Odpowiedz

Hasło maskowane / partial password

Zwróciłem uwagę, że ING jako jeden z ostatnich banków na polskim rynku wymusza na użytkownikach logowanie przez podanie tylko kilku wybranych znaków hasła. O wadach tego rozwiązania toczyło się już wiele dyskusji, natomiast zastanawia mnie jedna rzecz:
W jakiej formie bank przechowuje hasła użytkowników? Hasło w całości można zahashować dzięki czemu bank nigdzie nie przechowuje hasła w formie możliwej do odczytania. Natomiast aby porównać poszczególne znaki hasła trzeba to hasło mieć w formie do odczytania. Ewentualnie przechowywać hashe każdej kombinacji wybranych znaków z hasła (w co nie chce mi się wierzyć). Czy zatem bank, w swojej trosce o bezpieczeństwo hasła, przechowuje je przewrotnie w plaintexcie?

Oczywiście postuluje, jako jeden z wielu użytkowników, o udostępnienie użytkownikom opcji wpisywania hasła w całości, co przynajmniej umożliwi ustawienie sobie hasła o odpowiedniej długości i poziomie skomplikowania. Do tego czasu połowa użytkowników pewnie nadal będzie miała za hasło "12345678", co sprytniejsi "23456789" Emotikon: Mrugający

Prośba o przekazanie opinii w górę drabinki korporacyjnej. Mam nadzieję, że prośby o zdrowy rozsądek zostaną w końcu wysłuchane, inaczej chyba zostanie nam kampania oparta o Niebezpiecznik, Zaufaną Trzecią Stronę, ewentualnie konsultacje z CERT Polska.

Pozdrawiam
DC
Odpowiedz
0 Lajków
maszaikasza
Doradca z ambicjami I
Doradca z ambicjami I icon
6
1
17-09-2024
Wiadomość 1 z 7 (1 652 wyświetleń)

Re.: Hasło maskowane / partial password

[ Edytowane ]

@maszaikasza:


Oczywiście postuluje, jako jeden z wielu użytkowników, o udostępnienie użytkownikom opcji wpisywania hasła w całości, co przynajmniej umożliwi ustawienie sobie hasła o odpowiedniej długości i poziomie skomplikowania. Do tego czasu połowa użytkowników pewnie nadal będzie miała za hasło "12345678", co sprytniejsi "23456789" Emotikon: Mrugający


Czekaj. Tworzę hasło odpowiedniej długości i na odpowiednim poziomie skomplikowania. W innym bankach musisz je wpisać całe.

W ING tylko któreś znaki. I to jest problem? To nie jest problem banku, tylko co najwyżej Twój, że masz problem ze skupieniem się albo widzisz już szczyt a nawet do niego nie wystartowałeś. ( bez urazy Emotikon: Mrugający )

 

A czy zwykłe wpisywanie całego hasła, gdy masz wirusa na kompie (bo już takie argumenty) to jest bezpieczniejsze od hasła maskowanego? 

Zauważ, że w ING masz jeszcze to, że najpierw wpisujesz login i dopiero przechodzisz do hasła. A na końcu jeszcze potwierdzasz smsem lub aplikacją.

W większości banków login i hasło wpisujesz na tej samej stronie.

 

Nie. Nie ma idealnych rozwiązań. A jeśli ktoś korzysta z menagera haseł zewnętrznych firm to tylko na swoją odpowiedzialność. Inni takim tworom nie wierzą. Racja, zaraz ktoś zacytuje, że strony bezpieczeństwa zalecają i sugerują stosowania takich rozwiązań. Ale oni mają z tego kasę. Ale gdy dochodzi do włamania jak w LastPass czy 1Password, to taki spec czy portal w pierś się nie uderzy. Menagery haseł to też nie idealne rozwiązanie.

 

Odpowiedz
0 Lajków
viggen
Główny rachmistrz II
Główny rachmistrz II icon
335
49
03-02-2016
Wiadomość 2 z 7 (1 159 wyświetleń)

Re.: Hasło maskowane / partial password

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne. Jeśli poczytasz sobie opinie specjalistów dotyczące rekomendowanych, bezpiecznych sposobów na zarządzanie hasłami, to właśnie menadżer haseł jest polecany jako podstawowe narzędzie - a utrzymywanie dobrze zabezpieczonej bazy haseł, których sam nie znasz (bo nie musisz) tworzy dodatkową ochronę przed wpisaniem hasła w miejscu, w którym nie powinieneś (od pomysłów logowania się do banku na obcym komputerze, po ataki phishingowe).

Prawda jest taka, że hasło maskowane to przestarzały wymysł nie mający żadnego uzasadnienia w dzisiejszych standardach bezpieczeństwa cyfrowego, utrzymujący się właściwie tylko w kilku ostatnich instytucjach bankowych w Polsce, do tego utrudniający życie użytkownikom, którzy o bezpieczeństwie nieco wiedzą, a zarazem potęgujący ryzyko, że leniwy użytkownik ustawi sobie hasło, które będzie proste do wpisania w polu maskującym.
Co do "masz wirusa na kompie" - przed użytkownikami instalującymi przeróżne złośliwe oprogramowanie szerzące się po sieci ochroni 2FA czyli potwierdzenie logowania na drugim urządzeniu. Przed wyrafinowanym atakiem nie ochroni Cię ani hasło maskowane, ani menadżer haseł, ale taki atak będzie kosztował więcej niż prawdopodobnie cały twój i mój majątek łącznie.

Co do ostatniego argumentu, czyli "Ale oni mają z tego kasę", nawet CERT Polska wypuścił w swoich materiałach film promujący korzystanie z menadżerów haseł - żadnych konkretnych, więc nie wiem od kogo mieliby "mieć z tego kasę". I do kogo w sprawie bezpieczeństwa miałbyś mieć większe zaufanie niż do własnej instytucji rządowej utrzymywanej nie z pieniędzy sponsorów, ale naszych podatków.
Sprawa jest prosta - jeśli jako użytkownik uważasz, że hasło maskowane jest dla Ciebie wartością - proszę bardzo. Ale nie wciskajmy innym użytkownikom rozwiązań ogólnie przyjętych w branży za przestarzałe i ryzykowne. Nadal utrzymuję, że bank powinien wprowadzić opcję logowania z użyciem pełnego hasła. 

Odpowiedz
0 Lajków
maszaikasza
Doradca z ambicjami I
Doradca z ambicjami I icon
6
1
17-09-2024
Wiadomość 3 z 7 (1 099 wyświetleń)

Re.: Hasło maskowane / partial password


@maszaikasza:

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne.


Po pierwsze, sam napisałeś, że jeszcze nie miałeś z tym problemu. JESZCZE

Po drugie. Wolę hasło maskowane w drugim oknie, niż np w PKO BP i mBanku login i hasło na jednym ekranie. W ING też potwierdzasz biometrią w aplikacji albo dodatkowym smsem (jak sobie ustawisz)

Po trzecie - system jakikolwiek masz, gdzie masz go wbudowanego, to nie manager innych firm?

Można korzystać z KeePass ale to też program przez kogoś napisany czyli jest zewnętrzną firmą.

 


@maszaikasza:

 Jeśli poczytasz sobie opinie specjalistów dotyczące rekomendowanych, bezpiecznych sposobów na zarządzanie hasłami, to właśnie menadżer haseł jest polecany jako podstawowe narzędzie - a utrzymywanie dobrze zabezpieczonej bazy haseł, których sam nie znasz (bo nie musisz) tworzy dodatkową ochronę przed wpisaniem hasła w miejscu, w którym nie powinieneś (od pomysłów logowania się do banku na obcym komputerze, po ataki phishingowe).

 


Dobrze piszesz. To jest tylko lenistwo ludzi i brak myślenia. Kto się w ogóle loguje na obcym komputerze do banku. Albo kto korzysta z otwartych sieci WIFI

Ale jak sam wiesz,  są tacy ludzie.

Jeśli zatem korzystasz z natywnego wbudowanego w system, to jak chcesz korzystać na innych urządzeniach?

 


Prawda jest taka, że hasło maskowane to przestarzały wymysł nie mający żadnego uzasadnienia w dzisiejszych standardach bezpieczeństwa cyfrowego, utrzymujący się właściwie tylko w kilku ostatnich instytucjach bankowych w Polsce, do tego utrudniający życie użytkownikom, którzy o bezpieczeństwie nieco wiedzą, a zarazem potęgujący ryzyko, że leniwy użytkownik ustawi sobie hasło, które będzie proste do wpisania w polu maskującym.


Prawda jest taka, że to nie przestarzały system. Nie utrudnia życia. To ludzie sobie sami utrudniają z lenistwa.

Nie twierdzę, że nie ma być wyboru. W innym temacie napisałem o tym. Jeśli mają mi zrobić logowanie takie jak w mBanku czy PKO BP to ja już wolę takie jakie jest w ING - czyli maskowane. Jestem świadomym użytkownikiem i nie leniwym, który wie, że haseł nie tworzy się 12345 czy 09876 czy jak ktoś sobie to ustawi.

 




Co do "masz wirusa na kompie" - przed użytkownikami instalującymi przeróżne złośliwe oprogramowanie szerzące się po sieci ochroni 2FA czyli potwierdzenie logowania na drugim urządzeniu. Przed wyrafinowanym atakiem nie ochroni Cię ani hasło maskowane, ani menadżer haseł, ale taki atak będzie kosztował więcej niż prawdopodobnie cały twój i mój majątek łącznie.

 


Sam sobie zaprzeczasz. Logowanie 2FA czyli uwierzytelnianie dwuskładnikowe to masz nawet dzisiaj z hasłem maskowanym. Ponieważ po loginie, haśle maskowanym, musisz jeszcze potwierdzić logowanie na telefonie przez aplikacje lub kodem sms. Z tym że, jakbyś nie wiedział, to kiedyś była akcja jak gościu miał na kompie Nortona, zalogował się do mBanku i dostał fałszywego smsa. Nie był tego świadomy,, że miał jakiegoś wirusa, nie przeczytał treści smsa i wysłał na rachunek grubą kwotę (rachunek był podłożony)

Przed wyrafinowanym atakiem nawet najlepsze rozwiązania klekną.

Jest jeszcze w ING możliwość nabycia kluczy zabezpieczeń U2F ale temat tego się nie wypowiadam, bo nie wnikałem w szczegóły. Dzisiaj to chyba jednak mimo wszystko najlepsze zabezpieczenie.

https://www.ing.pl/indywidualni/bankowosc-internetowa/bezpieczenstwo/klucze-zabezpieczen-u2f

 

Natomiast z reguły zwykłym Kowalskim takimi atakami się nie interesują. Tu się zgadzam.

 


Co do ostatniego argumentu, czyli "Ale oni mają z tego kasę", nawet CERT Polska wypuścił w swoich materiałach film promujący korzystanie z menadżerów haseł - żadnych konkretnych, więc nie wiem od kogo mieliby "mieć z tego kasę". I do kogo w sprawie bezpieczeństwa miałbyś mieć większe zaufanie niż do własnej instytucji rządowej utrzymywanej nie z pieniędzy sponsorów, ale naszych podatków.
Sprawa jest prosta - jeśli jako użytkownik uważasz, że hasło maskowane jest dla Ciebie wartością - proszę bardzo. Ale nie wciskajmy innym użytkownikom rozwiązań ogólnie przyjętych w branży za przestarzałe i ryzykowne. Nadal utrzymuję, że bank powinien wprowadzić opcję logowania z użyciem pełnego hasła. 


Sorry, ale gdzie Ty żyjesz. A NFZ żyje z naszych podatków i kazali się wszystkim szczepić przeciw Covid. W USA lekarze przepisywali leki na opioidach i teraz mają problem z epidemią. Wymieniać mi się wszystkiego nie chce. Każdy ma z tego biznes.

Managery haseł są promowane nie dlatego, że są mega bezpieczne. Po wpadkach LastPass jak widać, też mają problem.

Managery haseł są modne właśnie przez leniwych ludzi, których się nie chce stworzyć hasła do czegokolwiek i tworzą je do wszystkiego proste (nie tylko do bankowości). Od lat największym problemem są właśnie użytkownicy a nie systemy. Od lat audyty o bezpieczeństwie nic pod tym względem nie zmieniają, bo ludzie tacy są i tego nie zmienisz.  I dlatego wszystkie organizacje promują managery haseł właśnie do ludzi, dla których stworzenie hasła user1 czy 12345 to ich szczyt osiągnięć. Nie względu na mega zabezpieczenie, tylko ze względu na "głupotę" społeczeństwa.

Niektórzy się nałykali promowania, że managery haseł wszystko rozwiązują. A tak naprawdę, chcą mieć tylko wygodę.

 

 

Jeśli chodzi o mnie,  nie wierzę w managery haseł, nie stosuje ich na szeroką skalę (korzystałem, dzisiaj już nie korzystam).

Miałem też kumpla informatyka, który zachwalał managery haseł. Głównie LastPass. Po ich wpadce, już takim entuzjastą nie jest.

 

Nie twierdzę, że ING robi dobrze. Ale wolę to maskowane niż tak jak napisałem wyżej w bankach. Dzisiaj jednak powinni dać wybór - maskowane hasło lub manager haseł (klient sam sobie wybiera sposób logowania). Tylko niech maskowanego hasła nie wyłączają. A jeśli mają problem lub dystans do managerów haseł, to dając wybór obok maskowanego hasła do logowania, to niech dopiszą klauzulę, że odpowiada użytkownik i po temacie.

 

Odpowiedz
0 Lajków
viggen
Główny rachmistrz II
Główny rachmistrz II icon
335
49
03-02-2016
Wiadomość 4 z 7 (980 wyświetleń)

Re.: Hasło maskowane / partial password

[ Edytowane ]

Jeszcze uzupełnię, bo przyznaję, że trochę wypadłem z obiegu, z racji tego, iż tego nie używam na co dzień. I myślałem, że coś nowego wprowadzili na rynek i więcej rozwiązań przez ten czas natywnych. Ale dzisiaj raczej to idzie w kierunku chmurowych rozwiązań i jeden (bez wtyczek i swoich rozwiązań) pozostanie natywny.


@maszaikasza:

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne.

Jeśli mówimy o natywnym, to pewnie masz na myśli Keepass. Obecnie najbardziej popularny XC.

Ale Keepass można z tego względu, że to open source, "zmusić" do wklejania w przypadku hasła maskowanego.

Można to wyczytać w sieci, jak sobie ludzie radzą a nawet był tutaj temat na forum ING

https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/KeePass-2-x-Pickchars-i-maskowanie-has%...

Czy działa teraz, to nie wiem.

W każdym razie powtarzam, że większość, kto korzysta z managerów nie używa ich do bankowości.

 

W przypadku wersji XC możemy przez wtyczki działać w przeglądarkach. Tylko, że sam Keepass piszą inni (nie pamiętam nazwiska tego gościa), a przeglądarki ktoś inny. Wystarczy luka i mamy jak ostatnio, że wtyczka w Chrome dla Dashless oraz Bitwardena pozwalała "wpisywać" hasła nawet na stronach phishingowych.

To samo apki na telefony, są pisane przez kogos innego. I może być Keepass idealny ale apki już nie.

Zmierzam do tego, że opieranie się, że mając managera haseł, to lek na całe zło, jest moim zdaniem trochę ryzykowne. Jeśli nie powiedzieć, naiwne.

Oczywiście nikt nikomu tego nie broni. Technologie są coraz lepsze i nowsze a są po to aby ludziom ułatwić życie w świecie wirtualnym.

Tylko, że zawsze jest coś za i coś przeciw. Nie ma rozwiązań idealnych i musimy mieć tego świadomość.

Managery mają coraz większą popularność i coraz więcej firm w to wchodzi. Zresztą podobnie było kiedyś z VPN.

 

Im większa popularność, tym będzie większe napieranie hakerów na managery haseł. Ale nie u ludzi na kompie a raczej w przeglądarki (wtyczki) i na infrastrukturę managerów haseł.

Są również tacy, co używają managery haseł do banków ale dodatkowo używają tzw "sól" O tym można poczytać w sieci, na czym to polega.

 

Ostatnio coraz częściej przez BigTechy i większość firm nawet mniejszych (głównie USA) promują PassKeys. Czyli takie 2FA, gdzie klucz prywatny mamy na sprzęcie (komp, telefon) a publiczny w chmurze. Również wygoda, bezpieczeństwo itd.

Ale znając USA i ich firmy 3literowe, pewnie gdzieś jest haczyk, że w kampanie angażuje się Google, Amazon, Microsoft czy Apple (to już każdy sam musi sobie przemyśleć, znając te firmy i jak one dbają o prywatność). To samo z managerami haseł z chmurami z USA np Bitwarden, który ma dodatkowo chmurę na Amazon Azure.

Jeśli ktoś nie jest świadomy, to Amazon, Microsoft w swoich chmurach wspomagają przerabiać wiele rund brutal force (bo mają możliwość techniczną przez mocne GPU).

Świat się zmienia. Ostatnio Chińczycy się chwalili, że potrafią komputerem kwantowym złamać RSA. Znamy izraelskiego Pegasusa, który łamał wszystko co się dało i wchodził na telefony z Androidem i IoS jak w masło.

 

Kończąc wątek. Trzeba rozgraniczyć wygodę od bezpieczeństwa. Nalezy wziac pod uwagę wszelkie rodzaje zagrożeń. Wszelkie rozwiązania i znać ich wady i zalety. Banki mają w przypadku zabezpieczeń mają swoje księgi zasad.

Im coś wygodniejsze, z reguły ma więcej wad. Im coś trudniejsze, to też bezpieczniejsze.

Managery haseł to fajne rozwiązanie. Już pracują firmy nad szyfrowaniem antykwantowym.

Tylko same managery nie sprawią, że wszystko od razu będzie lepsze, skoro ludzie zapominają o aktualizacjach na swoich urządzeniach. Jeśli nie potrafią dobrze skonfigurować urzadzeń, dobrze ustawić czy też nawet nie chcą płacić za antywirusa.

No i kolejna rzecz. Nie każdy manager haseł jest dla laików.

 

Nie bronią banków. Nie bronie ING. Ale bank musi wziąć pod uwagę wszelkie zagrożenia, w tym też, że jedni ludzie mają przynajmniej podstawowe pojęcie o zabezpieczeniach, komputerach a inni - są totalnymi w tej dziedzinie analfabetami. Na końcu bank po wrzuceniu tych wszystkich składników do gara, musi ugotować zupę, która ma smakować każdemu.

 

 

 

Odpowiedz
0 Lajków
viggen
Główny rachmistrz II
Główny rachmistrz II icon
335
49
03-02-2016
Wiadomość 5 z 7 (587 wyświetleń)

Re.: Hasło maskowane / partial password

Teraz jest jasne.

Odpowiedz
0 Lajków
niallstorm
Nowy w branży II
Nowy w branży II icon
2
0
03-11-2024
Wiadomość 6 z 7 (202 wyświetleń)

Re.: Hasło maskowane / partial password

Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.
Przeczytałem twoją odpowiedź i szczerze mówiąc, przez to że zahaczyłeś o tak wiele wątków niezwiązanych z tematem i użyłeś tak wielu argumentów, w których używasz pół-prawd i dowodów anegdotycznych, nie za bardzo mam ochotę wkładać energię w rozbijanie tych bzdur jedna po drugiej, więc ograniczę się tylko do paru zdań.

Po pierwsze, nie twierdzę, że menadżer haseł to lek na całe zło. Natomiast jest jedną ze składowych, które (w mojej opinii, bo opinia specjalistów z dziedziny Cię nie przekonuje) poprawiają ogólne bezpieczeństwo użytkownika; w jaki sposób - napisałem w poprzednim poście.

 

Po drugie, przed wadami menadżerów haseł chroni następna warstwa zabezpieczeń, tj. 2FA. I nie przez wpisanie kodu z SMS, bo to również przestarzała i podatna na ataki technologia. Ale korzystanie z 2FA w aplikacji bankowej na smartfonie, w którym potwierdzasz każde logowanie i każdy przelew, minimalizuje ryzyko padnięcia ofiarą praktycznie wszystkich popularnych, nowoczesnych ataków na strony internetowej. Oczywiście nie uchroni przed metodami "na wnuczka" itp., ale tutaj i hasło maskowane się podda.

 

Po trzecie, nowoczesne keyloggery z hasłem maskowanym też sobie poradzą, co najwyżej zajmie im to trochę dłuższy okres, bo jeśli masz hasło np. WlazlKotekNaPlotekIMruga, to wykradając kilka losowych znaków z hasła, łatwo można domyślić się reszty. 

 

Po czwarte, w swoim poście wyrażasz brak zaufania do instytucji państwowych, korporacji technologicznych w kwestii standardów technologii, opinii specjalistów z dziedziny, w dalszej części podważasz nawet skuteczność szczepionek (ten argument to już totalne kuriozum) i niebezpiecznie zahaczasz o szerzenie teorii spiskowych. Myślę, że ten fragment twoich przemyśleń świadczy doskonale o tym, jaką wagę w dyskusji ma twój głos.

 

Ze swojej strony dziękuję serdecznie za dyskusję. Poruszenie tego tematu utwierdziło mnie w przekonaniu, że ING nie jest bankiem równającym w pewnych kwestiach do dzisiejszych standardów i mimo wielu zalet, zrezygnowałem z prowadzenia w nim rachunków osobistych i firmowych.

Jeśli natomiast spełnia on twoje oczekiwania, cieszę się, mamy na szczęście wolność wyboru i każdy może korzystać z rozwiązań preferowanych.

 

Pozdrawiam forumowiczów i moderację forum społeczności ING. Powodzenia w rozwoju!

 

Odpowiedz
0 Lajków
maszaikasza
Doradca z ambicjami I
Doradca z ambicjami I icon
6
1
17-09-2024
Wiadomość 7 z 7 (137 wyświetleń)
Ostatnie wpisy na forum
Re.: Mozliwość weryfikacji płatności kartą za pomocą SMSa zamiast aplikacji mobilnej

@Alison Możesz zmienić metodę autoryzacji płatności na SMS. Na ekranie ze szczegółami transakcji, wybierz opcję potwierdzenia kodem SMS. Zobaczysz stronę logowania do bankowości internetowej Moje ING...

04-11-2024
Re: Re.: Kredyt na oprocentowanie stałe a wakacje kredytowe

U mnie też wydłużyli,przed chwilą zobaczyłem  w aplikacjiEmotikon: Szczęśliwy

04-11-2024
Re.: Hasło maskowane / partial password

Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.
Przeczytałem twoją odpowiedź i szczerze mówiąc, przez to że zahaczyłeś o tak wiele wątków niezwiąz

...

04-11-2024
Najbardziej pomocni użytkownicy