczyk, że w kampanie angażuje się Google, Amazon, Microsoft czy Apple (to już każdy sam musi sobie przemyśleć, znając te firmy i jak one dbają o prywatność). To samo z managerami haseł z chmurami z USA np Bitwarden, który ma dodatkowo chmurę na Amazon Azure.

Jeśli ktoś nie jest świadomy, to Amazon, Microsoft w swoich chmurach wspomagają przerabiać wiele rund brutal force (bo mają możliwość techniczną przez mocne GPU).

Świat się zmienia. Ostatnio Chińczycy się chwalili, że potrafią komputerem kwantowym złamać RSA. Znamy izraelskiego Pegasusa, który łamał wszystko co się dało i wchodził na telefony z Androidem i IoS jak w masło.

Kończąc wątek. Trzeba rozgraniczyć wygodę od bezpieczeństwa. Nalezy wziac pod uwagę wszelkie rodzaje zagrożeń. Wszelkie rozwiązania i znać ich wady i zalety. Banki mają w przypadku zabezpieczeń mają swoje księgi zasad.

Im coś wygodniejsze, z reguły ma więcej wad. Im coś trudniejsze, to też bezpieczniejsze.

Managery haseł to fajne rozwiązanie. Już pracują firmy nad szyfrowaniem antykwantowym.

Tylko same managery nie sprawią, że wszystko od razu będzie lepsze, skoro ludzie zapominają o aktualizacjach na swoich urządzeniach. Jeśli nie potrafią dobrze skonfigurować urzadzeń, dobrze ustawić czy też nawet nie chcą płacić za antywirusa.

No i kolejna rzecz. Nie każdy manager haseł jest dla laików.

Nie bronią banków. Nie bronie ING. Ale bank musi wziąć pod uwagę wszelkie zagrożenia, w tym też, że jedni ludzie mają przynajmniej podstawowe pojęcie o zabezpieczeniach, komputerach a inni - są totalnymi w tej dziedzinie analfabetami. Na końcu bank po wrzuceniu tych wszystkich składników do gara, musi ugotować zupę, która ma smakować każdemu.