Odpowiedz

Re.: U2F - Universal 2nd Factor Authentication

Nareszcie po tak długim czasie oczekiwania w końcu coś ruszyło w pozytywnym kierunku.

 

https://www.cashless.pl/13238-ing-wprowadzi-u2f

AlfaNetrunner
Doradca z ambicjami II
Doradca z ambicjami II icon
26
6
11-08-2021
Wiadomość 61 z 82 (11 514 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Wracamy z aktualizacją tematu. Sprzętowe klucze zabezpieczające planujemy wprowadzić jako kolejny faktor silnego uwierzytelnienia w Moim ING jeszcze w tym roku. Nie planujemy dystrybuować tych kluczy, ale umożliwimy klientom rejestrowanie ich własnych kluczy zarówno do Mojego ING w przeglądarce, jak i do Mojego ING mobile. Jeśli klient będzie posiadał zarejestrowany i aktywowany klucz sprzętowy, będziemy prosić o jego użycie podczas logowania do Mojego ING.





-----------------
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
MateuszS
Moderator
Moderator icon
146
30
02-09-2021
Wiadomość 62 z 82 (11 429 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.

arturowczarek
Doradca z ambicjami I
Doradca z ambicjami I icon
2
3
01-03-2023
Wiadomość 63 z 82 (11 414 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication


@arturowczarek:

Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.


Nie, nie trzeba. Ba! Jeżeli doszedłeś do takiego wniosku to... Twoje hasło jest nienajlepsze. Sam powołujesz się na "relikty przeszłości" więc powinieneś dobrze wiedzieć, że najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)

 

Mimo wszystko, w przypadku banku, wolałbym jednak nigdzie nie zapisywać hasła, nawet w managerach... masz "white papers" i wszystko wygląda świetnie a później okazuje się, że jednak był gdzieś jakiś wyciek ;-)

Odpowiedz
0 Lajków
wojciech
Główny rachmistrz I
Główny rachmistrz I icon
245
89
02-03-2016
Wiadomość 64 z 82 (11 403 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Super! Trochę to trwało, ale lepiej późno niż wcale. Fajnie jak by była opcja aby konieczność użycia klucza była wymagana tylko przy pierwszym logowaniu na danym urządzeniu/przeglądarce.

Bisti
Doradca z ambicjami I
Doradca z ambicjami I icon
13
22
19-01-2016
Wiadomość 65 z 82 (11 358 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Najlepsze hasło to losowe hasło, a nie żadne "zdanie". Powodzenia w zapamiętywaniu setek "zdań" dla każdego z setek serwisów na których przeciętna osoba ma konta. No chyba że się ma wszędzie jedno "zdanie". Wtedy faktycznie to duży problem jak gdzieś się pojawi "przeciek".

Moje hasło faktycznie jest nie najlepsze, bo to właśnie takie "zdanie". No i przez to że jest to zdanie, to maskowanie można sobie w d*** (w końcu zamaskowane, więc nikt się nie domyśli co jest pod gwiazdkami) wsadzić.

arturowczarek
Doradca z ambicjami I
Doradca z ambicjami I icon
2
3
01-03-2023
Wiadomość 66 z 82 (11 347 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication


@wojciech:

@arturowczarek:

Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.


Nie, nie trzeba. Ba! Jeżeli doszedłeś do takiego wniosku to... Twoje hasło jest nienajlepsze. Sam powołujesz się na "relikty przeszłości" więc powinieneś dobrze wiedzieć, że najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)

 

Mimo wszystko, w przypadku banku, wolałbym jednak nigdzie nie zapisywać hasła, nawet w managerach... masz "white papers" i wszystko wygląda świetnie a później okazuje się, że jednak był gdzieś jakiś wyciek ;-)


Na początek, strona ING uniemożliwia wklejenie hasła podczas jego zmiany, w przypadku Keepassa(XC) trzeba poradzić sobie inaczej. Pierwsze utrudnienie aby nie korzystać z pełni bezpiecznych, generowanych haseł. 2 sprawa, maskowanie haseł to relikt i ciężko z tym dyskutować, takiego zdania jest również m.in AH. Jeśli mamy złośliwe oprogramowanie to hasło i tak zostanie odczytane, a jest niesamowitym utrudnieniem dla użytkownika przy 32 znakach. Niedobrze mi się robiło jak miałem się logować do bankowości dopóki nie znalazłem automatycznego rozwiązania z menagera haseł. No ciężko było liczyć znaczki hasła z menagera aby odpowiednie wpisać, więc jak najbardziej zgodzę się z tym że takie działanie banku zachęca do używania słabych haseł które możemy zapamiętać.

 

"najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)" - najlepsze hasło to takie niewygenerowane przez człowieka, o dużej entropii. Jeśli uważasz inaczej to niestety ale muszę Cię zmartwić, da się bezpieczniej. Każdy ma inną analizę ryzyka, ale nie rekomenduj rozwiązania jako generalnie najbezpieczniejszego, bo tak absolutnie nie jest.

Jak się boisz menagerów haseł to sam, celowo obniżasz swoje bezpieczeństwo. Nie ma bezpieczniejszego rozwiązania, ryzyko jakieś jest zawsze, a możesz je obniżyć w oparciu o własną analizę ryzyka. Wybierz sobie menagera który jest zapisywany lokalnie, znanym od lat jak np. KeePass(XC), już obniżasz do zera ryzyko że Ci z chmury wycieknie. Na rynku złośliwego oprogramowania jest bardzo niewiele takiego które jest jakkolwiek zainteresowane menagerami haseł.

Jeszcze jeden temat - ING świadomie (?) wskazuje hasła generowane jako "średnie" (xD). No tak, hasło 31 znakowe, z znakami ze wszystkich grup zdecydowanie nie jest najbezpieczniejsze. W załączniku przykład. DISCLAIMER! To nie jest moje hasło. Jedno z wielu które zaproponował mi menager, to akurat nie zostało użyte. Piszę aby nie było powodu do usuwania wpisu Emotikon: Mrugający


@arturowczarek, nie wiem z jakiego menagera korzystasz, w KeePassXC znalazłem rozwiązanie na hasło maskowane, "{PICKCHARS}" w regule autouzupełniania. Powoduje to wyświetlenie się okna gdzie po cyferkach można wybrać znaki o które prosi ING. Ale też jak najbardziej się zgodzę, takie rozwiązania nie powinny być już stosowane.

A generalnie wracając do tematu wsparcia kluczy U2F - W KOŃCU! Gratuluję umożliwienia klientom w pełni bezpiecznego na phishing rozwiązania. Tylko proszę wdrożyć to poprawnie, nie mamy klucza to nie da się zalogować, pod żadnym pozorem, tylko wizyta w oddziale. Żadnych SMS'ów, nazwisk panieńskich czy czegokolwiek innego. Dziękuję Emotikon: Szczęśliwy Po wdrożeniu w końcu będzie bank który mogę z spokojniejszym sercem polecić Emotikon: Mrugający

aezakmi
Doradca z ambicjami I
Doradca z ambicjami I icon
1
1
04-03-2023
Wiadomość 67 z 82 (11 203 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication


@aezakmi:

"najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)" - najlepsze hasło to takie niewygenerowane przez człowieka, o dużej entropii. Jeśli uważasz inaczej to niestety ale muszę Cię zmartwić, da się bezpieczniej. Każdy ma inną analizę ryzyka, ale nie rekomenduj rozwiązania jako generalnie najbezpieczniejszego, bo tak absolutnie nie jest.


Bla bla bla... jeżeli wg Ciebie wysoka entropia to tylko i wyłącznie wygenerowane hasło to faktycznie absolutnie nie ma o czym rozmawiać bo zdajesz się rzucać zasłyszanymi pojęciami bez sensu...

 

Do tego robisz jakieś koślawe założenia pod tezę (tak, używam KeePass od bardzo wielu lat, podobnie jak YK (stąd wypowiedzi w tym temacie) ale doświadczenie pokazuje, że bezgraniczne ufanie technologii czasami bywa zgubne. Jeszcze nie tak dawno "złotym standardem było", że hasło ma być maksymalnie skomplikowane i zawierać znaki specjalne i "8 znaków wystarczy" (stąd niektóre instytucje stwierdziły, że taki maksymalny limit będzie super)...

 

EOT.

 
 

 

 

Odpowiedz
0 Lajków
wojciech
Główny rachmistrz I
Główny rachmistrz I icon
245
89
02-03-2016
Wiadomość 68 z 82 (11 090 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Czy używanie klucza podczas logowania będzie wymagane (konieczność zakupienia klucza) czy bedzie to dobrowolna opcja ? Inaczej: czy bez klucza nie bedzie mozliwośći zalogowania się ? 

Odpowiedz
0 Lajków
marwi
Doradca z ambicjami I
Doradca z ambicjami I icon
5
0
07-01-2020
Wiadomość 69 z 82 (10 084 wyświetleń)

Re: Re.: U2F - Universal 2nd Factor Authentication

Będzie to dobrowolna opcja. 

**
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Moja odpowiedź Ci pomogła? Zaakceptuj ją jako rozwiązanie!
Odpowiedz
0 Lajków
IlonaU
Moderator
Moderator icon
1073
215
07-06-2017
Wiadomość 70 z 82 (10 001 wyświetleń)
Ostatnie wpisy na forum
Re.: Kredyt hipoteczny - czas oczekiwania na decyzję

Trzymam kciuki za pozytywną i szybką decyzję dla Ciebie 🙂

28-03-2024
Re.: Kredyt hipoteczny - czas oczekiwania na decyzję

Gratuluję i bardzo dziękuje za informację Emotikon: Szczęśliwy

28-03-2024
Re: Kupno biletów przez CarPlay - czy to żart

Niestety całe ING, tam gdzie nie trzeba to wielce dbają bezpieczeństwo, tak jak z tym CarPlay wymagającym odblokowania tel, albo jak aktywujesz U2F w aplikacji to każde uruchomienie aplikacji wymaga p

...

28-03-2024
Najbardziej pomocni użytkownicy