28-02-2023 01:49
Nareszcie po tak długim czasie oczekiwania w końcu coś ruszyło w pozytywnym kierunku.
01-03-2023 09:32
Wracamy z aktualizacją tematu. Sprzętowe klucze zabezpieczające planujemy wprowadzić jako kolejny faktor silnego uwierzytelnienia w Moim ING jeszcze w tym roku. Nie planujemy dystrybuować tych kluczy, ale umożliwimy klientom rejestrowanie ich własnych kluczy zarówno do Mojego ING w przeglądarce, jak i do Mojego ING mobile. Jeśli klient będzie posiadał zarejestrowany i aktywowany klucz sprzętowy, będziemy prosić o jego użycie podczas logowania do Mojego ING.
01-03-2023 10:42
Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.
01-03-2023 11:49
@arturowczarek:Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.
Nie, nie trzeba. Ba! Jeżeli doszedłeś do takiego wniosku to... Twoje hasło jest nienajlepsze. Sam powołujesz się na "relikty przeszłości" więc powinieneś dobrze wiedzieć, że najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)
Mimo wszystko, w przypadku banku, wolałbym jednak nigdzie nie zapisywać hasła, nawet w managerach... masz "white papers" i wszystko wygląda świetnie a później okazuje się, że jednak był gdzieś jakiś wyciek ;-)
01-03-2023 21:45
Super! Trochę to trwało, ale lepiej późno niż wcale. Fajnie jak by była opcja aby konieczność użycia klucza była wymagana tylko przy pierwszym logowaniu na danym urządzeniu/przeglądarce.
01-03-2023 22:47
Najlepsze hasło to losowe hasło, a nie żadne "zdanie". Powodzenia w zapamiętywaniu setek "zdań" dla każdego z setek serwisów na których przeciętna osoba ma konta. No chyba że się ma wszędzie jedno "zdanie". Wtedy faktycznie to duży problem jak gdzieś się pojawi "przeciek".
Moje hasło faktycznie jest nie najlepsze, bo to właśnie takie "zdanie". No i przez to że jest to zdanie, to maskowanie można sobie w d*** (w końcu zamaskowane, więc nikt się nie domyśli co jest pod gwiazdkami) wsadzić.
04-03-2023 18:39
@wojciech:
@arturowczarek:Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.
Nie, nie trzeba. Ba! Jeżeli doszedłeś do takiego wniosku to... Twoje hasło jest nienajlepsze. Sam powołujesz się na "relikty przeszłości" więc powinieneś dobrze wiedzieć, że najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)
Mimo wszystko, w przypadku banku, wolałbym jednak nigdzie nie zapisywać hasła, nawet w managerach... masz "white papers" i wszystko wygląda świetnie a później okazuje się, że jednak był gdzieś jakiś wyciek ;-)
Na początek, strona ING uniemożliwia wklejenie hasła podczas jego zmiany, w przypadku Keepassa(XC) trzeba poradzić sobie inaczej. Pierwsze utrudnienie aby nie korzystać z pełni bezpiecznych, generowanych haseł. 2 sprawa, maskowanie haseł to relikt i ciężko z tym dyskutować, takiego zdania jest również m.in AH. Jeśli mamy złośliwe oprogramowanie to hasło i tak zostanie odczytane, a jest niesamowitym utrudnieniem dla użytkownika przy 32 znakach. Niedobrze mi się robiło jak miałem się logować do bankowości dopóki nie znalazłem automatycznego rozwiązania z menagera haseł. No ciężko było liczyć znaczki hasła z menagera aby odpowiednie wpisać, więc jak najbardziej zgodzę się z tym że takie działanie banku zachęca do używania słabych haseł które możemy zapamiętać.
"najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)" - najlepsze hasło to takie niewygenerowane przez człowieka, o dużej entropii. Jeśli uważasz inaczej to niestety ale muszę Cię zmartwić, da się bezpieczniej. Każdy ma inną analizę ryzyka, ale nie rekomenduj rozwiązania jako generalnie najbezpieczniejszego, bo tak absolutnie nie jest.
Jak się boisz menagerów haseł to sam, celowo obniżasz swoje bezpieczeństwo. Nie ma bezpieczniejszego rozwiązania, ryzyko jakieś jest zawsze, a możesz je obniżyć w oparciu o własną analizę ryzyka. Wybierz sobie menagera który jest zapisywany lokalnie, znanym od lat jak np. KeePass(XC), już obniżasz do zera ryzyko że Ci z chmury wycieknie. Na rynku złośliwego oprogramowania jest bardzo niewiele takiego które jest jakkolwiek zainteresowane menagerami haseł.
Jeszcze jeden temat - ING świadomie (?) wskazuje hasła generowane jako "średnie" (xD). No tak, hasło 31 znakowe, z znakami ze wszystkich grup zdecydowanie nie jest najbezpieczniejsze. W załączniku przykład. DISCLAIMER! To nie jest moje hasło. Jedno z wielu które zaproponował mi menager, to akurat nie zostało użyte. Piszę aby nie było powodu do usuwania wpisu
@arturowczarek, nie wiem z jakiego menagera korzystasz, w KeePassXC znalazłem rozwiązanie na hasło maskowane, "{PICKCHARS}" w regule autouzupełniania. Powoduje to wyświetlenie się okna gdzie po cyferkach można wybrać znaki o które prosi ING. Ale też jak najbardziej się zgodzę, takie rozwiązania nie powinny być już stosowane.
A generalnie wracając do tematu wsparcia kluczy U2F - W KOŃCU! Gratuluję umożliwienia klientom w pełni bezpiecznego na phishing rozwiązania. Tylko proszę wdrożyć to poprawnie, nie mamy klucza to nie da się zalogować, pod żadnym pozorem, tylko wizyta w oddziale. Żadnych SMS'ów, nazwisk panieńskich czy czegokolwiek innego. Dziękuję Po wdrożeniu w końcu będzie bank który mogę z spokojniejszym sercem polecić
06-03-2023 12:37
@aezakmi:"najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)" - najlepsze hasło to takie niewygenerowane przez człowieka, o dużej entropii. Jeśli uważasz inaczej to niestety ale muszę Cię zmartwić, da się bezpieczniej. Każdy ma inną analizę ryzyka, ale nie rekomenduj rozwiązania jako generalnie najbezpieczniejszego, bo tak absolutnie nie jest.
Bla bla bla... jeżeli wg Ciebie wysoka entropia to tylko i wyłącznie wygenerowane hasło to faktycznie absolutnie nie ma o czym rozmawiać bo zdajesz się rzucać zasłyszanymi pojęciami bez sensu...
Do tego robisz jakieś koślawe założenia pod tezę (tak, używam KeePass od bardzo wielu lat, podobnie jak YK (stąd wypowiedzi w tym temacie) ale doświadczenie pokazuje, że bezgraniczne ufanie technologii czasami bywa zgubne. Jeszcze nie tak dawno "złotym standardem było", że hasło ma być maksymalnie skomplikowane i zawierać znaki specjalne i "8 znaków wystarczy" (stąd niektóre instytucje stwierdziły, że taki maksymalny limit będzie super)...
EOT.
26-03-2023 22:06
Czy używanie klucza podczas logowania będzie wymagane (konieczność zakupienia klucza) czy bedzie to dobrowolna opcja ? Inaczej: czy bez klucza nie bedzie mozliwośći zalogowania się ?
27-03-2023 20:17
Będzie to dobrowolna opcja.
Witam składałam wniosek o kredyt konsolidacyjny w aplikacji. Decyzja pozytywna lecz potrzebne jest zaświadczenie o zarobkach. Pracodawca wystawił mi takie zaświadczenie na druku ing ale w formie elekt
... 03-12-2024Użytkownik | Liczba Lajków |
---|---|
7 | |
5 | |
5 | |
4 | |
3 |