19-10-2024 12:10
Coraz więcej wpisów ludzi tutaj na forum z sugestiami aby wyłączyć hasło maskowane w bankowości ING, ponieważ przeszkadza w stosowaniu managera haseł.
Dzisiaj jednak ING powinno dać wybór - maskowane hasło lub manager haseł (klient sam sobie wybiera sposób logowania). Tylko niech maskowanego hasła nie wyłączają. A jeśli mają problem lub dystans do managerów haseł, to dając wybór obok maskowanego hasła do logowania, to niech dopiszą klauzulę, że odpowiada użytkownik i po temacie.
Natomiast chciałbym zwrócić uwagę, że manager haseł również nie jest to idealne rozwiązanie.
Z reguły mamy program w wersji portable czyli natywne albo takie, gdzie wykorzystujemy chmurę. Są również wersje komercyjne oraz open source.
Przykładowe pod linkiem
Manager haseł mamy zablokowany przez hasło. W nim przechowujemy a przy okazji tworzymy hasła do wielu rzeczy, gdzie musimy się logować.
Jest to wygodny sposób do logowania. Jest to również dobre narzędzie dla ludzi, którzy nie potrafią lub z lenistwa nie tworzą skomplikowanych haseł.
Poza tym dzięki managerowi haseł możemy tworzyć hasła o znacznej długości.
Oczywiście nie wszędzie długość ma zastosowanie, ponieważ w ING możemy dać hasło aż do 32 znaków a w innych bankach np PKO BP maks do 14 czy 16 znaków.
Używanie manager haseł jest bezpieczne? Nie do końca jak się okazuje.
Te które mają współpracę z chmurą maja już pierwsze wpadki
https://www.gsmmaniak.pl/1446647/wyciek-danych-menadzer-hasel-1password/
Natywne również potrafią się poddać
https://www.zawszeczujni.pl/2015/11/korzystasz-z-keepass-twoje-hasa-i-inne.html
Natywne również można wykorzystać z chmurą Google czy Dropbox do synchronizacji i korzystania z logowania na innych urządzeń (np zamiast tylko kompa również logowanie przez telefon). Ale to nadal chmura firm zewnętrznych. Ponadto ważna wiadomość dla przykładu z tych co mają własną chmurę
"LastPass nie jest programem typu Open Source i należy do podmiotu komercyjnego. Stąd istnieje niezerowa szansa, że firma jest w stanie podejrzeć te hasła. Jak dotąd nie było takich informacji, firma Logmein wydaje się być godną zaufania i osobiście nie przejmuję się taką możliwością"
https://pawelszczygielski.pl/2018/06/29/lastpass-podrecznik-uzytkownika/
Tutaj pod linkiem wiele komentarzy odnośnie jak sobie to ustawić, jak wszystko poukładać itd.
https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/
Jakie z tego wnioski
1. Idealnych rozwiązań nie ma
2. Manager haseł im bardziej popularny tym bardziej narażona na ataki. Im większa będzie ogólna popularność tych rozwiązań, tym więcej będzie atakowane przez hakerów.
3. Dobra i bezpieczna konfiguracja managera haseł to nie zabawa dla ludzi, którzy mają małe pojęcie o bezpieczeństwie i komputerze
4. W Managerze haseł trzymamy wszystkie hasła do wielu usług. Wyciek powoduje ogromny problem.
5. Nie ma do dzisiaj pewności co się dzieje z naszymi danymi i hasłami, gdy korzystamy z chmury (czy firmy nie podglądają tego zapisanego pliku)
6. Natywna wersja swoje bezpieczeństwo kończy, gdy złapiemy wirusa na komputerze czy telefonie.
7. I wiele innych, które jeszcze przed nami
Tu nie chodzi o to, że pisać jakie managery haseł są złe. To są dobre rozwiązania, które wszyscy teraz promują. Czy mają jakiś ukryty cel? (np w przypadku popełnienia przestępstwa na zlecenie organów ścigania mogą udostępniać nasze dane?) Tego nie wiemy ale możemy zakładać, że dajemy w opiekę nasze hasła innym firmą - komercyjnym czy open source.
Managery haseł to dobre rozwiązania, dla ludzi, którzy nie potrafią tworzyć dobrych haseł. TO JEST ICH NAJWIĘKSZA ZALETA.
W tym wpisem chcę tylko uświadomić ludzi, że manager haseł to również ryzyko i nie gwarancja idealnego bezpieczeństwa.
Co ciekawe, ludzie się skupiają na managerach haseł ale nadal większa część nawet na swoich urządzeniach nie stosuje AV. A jak widać i można przeczytać, wystarczy wirus na komputerze i cała magia managerów może prysnąć.
Jakie sugestie
1. Uważać co się robi na komputerze, omijać strony, nie instalować byle czego na komputerze (ogranicza ryzyko złapania czegoś i robienia burdelu w systemie)
2. Dobrze skonfigurowana przeglądarka internetowa z dodatkowymi wtyczkami
3. Dobry Antywirus z ochroną przeglądarki (skanowanie stron, reputacja stron) oraz Ochrona Bankowości
Dla przykładu co to jest ochrona bankowości
https://www.eset.com/pl/home/internet-security/
Przykładowy test takich rozwiązań
https://avlab.pl/analiza-modulow-do-ochrony-bankowosci-platnosci-internetowych/
4. Do zapamiętania jedno hasło do banku! JEDNO! Reszta może być w managerze jeśli ktoś dzisiaj bez niego nie potrafi żyć
5. Po banku drugim mega ważnym hasłem jest hasło do klienta pocztowego albo klientów pocztowych (jeśli ktoś ma więcej adresów mailowych niż jeden), ponieważ dzisiaj praktycznie do każdej usługi podajemy adres mailowy, który później może posłużyć do zmiany hasła w danej usłudze
A wtedy dopiero myśleć o jakiś managerze haseł.
Niektórzy nawet korzystają z zapisanych haseł w przeglądarkach. To też nie jest dobry pomysł.
Krótko. Jestem za wyborem w bankowości ING. Jeśli ktoś nie chce korzystać z maskowanego, to tylko dzięki temu że korzysta z managera haseł.
Manager haseł to świetne narzędzie ale również nie bez wad i również posiada swoje ułomności, które z czasem będą się potęgować. I to też ryzyko, że jak wyciekną dane, to wylatują w obieg nasze wszystkie hasła a nie tylko jedno.
19-10-2024 12:55
Natomiast główny zapis w regulaminach banków wyraźnie "mówi":
Nie udostępniaj osobom trzecim danych służących do logowania (login, hasło, kod PIN do bankowości)
Manager haseł jest w tym przypadku osobą trzecią..
Jeśli zdarzy się nieuprawniona operacja , i wyjdzie na jaw, że zapisałeś poświadczenia w jakimś programie/systemie, to bank nie weźmie pewnie odpowiedzialności.
Więc uważam, że konto bankowe jest zbyt ważne aby trzymać hasło w managerze haseł.....i raczej lepiej się "męczyć" (jeśli ktoś tak ma) z hasłem maskowanym
Ale to już sprawa nie moja.
Dlatego pewnie ING się upiera swoich zasad logowania.
20-10-2024 11:18
tylko czemu pozostałe 9 banków podchodzi do tego normalnie?
20-10-2024 11:44 | Edytowano: 20-10-2024 11:47
Witam składałam wniosek o kredyt konsolidacyjny w aplikacji. Decyzja pozytywna lecz potrzebne jest zaświadczenie o zarobkach. Pracodawca wystawił mi takie zaświadczenie na druku ing ale w formie elekt
... 03-12-2024Użytkownik | Liczba Lajków |
---|---|
7 | |
5 | |
5 | |
4 | |
3 |