@wojciech:
@arturowczarek:Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.
Nie, nie trzeba. Ba! Jeżeli doszedłeś do takiego wniosku to... Twoje hasło jest nienajlepsze. Sam powołujesz się na "relikty przeszłości" więc powinieneś dobrze wiedzieć, że najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)
Mimo wszystko, w przypadku banku, wolałbym jednak nigdzie nie zapisywać hasła, nawet w managerach... masz "white papers" i wszystko wygląda świetnie a później okazuje się, że jednak był gdzieś jakiś wyciek ;-)
Na początek, strona ING uniemożliwia wklejenie hasła podczas jego zmiany, w przypadku Keepassa(XC) trzeba poradzić sobie inaczej. Pierwsze utrudnienie aby nie korzystać z pełni bezpiecznych, generowanych haseł. 2 sprawa, maskowanie haseł to relikt i ciężko z tym dyskutować, takiego zdania jest również m.in AH. Jeśli mamy złośliwe oprogramowanie to hasło i tak zostanie odczytane, a jest niesamowitym utrudnieniem dla użytkownika przy 32 znakach. Niedobrze mi się robiło jak miałem się logować do bankowości dopóki nie znalazłem automatycznego rozwiązania z menagera haseł. No ciężko było liczyć znaczki hasła z menagera aby odpowiednie wpisać, więc jak najbardziej zgodzę się z tym że takie działanie banku zachęca do używania słabych haseł które możemy zapamiętać.
"najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)" - najlepsze hasło to takie niewygenerowane przez człowieka, o dużej entropii. Jeśli uważasz inaczej to niestety ale muszę Cię zmartwić, da się bezpieczniej. Każdy ma inną analizę ryzyka, ale nie rekomenduj rozwiązania jako generalnie najbezpieczniejszego, bo tak absolutnie nie jest.
Jak się boisz menagerów haseł to sam, celowo obniżasz swoje bezpieczeństwo. Nie ma bezpieczniejszego rozwiązania, ryzyko jakieś jest zawsze, a możesz je obniżyć w oparciu o własną analizę ryzyka. Wybierz sobie menagera który jest zapisywany lokalnie, znanym od lat jak np. KeePass(XC), już obniżasz do zera ryzyko że Ci z chmury wycieknie. Na rynku złośliwego oprogramowania jest bardzo niewiele takiego które jest jakkolwiek zainteresowane menagerami haseł.
Jeszcze jeden temat - ING świadomie (?) wskazuje hasła generowane jako "średnie" (xD). No tak, hasło 31 znakowe, z znakami ze wszystkich grup zdecydowanie nie jest najbezpieczniejsze. W załączniku przykład. DISCLAIMER! To nie jest moje hasło. Jedno z wielu które zaproponował mi menager, to akurat nie zostało użyte. Piszę aby nie było powodu do usuwania wpisu 
@arturowczarek, nie wiem z jakiego menagera korzystasz, w KeePassXC znalazłem rozwiązanie na hasło maskowane, "{PICKCHARS}" w regule autouzupełniania. Powoduje to wyświetlenie się okna gdzie po cyferkach można wybrać znaki o które prosi ING. Ale też jak najbardziej się zgodzę, takie rozwiązania nie powinny być już stosowane.
A generalnie wracając do tematu wsparcia kluczy U2F - W KOŃCU! Gratuluję umożliwienia klientom w pełni bezpiecznego na phishing rozwiązania. Tylko proszę wdrożyć to poprawnie, nie mamy klucza to nie da się zalogować, pod żadnym pozorem, tylko wizyta w oddziale. Żadnych SMS'ów, nazwisk panieńskich czy czegokolwiek innego. Dziękuję 
Po wdrożeniu w końcu będzie bank który mogę z spokojniejszym sercem polecić
