Odpowiedz

Hasło maskowane / partial password

Zwróciłem uwagę, że ING jako jeden z ostatnich banków na polskim rynku wymusza na użytkownikach logowanie przez podanie tylko kilku wybranych znaków hasła. O wadach tego rozwiązania toczyło się już wiele dyskusji, natomiast zastanawia mnie jedna rzecz:
W jakiej formie bank przechowuje hasła użytkowników? Hasło w całości można zahashować dzięki czemu bank nigdzie nie przechowuje hasła w formie możliwej do odczytania. Natomiast aby porównać poszczególne znaki hasła trzeba to hasło mieć w formie do odczytania. Ewentualnie przechowywać hashe każdej kombinacji wybranych znaków z hasła (w co nie chce mi się wierzyć). Czy zatem bank, w swojej trosce o bezpieczeństwo hasła, przechowuje je przewrotnie w plaintexcie?

Oczywiście postuluje, jako jeden z wielu użytkowników, o udostępnienie użytkownikom opcji wpisywania hasła w całości, co przynajmniej umożliwi ustawienie sobie hasła o odpowiedniej długości i poziomie skomplikowania. Do tego czasu połowa użytkowników pewnie nadal będzie miała za hasło "12345678", co sprytniejsi "23456789" Emotikon: Mrugający

Prośba o przekazanie opinii w górę drabinki korporacyjnej. Mam nadzieję, że prośby o zdrowy rozsądek zostaną w końcu wysłuchane, inaczej chyba zostanie nam kampania oparta o Niebezpiecznik, Zaufaną Trzecią Stronę, ewentualnie konsultacje z CERT Polska.

Pozdrawiam
DC
Odpowiedz
0 Lajków
maszaikasza
Doradca z ambicjami I
Doradca z ambicjami I icon
6
1
17-09-2024
Wiadomość 1 z 8 (2 110 wyświetleń)

Re.: Hasło maskowane / partial password

[ Edytowane ]

@maszaikasza:


Oczywiście postuluje, jako jeden z wielu użytkowników, o udostępnienie użytkownikom opcji wpisywania hasła w całości, co przynajmniej umożliwi ustawienie sobie hasła o odpowiedniej długości i poziomie skomplikowania. Do tego czasu połowa użytkowników pewnie nadal będzie miała za hasło "12345678", co sprytniejsi "23456789" Emotikon: Mrugający


Czekaj. Tworzę hasło odpowiedniej długości i na odpowiednim poziomie skomplikowania. W innym bankach musisz je wpisać całe.

W ING tylko któreś znaki. I to jest problem? To nie jest problem banku, tylko co najwyżej Twój, że masz problem ze skupieniem się albo widzisz już szczyt a nawet do niego nie wystartowałeś. ( bez urazy Emotikon: Mrugający )

 

A czy zwykłe wpisywanie całego hasła, gdy masz wirusa na kompie (bo już takie argumenty) to jest bezpieczniejsze od hasła maskowanego? 

Zauważ, że w ING masz jeszcze to, że najpierw wpisujesz login i dopiero przechodzisz do hasła. A na końcu jeszcze potwierdzasz smsem lub aplikacją.

W większości banków login i hasło wpisujesz na tej samej stronie.

 

Nie. Nie ma idealnych rozwiązań. A jeśli ktoś korzysta z menagera haseł zewnętrznych firm to tylko na swoją odpowiedzialność. Inni takim tworom nie wierzą. Racja, zaraz ktoś zacytuje, że strony bezpieczeństwa zalecają i sugerują stosowania takich rozwiązań. Ale oni mają z tego kasę. Ale gdy dochodzi do włamania jak w LastPass czy 1Password, to taki spec czy portal w pierś się nie uderzy. Menagery haseł to też nie idealne rozwiązanie.

 

Odpowiedz
0 Lajków
viggen
Główny rachmistrz II
Główny rachmistrz II icon
342
49
03-02-2016
Wiadomość 2 z 8 (1 617 wyświetleń)

Re.: Hasło maskowane / partial password

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne. Jeśli poczytasz sobie opinie specjalistów dotyczące rekomendowanych, bezpiecznych sposobów na zarządzanie hasłami, to właśnie menadżer haseł jest polecany jako podstawowe narzędzie - a utrzymywanie dobrze zabezpieczonej bazy haseł, których sam nie znasz (bo nie musisz) tworzy dodatkową ochronę przed wpisaniem hasła w miejscu, w którym nie powinieneś (od pomysłów logowania się do banku na obcym komputerze, po ataki phishingowe).

Prawda jest taka, że hasło maskowane to przestarzały wymysł nie mający żadnego uzasadnienia w dzisiejszych standardach bezpieczeństwa cyfrowego, utrzymujący się właściwie tylko w kilku ostatnich instytucjach bankowych w Polsce, do tego utrudniający życie użytkownikom, którzy o bezpieczeństwie nieco wiedzą, a zarazem potęgujący ryzyko, że leniwy użytkownik ustawi sobie hasło, które będzie proste do wpisania w polu maskującym.
Co do "masz wirusa na kompie" - przed użytkownikami instalującymi przeróżne złośliwe oprogramowanie szerzące się po sieci ochroni 2FA czyli potwierdzenie logowania na drugim urządzeniu. Przed wyrafinowanym atakiem nie ochroni Cię ani hasło maskowane, ani menadżer haseł, ale taki atak będzie kosztował więcej niż prawdopodobnie cały twój i mój majątek łącznie.

Co do ostatniego argumentu, czyli "Ale oni mają z tego kasę", nawet CERT Polska wypuścił w swoich materiałach film promujący korzystanie z menadżerów haseł - żadnych konkretnych, więc nie wiem od kogo mieliby "mieć z tego kasę". I do kogo w sprawie bezpieczeństwa miałbyś mieć większe zaufanie niż do własnej instytucji rządowej utrzymywanej nie z pieniędzy sponsorów, ale naszych podatków.
Sprawa jest prosta - jeśli jako użytkownik uważasz, że hasło maskowane jest dla Ciebie wartością - proszę bardzo. Ale nie wciskajmy innym użytkownikom rozwiązań ogólnie przyjętych w branży za przestarzałe i ryzykowne. Nadal utrzymuję, że bank powinien wprowadzić opcję logowania z użyciem pełnego hasła. 

Odpowiedz
0 Lajków
maszaikasza
Doradca z ambicjami I
Doradca z ambicjami I icon
6
1
17-09-2024
Wiadomość 3 z 8 (1 557 wyświetleń)

Re.: Hasło maskowane / partial password


@maszaikasza:

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne.


Po pierwsze, sam napisałeś, że jeszcze nie miałeś z tym problemu. JESZCZE

Po drugie. Wolę hasło maskowane w drugim oknie, niż np w PKO BP i mBanku login i hasło na jednym ekranie. W ING też potwierdzasz biometrią w aplikacji albo dodatkowym smsem (jak sobie ustawisz)

Po trzecie - system jakikolwiek masz, gdzie masz go wbudowanego, to nie manager innych firm?

Można korzystać z KeePass ale to też program przez kogoś napisany czyli jest zewnętrzną firmą.

 


@maszaikasza:

 Jeśli poczytasz sobie opinie specjalistów dotyczące rekomendowanych, bezpiecznych sposobów na zarządzanie hasłami, to właśnie menadżer haseł jest polecany jako podstawowe narzędzie - a utrzymywanie dobrze zabezpieczonej bazy haseł, których sam nie znasz (bo nie musisz) tworzy dodatkową ochronę przed wpisaniem hasła w miejscu, w którym nie powinieneś (od pomysłów logowania się do banku na obcym komputerze, po ataki phishingowe).

 


Dobrze piszesz. To jest tylko lenistwo ludzi i brak myślenia. Kto się w ogóle loguje na obcym komputerze do banku. Albo kto korzysta z otwartych sieci WIFI

Ale jak sam wiesz,  są tacy ludzie.

Jeśli zatem korzystasz z natywnego wbudowanego w system, to jak chcesz korzystać na innych urządzeniach?

 


Prawda jest taka, że hasło maskowane to przestarzały wymysł nie mający żadnego uzasadnienia w dzisiejszych standardach bezpieczeństwa cyfrowego, utrzymujący się właściwie tylko w kilku ostatnich instytucjach bankowych w Polsce, do tego utrudniający życie użytkownikom, którzy o bezpieczeństwie nieco wiedzą, a zarazem potęgujący ryzyko, że leniwy użytkownik ustawi sobie hasło, które będzie proste do wpisania w polu maskującym.


Prawda jest taka, że to nie przestarzały system. Nie utrudnia życia. To ludzie sobie sami utrudniają z lenistwa.

Nie twierdzę, że nie ma być wyboru. W innym temacie napisałem o tym. Jeśli mają mi zrobić logowanie takie jak w mBanku czy PKO BP to ja już wolę takie jakie jest w ING - czyli maskowane. Jestem świadomym użytkownikiem i nie leniwym, który wie, że haseł nie tworzy się 12345 czy 09876 czy jak ktoś sobie to ustawi.

 




Co do "masz wirusa na kompie" - przed użytkownikami instalującymi przeróżne złośliwe oprogramowanie szerzące się po sieci ochroni 2FA czyli potwierdzenie logowania na drugim urządzeniu. Przed wyrafinowanym atakiem nie ochroni Cię ani hasło maskowane, ani menadżer haseł, ale taki atak będzie kosztował więcej niż prawdopodobnie cały twój i mój majątek łącznie.

 


Sam sobie zaprzeczasz. Logowanie 2FA czyli uwierzytelnianie dwuskładnikowe to masz nawet dzisiaj z hasłem maskowanym. Ponieważ po loginie, haśle maskowanym, musisz jeszcze potwierdzić logowanie na telefonie przez aplikacje lub kodem sms. Z tym że, jakbyś nie wiedział, to kiedyś była akcja jak gościu miał na kompie Nortona, zalogował się do mBanku i dostał fałszywego smsa. Nie był tego świadomy,, że miał jakiegoś wirusa, nie przeczytał treści smsa i wysłał na rachunek grubą kwotę (rachunek był podłożony)

Przed wyrafinowanym atakiem nawet najlepsze rozwiązania klekną.

Jest jeszcze w ING możliwość nabycia kluczy zabezpieczeń U2F ale temat tego się nie wypowiadam, bo nie wnikałem w szczegóły. Dzisiaj to chyba jednak mimo wszystko najlepsze zabezpieczenie.

https://www.ing.pl/indywidualni/bankowosc-internetowa/bezpieczenstwo/klucze-zabezpieczen-u2f

 

Natomiast z reguły zwykłym Kowalskim takimi atakami się nie interesują. Tu się zgadzam.

 


Co do ostatniego argumentu, czyli "Ale oni mają z tego kasę", nawet CERT Polska wypuścił w swoich materiałach film promujący korzystanie z menadżerów haseł - żadnych konkretnych, więc nie wiem od kogo mieliby "mieć z tego kasę". I do kogo w sprawie bezpieczeństwa miałbyś mieć większe zaufanie niż do własnej instytucji rządowej utrzymywanej nie z pieniędzy sponsorów, ale naszych podatków.
Sprawa jest prosta - jeśli jako użytkownik uważasz, że hasło maskowane jest dla Ciebie wartością - proszę bardzo. Ale nie wciskajmy innym użytkownikom rozwiązań ogólnie przyjętych w branży za przestarzałe i ryzykowne. Nadal utrzymuję, że bank powinien wprowadzić opcję logowania z użyciem pełnego hasła. 


Sorry, ale gdzie Ty żyjesz. A NFZ żyje z naszych podatków i kazali się wszystkim szczepić przeciw Covid. W USA lekarze przepisywali leki na opioidach i teraz mają problem z epidemią. Wymieniać mi się wszystkiego nie chce. Każdy ma z tego biznes.

Managery haseł są promowane nie dlatego, że są mega bezpieczne. Po wpadkach LastPass jak widać, też mają problem.

Managery haseł są modne właśnie przez leniwych ludzi, których się nie chce stworzyć hasła do czegokolwiek i tworzą je do wszystkiego proste (nie tylko do bankowości). Od lat największym problemem są właśnie użytkownicy a nie systemy. Od lat audyty o bezpieczeństwie nic pod tym względem nie zmieniają, bo ludzie tacy są i tego nie zmienisz.  I dlatego wszystkie organizacje promują managery haseł właśnie do ludzi, dla których stworzenie hasła user1 czy 12345 to ich szczyt osiągnięć. Nie względu na mega zabezpieczenie, tylko ze względu na "głupotę" społeczeństwa.

Niektórzy się nałykali promowania, że managery haseł wszystko rozwiązują. A tak naprawdę, chcą mieć tylko wygodę.

 

 

Jeśli chodzi o mnie,  nie wierzę w managery haseł, nie stosuje ich na szeroką skalę (korzystałem, dzisiaj już nie korzystam).

Miałem też kumpla informatyka, który zachwalał managery haseł. Głównie LastPass. Po ich wpadce, już takim entuzjastą nie jest.

 

Nie twierdzę, że ING robi dobrze. Ale wolę to maskowane niż tak jak napisałem wyżej w bankach. Dzisiaj jednak powinni dać wybór - maskowane hasło lub manager haseł (klient sam sobie wybiera sposób logowania). Tylko niech maskowanego hasła nie wyłączają. A jeśli mają problem lub dystans do managerów haseł, to dając wybór obok maskowanego hasła do logowania, to niech dopiszą klauzulę, że odpowiada użytkownik i po temacie.

 

Odpowiedz
0 Lajków
viggen
Główny rachmistrz II
Główny rachmistrz II icon
342
49
03-02-2016
Wiadomość 4 z 8 (1 438 wyświetleń)

Re.: Hasło maskowane / partial password

[ Edytowane ]

Jeszcze uzupełnię, bo przyznaję, że trochę wypadłem z obiegu, z racji tego, iż tego nie używam na co dzień. I myślałem, że coś nowego wprowadzili na rynek i więcej rozwiązań przez ten czas natywnych. Ale dzisiaj raczej to idzie w kierunku chmurowych rozwiązań i jeden (bez wtyczek i swoich rozwiązań) pozostanie natywny.


@maszaikasza:

Po pierwsze, nie używam menadżera haseł "innych firm", tylko natywnego, wbudowanego w system operacyjny, uznawanego za zaufany i z którym jak dotąd nie miałem żadnych problemów. Między innymi to było priorytetem przy wyborze sprzętu na jakim pracuję. Po drugie, posiadam konto także w innym banku, w którym login i hasło podaję oddzielnie, a na końcu potwierdzam aplikację biometrią na smartfonie - współpracuje to jakoś z menadżerem haseł, jest wygodne i zarazem bezpieczne.

Jeśli mówimy o natywnym, to pewnie masz na myśli Keepass. Obecnie najbardziej popularny XC.

Ale Keepass można z tego względu, że to open source, "zmusić" do wklejania w przypadku hasła maskowanego.

Można to wyczytać w sieci, jak sobie ludzie radzą a nawet był tutaj temat na forum ING

https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/KeePass-2-x-Pickchars-i-maskowanie-has%...

Czy działa teraz, to nie wiem.

W każdym razie powtarzam, że większość, kto korzysta z managerów nie używa ich do bankowości.

 

W przypadku wersji XC możemy przez wtyczki działać w przeglądarkach. Tylko, że sam Keepass piszą inni (nie pamiętam nazwiska tego gościa), a przeglądarki ktoś inny. Wystarczy luka i mamy jak ostatnio, że wtyczka w Chrome dla Dashless oraz Bitwardena pozwalała "wpisywać" hasła nawet na stronach phishingowych.

To samo apki na telefony, są pisane przez kogos innego. I może być Keepass idealny ale apki już nie.

Zmierzam do tego, że opieranie się, że mając managera haseł, to lek na całe zło, jest moim zdaniem trochę ryzykowne. Jeśli nie powiedzieć, naiwne.

Oczywiście nikt nikomu tego nie broni. Technologie są coraz lepsze i nowsze a są po to aby ludziom ułatwić życie w świecie wirtualnym.

Tylko, że zawsze jest coś za i coś przeciw. Nie ma rozwiązań idealnych i musimy mieć tego świadomość.

Managery mają coraz większą popularność i coraz więcej firm w to wchodzi. Zresztą podobnie było kiedyś z VPN.

 

Im większa popularność, tym będzie większe napieranie hakerów na managery haseł. Ale nie u ludzi na kompie a raczej w przeglądarki (wtyczki) i na infrastrukturę managerów haseł.

Są również tacy, co używają managery haseł do banków ale dodatkowo używają tzw "sól" O tym można poczytać w sieci, na czym to polega.

 

Ostatnio coraz częściej przez BigTechy i większość firm nawet mniejszych (głównie USA) promują PassKeys. Czyli takie 2FA, gdzie klucz prywatny mamy na sprzęcie (komp, telefon) a publiczny w chmurze. Również wygoda, bezpieczeństwo itd.

Ale znając USA i ich firmy 3literowe, pewnie gdzieś jest haczyk, że w kampanie angażuje się Google, Amazon, Microsoft czy Apple (to już każdy sam musi sobie przemyśleć, znając te firmy i jak one dbają o prywatność). To samo z managerami haseł z chmurami z USA np Bitwarden, który ma dodatkowo chmurę na Amazon Azure.

Jeśli ktoś nie jest świadomy, to Amazon, Microsoft w swoich chmurach wspomagają przerabiać wiele rund brutal force (bo mają możliwość techniczną przez mocne GPU).

Świat się zmienia. Ostatnio Chińczycy się chwalili, że potrafią komputerem kwantowym złamać RSA. Znamy izraelskiego Pegasusa, który łamał wszystko co się dało i wchodził na telefony z Androidem i IoS jak w masło.

 

Kończąc wątek. Trzeba rozgraniczyć wygodę od bezpieczeństwa. Nalezy wziac pod uwagę wszelkie rodzaje zagrożeń. Wszelkie rozwiązania i znać ich wady i zalety. Banki mają w przypadku zabezpieczeń mają swoje księgi zasad.

Im coś wygodniejsze, z reguły ma więcej wad. Im coś trudniejsze, to też bezpieczniejsze.

Managery haseł to fajne rozwiązanie. Już pracują firmy nad szyfrowaniem antykwantowym.

Tylko same managery nie sprawią, że wszystko od razu będzie lepsze, skoro ludzie zapominają o aktualizacjach na swoich urządzeniach. Jeśli nie potrafią dobrze skonfigurować urzadzeń, dobrze ustawić czy też nawet nie chcą płacić za antywirusa.

No i kolejna rzecz. Nie każdy manager haseł jest dla laików.

 

Nie bronią banków. Nie bronie ING. Ale bank musi wziąć pod uwagę wszelkie zagrożenia, w tym też, że jedni ludzie mają przynajmniej podstawowe pojęcie o zabezpieczeniach, komputerach a inni - są totalnymi w tej dziedzinie analfabetami. Na końcu bank po wrzuceniu tych wszystkich składników do gara, musi ugotować zupę, która ma smakować każdemu.

 

 

 

Odpowiedz
0 Lajków
viggen
Główny rachmistrz II
Główny rachmistrz II icon
342
49
03-02-2016
Wiadomość 5 z 8 (1 045 wyświetleń)

Re.: Hasło maskowane / partial password

Teraz jest jasne.

Odpowiedz
0 Lajków
niallstorm
Nowy w branży II
Nowy w branży II icon
2
0
03-11-2024
Wiadomość 6 z 8 (660 wyświetleń)

Re.: Hasło maskowane / partial password

Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.
Przeczytałem twoją odpowiedź i szczerze mówiąc, przez to że zahaczyłeś o tak wiele wątków niezwiązanych z tematem i użyłeś tak wielu argumentów, w których używasz pół-prawd i dowodów anegdotycznych, nie za bardzo mam ochotę wkładać energię w rozbijanie tych bzdur jedna po drugiej, więc ograniczę się tylko do paru zdań.

Po pierwsze, nie twierdzę, że menadżer haseł to lek na całe zło. Natomiast jest jedną ze składowych, które (w mojej opinii, bo opinia specjalistów z dziedziny Cię nie przekonuje) poprawiają ogólne bezpieczeństwo użytkownika; w jaki sposób - napisałem w poprzednim poście.

 

Po drugie, przed wadami menadżerów haseł chroni następna warstwa zabezpieczeń, tj. 2FA. I nie przez wpisanie kodu z SMS, bo to również przestarzała i podatna na ataki technologia. Ale korzystanie z 2FA w aplikacji bankowej na smartfonie, w którym potwierdzasz każde logowanie i każdy przelew, minimalizuje ryzyko padnięcia ofiarą praktycznie wszystkich popularnych, nowoczesnych ataków na strony internetowej. Oczywiście nie uchroni przed metodami "na wnuczka" itp., ale tutaj i hasło maskowane się podda.

 

Po trzecie, nowoczesne keyloggery z hasłem maskowanym też sobie poradzą, co najwyżej zajmie im to trochę dłuższy okres, bo jeśli masz hasło np. WlazlKotekNaPlotekIMruga, to wykradając kilka losowych znaków z hasła, łatwo można domyślić się reszty. 

 

Po czwarte, w swoim poście wyrażasz brak zaufania do instytucji państwowych, korporacji technologicznych w kwestii standardów technologii, opinii specjalistów z dziedziny, w dalszej części podważasz nawet skuteczność szczepionek (ten argument to już totalne kuriozum) i niebezpiecznie zahaczasz o szerzenie teorii spiskowych. Myślę, że ten fragment twoich przemyśleń świadczy doskonale o tym, jaką wagę w dyskusji ma twój głos.

 

Ze swojej strony dziękuję serdecznie za dyskusję. Poruszenie tego tematu utwierdziło mnie w przekonaniu, że ING nie jest bankiem równającym w pewnych kwestiach do dzisiejszych standardów i mimo wielu zalet, zrezygnowałem z prowadzenia w nim rachunków osobistych i firmowych.

Jeśli natomiast spełnia on twoje oczekiwania, cieszę się, mamy na szczęście wolność wyboru i każdy może korzystać z rozwiązań preferowanych.

 

Pozdrawiam forumowiczów i moderację forum społeczności ING. Powodzenia w rozwoju!

 

Odpowiedz
0 Lajków
maszaikasza
Doradca z ambicjami I
Doradca z ambicjami I icon
6
1
17-09-2024
Wiadomość 7 z 8 (595 wyświetleń)

Re.: Hasło maskowane / partial password


@maszaikasza:

Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.

 


No tak. Wbudowany w systemy Apple, który od najnowszego IOS jest teraz Pękiem Kluczy jako osobna apka

 


@maszaikasza:

Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.
Przeczytałem twoją odpowiedź i szczerze mówiąc, przez to że zahaczyłeś o tak wiele wątków niezwiązanych z tematem i użyłeś tak wielu argumentów, w których używasz pół-prawd i dowodów anegdotycznych, nie za bardzo mam ochotę wkładać energię w rozbijanie tych bzdur jedna po drugiej, więc ograniczę się tylko do paru zdań.


Oczywiście. Ja piszę bzdury a Ty tylko prawdę. Widziałem na forum tutaj na ING (nie pamiętam kto - Ty czy ktoś inny) jak wklejał ktoś link do 1Password i próbował na tej zasadzie udowodnić, że to jest idealne rozwiązania. Czyli wkleja wpis ze strony producenta.

 

Nie użyłem żadnych pół prawd. Tylko napisałem, że nie jest to idealne rozwiązania i są na to dowody, bo coraz częściej wyciekają informację, że jakiś manager ma błąd, doszło do jakiegoś wycieku czy coś nie zadziałało. Jakiś czas temu najbardziej popularny i często polecany LastPass ma co chwile wpadki i dzisiaj, Ci co to rozwiązanie polecali, już nie polecają. Niedowiary!

Jak sobie przypomnisz, była też moda na VPN  dokładnie na NordVPN. Niebezpiecznik, Zaufana 3 strona co chwile go chwalili, polecali. A dzisiaj? Poczytaj sobie w komentarzach, gdzie zabierają głos "redaktorzy" tych stron i już go nie polecają. Ciekawe dlaczego? Ja wiem, bo czytałem te komentarze. Ale nie napisze, bo zaraz mnie posądzisz o kolejne półprawdy.

 


@maszaikasza:


Po pierwsze, nie twierdzę, że menadżer haseł to lek na całe zło. Natomiast jest jedną ze składowych, które (w mojej opinii, bo opinia specjalistów z dziedziny Cię nie przekonuje) poprawiają ogólne bezpieczeństwo użytkownika; w jaki sposób - napisałem w poprzednim poście.

 


Na pewno? Ludzie narzekają na hasła maskowane do banku. A teraz przy menadżerze masz pewność że każdy bedzie za każdym razem wklepywał 16 i więcej znaków do logowania czy będzie chciał sobie uprościć logowanie do manadżera (Master Key). Nie masz pewności. Takiej samej jak ja.

 


@maszaikasza:

 

Po drugie, przed wadami menadżerów haseł chroni następna warstwa zabezpieczeń, tj. 2FA. I nie przez wpisanie kodu z SMS, bo to również przestarzała i podatna na ataki technologia. Ale korzystanie z 2FA w aplikacji bankowej na smartfonie, w którym potwierdzasz każde logowanie i każdy przelew, minimalizuje ryzyko padnięcia ofiarą praktycznie wszystkich popularnych, nowoczesnych ataków na strony internetowej. Oczywiście nie uchroni przed metodami "na wnuczka" itp., ale tutaj i hasło maskowane się podda.

Po drugie. Wystarczy poszukać w sieci wpadki. Ktoś klika na linka w smsie albo w mailu na telefonie i telefon infekuje. Apke i authenticator masz na telefonie na jednym urządzenia. I nawet 2FA Ci nie pomoże. Masz wtopę.

Jeśli jest 2FA (a jest w ING - sms albo apką) to nawet średnie hasło wystarczy (czy słabe) byle miało co najmniej 14 znaków (nie trzeba manadżera) bo zawsze jest 2FA. Ponadto masz możliwość podłączyć klucze U2F w ING np YubiKey. Więc przy słabym haśle, bo "ciężko" wpisać niektórym przy maskowanym, masz dodatkowe zabezpieczenie jak klucze U2F.

Kolejna sprawa. Apka ING to tak naprawdę prawie 1:1 system który masz na stronie. Jeśli komuś naprawdę przeszkadza wklepywanie hasła maskowanego, to przecież może wszystko robić na telefonie w aplikacji ING.

 

Po trzecie. W regulaminach banków są zakazy „ujawnienia” osobom trzecim (czy jakkolwiek to sformułowano) danych uwierzytelniających. Menager haseł jest stroną trzecią. I jeśli nie daj boże, masz wpadkę to bank ma prawo (bo na pewno się skuma jak się logowałeś) umyć ręce. I co wtedy zrobisz?

 

 

 


@maszaikasza:

Po czwarte, w swoim poście wyrażasz brak zaufania do instytucji państwowych, korporacji technologicznych w kwestii standardów technologii, opinii specjalistów z dziedziny, w dalszej części podważasz nawet skuteczność szczepionek (ten argument to już totalne kuriozum) i niebezpiecznie zahaczasz o szerzenie teorii spiskowych. Myślę, że ten fragment twoich przemyśleń świadczy doskonale o tym, jaką wagę w dyskusji ma twój głos.


Po czwarte. Żyję na tym świecie dość długo i nie jestem ignorantem. Czy podważam? Oczywiście, że tak. Media dzisiaj są raczej od dezinformacji i dożyliśmy czasów, gdzie każdy news który się pojawi, trzeba sprawdzać, czy nie jest fake. Po wielu wpadkach Google, Microsoftu, Apple i innych firm technologicznych mam ograniczone zaufanie. W dzisiejszych czasach, gdy masz dostęp do informacji z całego świata, każdy ma prawo mieć dystans bądź ograniczone zaufanie do wszystkiego. Nie muszę w to wierzyć, nie we wszystko wierzę ale przynajmniej daje coś do myślenia. A nie wierzyć naiwnie, że wszystko robią tylko i wyłącznie dla naszego dobra. Oczywiście rozumiem, że np Snowden to też teoria spiskowa?

A co do szczepionek - wystarczy poczytać raporty nawet oficjalne tych firm, które to produkują. Tu nie chodzi o czytanie jakiś teorii ludzi z folią na głowie ale oficjalne tych firm oświadczenia. Nie każdy żyje w bańce albo udaję, że nic się nie dzieje.

I rozumiem, że wpadki, które co chwile można wyczytać w zagranicznej prasie (IT), wtopy zabezpieczeń itp a później to ukrywanie pod dywan, to też teorie spiskowe?

 

Podsumowując. Managery haseł to dobre rozwiązanie. Nie idealne. Bank ma swoje audyty i swoje systemy i najlepiej wie, co dla nich jest odpowiednie. Jeden bank ma takie zabezpieczenia a drugi inne. Narzucenie im czegoś pod względem bezpieczeństwa jest dziecinne. Skoro ING nadal korzysta z maskowanego hasła (nie jest jedynym bankiem w Polsce z tym rozwiązaniem) to najwidoczniej widzi w tym cel.

I jak napisałem, mogliby dać wybór. Chcesz maskowane czy nie chcesz. Ale mogę i nie muszą. I pisanie, że nie równa się w pewnych kwestiach do standardów bezpieczeństwa jest z Twojej strony infantylne. Wygoda to nie zawsze bezpieczeństwo. A po drugie - nikt prawie nie poleca używać haseł z managera do bankowości elektronicznej, ze względu na regulamin - strona trzecia. 

 

"Dr. Lorrie Carnorr professor of computer science and engineering and public policy at Carnegie Mellon University - he answered the question asked

Are password managers safe for accounts that have financial information?

However, it's probably not wise to store your financial account passwords in a password manager"

 

Manager to sobie można do innych usług używać i głównie do tego celu został stworzony. Używanie managerów haseł do logowania do banku to najczęsciej tylko zalecają twórcy tych rozwiązań.

 

Ale to Twoje zdanie. Ty piszesz, że brak standardów bezpieczeństwa bo utrudniają przez maskowane hasło używać manegerów haseł. Masz do tego prawo. A ja uważam, że używanie do logowania do banku managera haseł (jak większość) jest nieodpowiedzialne. I wolę mieć to maskowane hasło (gdyby nie było wyboru w przyszłości nadal) niż nie mieć jak w innych bankach. Cieszy przynajmniej (wielki PLUS w ING), że hasło może mieć aż 32 znaki (większość banków się kończy przy około 20 a są takie gdzie koniec to 14 czy 16 znaków).

 

Jasne. Nie podoba Ci się to, zmieniasz bank. Ty ze wzgledów na niemożliwość używania managera, ktoś inny za brak jakieś funkcji czy słabą obsługę czy też na usługę ogólnie. Mamy wybór bo banków mamy kilkanaście w Polsce.

 

Dziękuję również za dyskusję i za wymianę poglądów. Pozdrawiam Emotikon: Mrugający

Odpowiedz
0 Lajków
viggen
Główny rachmistrz II
Główny rachmistrz II icon
342
49
03-02-2016
Wiadomość 8 z 8 (163 wyświetleń)
Ostatnie wpisy na forum
Re.: Karta debetowa do wyboru VISA/MC

Czy ING coś w tym temacie robi w ogóle, że taka cisza, czy cisza dlatego, że nic nie robicie w tym temacie?

13-11-2024
Re.: Zakup bilety komunikacji miejskiech - ulubione

Macie jakąś awarię?
Po zakupie biletu i próbie wejścia w szczegóły , nie można pobrać danych jak w załączniku

12-11-2024
Re: Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

Dokładnie, u mnie też problem.

Jestem bardzo ciekaw jak Ci "eksperci" od security wyobrażają sobie bezpieczne logowanie do banku. Ja widzę starszego Pana z kartką, trudnym i skomplikowanym (bo takie za

...

12-11-2024
Najbardziej pomocni użytkownicy