To Ty nie rozumiesz, każdy bank wymaga potwierdzenia przelewu... i to już nawet nie chodzi o udowodnienie że ty to ty, ale weryfikacje jaka kwota, gdzie wysyłana. Przecież w każdym innym banku po zleceniu przelewu przez www w aplikacji wyświetla mi się kwota i informacja gdzie przelew ma iść.

Zabezpiecza to przez różnymi scenariuszami, np jak zawirusujemy sobie komputer i trojan podmieni nam numer konta to jesteśmy w stanie to w aplikacji sprawdzić, jak np za czyjąś namową zainstalujemy aplikacje do dostępu zdalnego to nawet jeśli zalogujemy się na swoje konto w banku to oszust nic nie zrobi, bo dodatkowo musiałby nas namówić na podanie kodu SMS / zatwierdzenie w aplikacji.

Dzisiaj pomagałem znajomemu z przelewami na ok 150 000 zł, znajomy nie używa kluczy U2F. Dodatkowo przeglądarkę można dodać do zaufanych i wtedy nawet logowania nie trzeba potwierdzić.

I co, bez żadnej autoryzacji wszystko poszło. W momencie jak ktoś sobie zapisze hasło do banku np w przeglądarce to nawet dziecko mające dostęp do komputera może przelew wysłać, hasło podejrzy w przeglądarce i uzupełni tylko te znaki o które prosi ING, jak przeglądarka dodana do zaufanych to nic nie trzeba potwierdzać, a że w ING przelewy wychodzą bez żadnej autoryzacji to puszczenie przelewu to już żaden problem.

Jedyne co przed tym zabezpiecza to ustawienie niskiego limitu, wtedy chociaż kod z SMS trzeba przepisać żeby limit zwiększyć. Ale to użytkownik musi o tym pamiętać, bo domyślnie był ustawiony limit do wysokości salda...

Na szczęście jeszcze tylko kilka dni i mogę całkowicie uciec z ING.  Nie znam żadnego innego banku który tak mocno nie dba o bezpieczeństwo, gdzie indziej nawet przelew na 1 grosz trzeba autoryzować (o ile nie wysyłamy do zaufanego nadawcy).

W ING wyczyszczą Ci konto i dowiesz się o tym dopiero po fakcie jak masz skonfigurowane powiadomienia push... Bo jak push nie masz włączonych to dowiesz się o tym dopiero przy najbliższym logowaniu do banku

> To Ty nie rozumiesz, każdy bank wymaga potwierdzenia przelewu

I co z tego? A jeśli każdy bank będzie wysyłać do ciebie kuriera z chorągiewką na której jest logo banku i on od ciebie będzie brał pisemne potwierdzenie, to uznasz, że ING nie jest bezpieczne bo każdy inny bank tak robi? O poziomie bezpieczeństwa świadczą mechanizmy.

> W ING wyczyszczą Ci konto i dowiesz się o tym dopiero po fakcie

Jak ci wyczyszczą konto, jeśli możesz się do niego dostać tylko mając klucz?

> jak zawirusujemy sobie komputer i trojan podmieni nam numer konta

Jak ci trojan podmieni numer konta? Może to zrobić jedynie na etapie przeklejania, a w ING musisz w takiej sytuacji wpisać ręcznie kilka znaków aby potwierdzić zgodność rachunku. Więc jak?

> Dzisiaj pomagałem znajomemu z przelewami na ok 150 000 zł, znajomy nie używa kluczy U2F.

Jak dla mnie konfabulujesz. Wcześniej napisałeś "Dobrze, że ING chociaż dodało klucze U2F do logowania z którego oczywiście korzystam". Dodatkowa autoryzacja w tym momencie nie ma sensu, bo skoro ktoś ma dostęp do konta, ma klucz, to znaczy, że może sobie nawet potwierdzić przelew gdyby wymagali tego dodatkowo. Teraz próbujesz się uwiarygodnić pisząc o znajomym. Dziwne, bo wychodzi na to, że czego się nie dotkniesz to s***zielisz. Ja jakoś łatwo nie mogę wykonywać takich przelewów i albo muszę kontaktować się z bankiem (bo nawet potwierdzenie w aplikacji nic mi nie da), albo rozbić to na kilka dni. 

> Na szczęście jeszcze tylko kilka dni i mogę całkowicie uciec z ING.

Ja też się cieszę. Jeśli czujesz się bezpieczniej w banku, który nie używa U2F więc każdy poza tobą może się tam zalogować to OK. Faktycznie zwiększysz bezpieczeństwo swoich środków.

W przypadku ING też bez klucza da się zalogować na konto bez użycia U2F - logując się przez aplikacje mobilną.

Brak mi słów na to jak ING zepsuło implementacje kluczy U2F i żeby normalnie korzystać z aplikacji mobilnej trzeba klucze U2F wyłączyć dla aplikacji. W innym wypadku każde logowanie do aplikacji wymaga przyłożenia klucza co jest bez sensu. Klucz ma chronić przed zalogowaniem się obcej osoby która zna nasze dane, w przypadku korzystania z zaufanego telefonu to nie ma zastosowania. Nawet w przypadku kradzieży telefonu jest on zabezpieczony PINem czy inną wybraną blokadą + aplikacja ING wymaga PIN więc dodatkowy krok nic tutaj nie da.  Złodziej dużo czasu nie będzie bo raczej szybko zauważymy utratę telefonu i zgłosimy to w banku, więc zabezpieczenie w100% wystarczy. Klucz U2F powinien być wymagany podczas AKTYWACJI aplikacji na nowym urządzeniu żeby obca osoba znająca dane nie mogła na swoim sprzęcie aplikacji aktywować.

Dla mnie brak wymagania autoryzacji każdej operacji jest niedopuszczalny, nie wiem dlaczego tak bardzo bronisz ING i ich brak autoryzacji przelewów. 

Jak sam napisałeś o poziomie bezpieczeństwa świadczą mechanizmy, w ING widać jak to wszystko im świetnie działa, wysyłasz przelew i nic nie autoryzujesz niezależnie od tego czy masz skonfigurowane U2F do logowania czy nie.

Dodatkowo wspominasz, że u Ciebie potwierdzenie w aplikacji nie wystarcza i musisz kontaktować się z bankiem. I tutaj właśnie opisujesz jak powinien przebiegać poprawny i bezpieczny proces autoryzacji, zlecasz przelew przez www, następnie potwierdzasz go w aplikacji, bank uznaję, że coś jest podejrzane i wymaga od Ciebie dodatkowej autoryzacji. 

Niestety u mnie, ani u znajomych tak pięknie nie ma i przelewy wychodzą z komunikatem, że dodatkowa autoryzacja nie jest wymagana. Chyba widać, że coś jest nie tak, że u jednych klientów wymagają autoryzacji a u innych nie.

Ale to już nie mój problem, ING nie ma już żadnych moich środków.

Ty naprawdę nie ogarniasz :-D

Korzystasz z U2F i dziwisz się, że trzeba skorzystać z klucza? :-D To nie jest bezsensu. Bezsensu byłoby, gdyby nie było konieczne każdorazowe przyłożenie klucza, bo wtedy cała idea tego zabezpieczenia ległaby w gruzach. Podam ci to na przykładzie strony. Logujesz się do aplikacji. Później kończy się sesja, za jakiś czas logujesz się ponownie i... właśnie zostałeś shakowany, bo nie zauważyłeś, że podłożono ci lewą stronę. Gdybyś użył klucza U2F to "haker" nie zalogowałby się na twoje konto, bo nie ma klucza. 

Jeśli uważasz, że telefon jest twój to po co przykładanie klucza, to powiedz mi... po co w ogóle był ci ten klucz potrzebny do szczęścia? Wystarczyło zaopatrzyć się we własny telefon i miałbyś temat z głowy

> nie wiem dlaczego tak bardzo bronisz ING i ich brak autoryzacji przelewów

Już ci odpowiadam - bo piedzielisz takie kocopoły, że ciężko mi obok tego przejść obojętnie. Mam dużo zastrzeżeń do ING. Ale akurat ty masz jakieś zastrzeżenia totalnie z czapy, które zwyczajnie wynikają z twojej niewiedzy. I najgorsze jest to, że usiłujesz tę swoją niewiedzę "zaimplementować" w rozwiązaniach bezpieczeństwa. Oczywiście ci się to nie uda. Spece, którzy się tym zajmują po prostu popukają się w czoło gdy przeczytają twoje zastrzeżenia/propozycje - i na tym się skończy. Ale ja tak nie mam. Mnie skręca i próbuję ci coś uświadomić. Ale równie dobrze mogę walić głową w mur.

> wysyłasz przelew i nic nie autoryzujesz niezależnie od tego czy masz skonfigurowane U2F do logowania czy nie

No to chyba są jakieś dwie instancje ING. Jedna dla mnie i jedna dla ciebie. Co prawda nie używam U2F, ale bez niego jakoś autoryzacje mam i nie byłem w stanie W OGÓLE wykonać większego przelewu mimo braku limitu na koncie. I to mnie zaskoczyło i zirytowało. 

Natomiast gdybym używał U2F mega dziwiłoby mnie gdybym musiał jeszcze dodatkowo autoryzować przelewy, bo wiem jak działa U2F i nie ma sensu autoryzować się podwójnie. Kompletnie niczego to nie zmienia od strony bezpieczeństwa, bo jeśli jesteś na tyle durny, że mimo U2F udostępnisz komuś konto (pośrednio, czy bezpośrednio), to choćby i 20 smsów autoryzacyjnych dodatkowo przyszło - niczego to nie zmieni. Zakumaj, że aby wykonać przelew MUSISZ mieć klucz U2F. Nikt inny go nie ma, więc nie ma opcji aby wykonał przelew. A wiesz dlaczego? BO KAŻDORAZOWO MUSISZ TEGO KLUCZA UŻYĆ.

Więc tak - gdyby oprogramowali to tak, że nie trzeba za każdym razem przykładać klucza U2F (o co bardzo prosisz) - wtedy miałaby sens także twoja prośba o dodatkową autoryzację transakcji. Więc sam sobie próbujesz wygenerować problem i sam go sobie chcesz naprawić. Brawo ty.

Szkoda, że nie potrafisz nawet czytać ze zrozumieniem, przecież jasno pisałem, że na koncie przez kluczy U2F tak samo przelewy wychodzą bez autoryzacji. Cały czas mnie atakujesz, a to przecież nie moja wina, że podczas robienia przelewu wyskakuje komunikat, że przelew  nie wymaga żadnej autoryzacji. Zamiast mnie dalej atakować, zastanów się czyja to jest wina, że na kontach niezależnie od tego czy mają U2F czy nie ING pozwala wysłać przelew do niezaufanego nadawcy bez potwierdzenia.

Więc jak w tej sytuacji obronisz ING ? Przelew do niezaufanego nadawcy wysyłany z konta bez U2F.  Jedyne co wymagało przepisania kodu SMS to zwiększenie limitu, ale domyślne ustawienie było "do wysokości salda" więc gdyby znajomy sam nie zmniejszył limitu to nie było by żadnej potrzeby przepisywać kod SMS.  Dodatkowo przelew wysłany z przeglądarki dodanej do zaufanej więc nic w aplikacji nie trzeba było potwierdzać.

Tutaj tak samo żadnej autoryzacji nie trzeba było.

A przelew z aplikacji mobilnej ING ? Klikasz wyślij i wyskakuje komunikat, że przelew nie wymaga żadnej autoryzacji. Żadnych PINÓW, żadnej biometrii, bo po co. Lepiej tak po prostu wysłać przelew.

Dla porównania każda inna aplikacja banku wysyłając przelew najpierw wyświetla podsumowanie żeby sprawdzić czy dane do przelewu się zgadzają a następnie w zależności od ustawień wymagają PIN / biometrii. ING tutaj ponownie nic nie wymagało.

Za to jak płaciłem kodem BLIK to musiałem i wpisać PIN i przepisać kod z SMS. Czyli niejako podwójna autoryzacja gdzie w żadnym innym banku 2x nie trzeba tego potwierdzać. Szkoda, że nie utrzymują tego standardu bezpieczeństwa dla zwykłych przelewów... na pewno groźniejsze jest zrobienie BLIK na 1 zł i trzeba to autoryzować i PIN w aplikacji i kodem SMS, ale wysłać przelew na ok 100 000 to to już można wysłać bez autoryzacji.

A wracając do tematu kluczy U2F mówi ci coś takiego jak oszustwo na pulpit zdalny ? Co z tego, że każde logowanie wymaga użycia klucza U2F, jak w przypadku gdy damy dostęp zdalny do pc oszustowi, zalogujemy się za jego namową do bankowości www to ud razu jest game over. Już konto wyczyści do wysokości limitu (a że domyślny limit w ING jaki miałem to "do wysokości salda" to wyczyści wszystko). Gdyby była wymagana autoryzacja w aplikacji mobilnej / ewentualnie sms to jest to jeszcze jeden moment gdzie możemy zauważyć, że coś jest nie tak i anulować operacje. W przypadku braku autoryzacji przelew po prostu "wyjdzie". Zostaje później dzwonienie na infolinię i liczyć, że jeszcze będą w stanie go zatrzymać.

I nie mówię, że ING wcale nie wymaga autoryzacji bo kilka przelewów musiałem autoryzować kodem SMS, ale to tak może 10% jak nie mniej. Reszta przelewów wychodziła normalnie bez żadnych potwierdzeń, niezależnie czy przez aplikacje czy przez www.

PS: Jedyne co mnie bardzo pozytywnie zaskoczyło w ING to zamykanie konta bez okresu wypowiedzenia. Wyjątkowo do zamknięcia konta wysłali SMS autoryzacyjnego, idąc twoim tokiem rozumowania to po co go wysyłali ? Przecież logowałem się kluczem U2F. Po co to kolejny raz autoryzować ?? 

Podam jeszcze jeden podwód dla którego każdy przelew do niezaufanego nadawcy powinien wymagać autoryzacji a jest nim błąd banku. Błędy zdarzają się wszędzie, co w przypadku gdyby ING pominęło 2FA przy logowaniu (niezależnie czy jest to klucz U2F czy coś innego). Można by wtedy wysłać przelew znając tak na prawdę tylko login i kilka znaków z hasła. Brzmi nierealnie ? Ale takie błędy się zdarzają, mBank miał taką wpadkę kilka miesięcy temu. Po wpisaniu loginu i hasła od razu wpuścili na konto (na niezaufanej przeglądarce). Gdyby mBank poszedł w ślady ING to wysłałbym przelew bez potwierdzenia logowania i bez autoryzacji przelewu. Na szczęście autoryzacja przelewów zadziałała w mBank poprawnie i musiałem jednak coś w aplikacji potwierdzić zanim wyszedł przelew.

Dział reklamacji mBank potwierdził wystąpienie incydentu i logowanie na niezaufanej przeglądarce bez weryfikacji dwuetapowej. To tylko pokazuje, że zabezpieczeń nigdy za dużo. W przypadku mBank jedno zawiodło i owszem logowanie zadziałało bez 2FA, ale dalej do żadnej kradzieży nie mogło dojść, bo każda taka operacja wymaga w mBank autoryzacji.

PS To ja logowałem się na swoje własne konto mBank, nie było to żadne włamanie. A w ten sam dzień jeszcze kilka innych osób zgłosiło podobny problem.