Odpowiedz

Re.: U2F - Universal 2nd Factor Authentication

Nareszcie po tak długim czasie oczekiwania w końcu coś ruszyło w pozytywnym kierunku.

 

https://www.cashless.pl/13238-ing-wprowadzi-u2f

AlfaNetrunner
Doradca z ambicjami II
Doradca z ambicjami II icon
26
6
11-08-2021
Wiadomość 61 z 82 (11 515 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Wracamy z aktualizacją tematu. Sprzętowe klucze zabezpieczające planujemy wprowadzić jako kolejny faktor silnego uwierzytelnienia w Moim ING jeszcze w tym roku. Nie planujemy dystrybuować tych kluczy, ale umożliwimy klientom rejestrowanie ich własnych kluczy zarówno do Mojego ING w przeglądarce, jak i do Mojego ING mobile. Jeśli klient będzie posiadał zarejestrowany i aktywowany klucz sprzętowy, będziemy prosić o jego użycie podczas logowania do Mojego ING.





-----------------
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
MateuszS
Moderator
Moderator icon
146
30
02-09-2021
Wiadomość 62 z 82 (11 430 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.

arturowczarek
Doradca z ambicjami I
Doradca z ambicjami I icon
2
3
01-03-2023
Wiadomość 63 z 82 (11 415 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication


@arturowczarek:

Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.


Nie, nie trzeba. Ba! Jeżeli doszedłeś do takiego wniosku to... Twoje hasło jest nienajlepsze. Sam powołujesz się na "relikty przeszłości" więc powinieneś dobrze wiedzieć, że najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)

 

Mimo wszystko, w przypadku banku, wolałbym jednak nigdzie nie zapisywać hasła, nawet w managerach... masz "white papers" i wszystko wygląda świetnie a później okazuje się, że jednak był gdzieś jakiś wyciek ;-)

Odpowiedz
0 Lajków
wojciech
Główny rachmistrz I
Główny rachmistrz I icon
245
89
02-03-2016
Wiadomość 64 z 82 (11 404 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Super! Trochę to trwało, ale lepiej późno niż wcale. Fajnie jak by była opcja aby konieczność użycia klucza była wymagana tylko przy pierwszym logowaniu na danym urządzeniu/przeglądarce.

Bisti
Doradca z ambicjami I
Doradca z ambicjami I icon
13
22
19-01-2016
Wiadomość 65 z 82 (11 359 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Najlepsze hasło to losowe hasło, a nie żadne "zdanie". Powodzenia w zapamiętywaniu setek "zdań" dla każdego z setek serwisów na których przeciętna osoba ma konta. No chyba że się ma wszędzie jedno "zdanie". Wtedy faktycznie to duży problem jak gdzieś się pojawi "przeciek".

Moje hasło faktycznie jest nie najlepsze, bo to właśnie takie "zdanie". No i przez to że jest to zdanie, to maskowanie można sobie w d*** (w końcu zamaskowane, więc nikt się nie domyśli co jest pod gwiazdkami) wsadzić.

arturowczarek
Doradca z ambicjami I
Doradca z ambicjami I icon
2
3
01-03-2023
Wiadomość 66 z 82 (11 348 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication


@wojciech:

@arturowczarek:

Czy przy okazji zmian, możemy spodziewać się usunięcia maskowania przy podawaniu haseł? Maskowanie nie jest wspierane przez menadżery haseł (bo to relikt przeszłości). Trzeba stosować proste i krótkie hasła, żeby być w stanie wprowadzić je z pamięci. Ludzie są tak zdesperowani, że korzystają z pluginów do przeglądarek, które umożliwiają zalogowanie się do banku: https://chrome.google.com/webstore/detail/moje-ing-masked-password/hjldkhnfpjflmcjfkghnccbhekljalek. A gdzie te hasła potem trafiają, to ciężko przewidzieć.


Nie, nie trzeba. Ba! Jeżeli doszedłeś do takiego wniosku to... Twoje hasło jest nienajlepsze. Sam powołujesz się na "relikty przeszłości" więc powinieneś dobrze wiedzieć, że najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)

 

Mimo wszystko, w przypadku banku, wolałbym jednak nigdzie nie zapisywać hasła, nawet w managerach... masz "white papers" i wszystko wygląda świetnie a później okazuje się, że jednak był gdzieś jakiś wyciek ;-)


Na początek, strona ING uniemożliwia wklejenie hasła podczas jego zmiany, w przypadku Keepassa(XC) trzeba poradzić sobie inaczej. Pierwsze utrudnienie aby nie korzystać z pełni bezpiecznych, generowanych haseł. 2 sprawa, maskowanie haseł to relikt i ciężko z tym dyskutować, takiego zdania jest również m.in AH. Jeśli mamy złośliwe oprogramowanie to hasło i tak zostanie odczytane, a jest niesamowitym utrudnieniem dla użytkownika przy 32 znakach. Niedobrze mi się robiło jak miałem się logować do bankowości dopóki nie znalazłem automatycznego rozwiązania z menagera haseł. No ciężko było liczyć znaczki hasła z menagera aby odpowiednie wpisać, więc jak najbardziej zgodzę się z tym że takie działanie banku zachęca do używania słabych haseł które możemy zapamiętać.

 

"najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)" - najlepsze hasło to takie niewygenerowane przez człowieka, o dużej entropii. Jeśli uważasz inaczej to niestety ale muszę Cię zmartwić, da się bezpieczniej. Każdy ma inną analizę ryzyka, ale nie rekomenduj rozwiązania jako generalnie najbezpieczniejszego, bo tak absolutnie nie jest.

Jak się boisz menagerów haseł to sam, celowo obniżasz swoje bezpieczeństwo. Nie ma bezpieczniejszego rozwiązania, ryzyko jakieś jest zawsze, a możesz je obniżyć w oparciu o własną analizę ryzyka. Wybierz sobie menagera który jest zapisywany lokalnie, znanym od lat jak np. KeePass(XC), już obniżasz do zera ryzyko że Ci z chmury wycieknie. Na rynku złośliwego oprogramowania jest bardzo niewiele takiego które jest jakkolwiek zainteresowane menagerami haseł.

Jeszcze jeden temat - ING świadomie (?) wskazuje hasła generowane jako "średnie" (xD). No tak, hasło 31 znakowe, z znakami ze wszystkich grup zdecydowanie nie jest najbezpieczniejsze. W załączniku przykład. DISCLAIMER! To nie jest moje hasło. Jedno z wielu które zaproponował mi menager, to akurat nie zostało użyte. Piszę aby nie było powodu do usuwania wpisu Emotikon: Mrugający


@arturowczarek, nie wiem z jakiego menagera korzystasz, w KeePassXC znalazłem rozwiązanie na hasło maskowane, "{PICKCHARS}" w regule autouzupełniania. Powoduje to wyświetlenie się okna gdzie po cyferkach można wybrać znaki o które prosi ING. Ale też jak najbardziej się zgodzę, takie rozwiązania nie powinny być już stosowane.

A generalnie wracając do tematu wsparcia kluczy U2F - W KOŃCU! Gratuluję umożliwienia klientom w pełni bezpiecznego na phishing rozwiązania. Tylko proszę wdrożyć to poprawnie, nie mamy klucza to nie da się zalogować, pod żadnym pozorem, tylko wizyta w oddziale. Żadnych SMS'ów, nazwisk panieńskich czy czegokolwiek innego. Dziękuję Emotikon: Szczęśliwy Po wdrożeniu w końcu będzie bank który mogę z spokojniejszym sercem polecić Emotikon: Mrugający

aezakmi
Doradca z ambicjami I
Doradca z ambicjami I icon
1
1
04-03-2023
Wiadomość 67 z 82 (11 204 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication


@aezakmi:

"najlepsze hasło to długie hasło w postaci "zdania", które stosunkowo łatwo zapamiętać i wprowadzić (sam używam takowego, które ma kilkadziesiąt znaków) :-)" - najlepsze hasło to takie niewygenerowane przez człowieka, o dużej entropii. Jeśli uważasz inaczej to niestety ale muszę Cię zmartwić, da się bezpieczniej. Każdy ma inną analizę ryzyka, ale nie rekomenduj rozwiązania jako generalnie najbezpieczniejszego, bo tak absolutnie nie jest.


Bla bla bla... jeżeli wg Ciebie wysoka entropia to tylko i wyłącznie wygenerowane hasło to faktycznie absolutnie nie ma o czym rozmawiać bo zdajesz się rzucać zasłyszanymi pojęciami bez sensu...

 

Do tego robisz jakieś koślawe założenia pod tezę (tak, używam KeePass od bardzo wielu lat, podobnie jak YK (stąd wypowiedzi w tym temacie) ale doświadczenie pokazuje, że bezgraniczne ufanie technologii czasami bywa zgubne. Jeszcze nie tak dawno "złotym standardem było", że hasło ma być maksymalnie skomplikowane i zawierać znaki specjalne i "8 znaków wystarczy" (stąd niektóre instytucje stwierdziły, że taki maksymalny limit będzie super)...

 

EOT.

 
 

 

 

Odpowiedz
0 Lajków
wojciech
Główny rachmistrz I
Główny rachmistrz I icon
245
89
02-03-2016
Wiadomość 68 z 82 (11 091 wyświetleń)

Re.: U2F - Universal 2nd Factor Authentication

Czy używanie klucza podczas logowania będzie wymagane (konieczność zakupienia klucza) czy bedzie to dobrowolna opcja ? Inaczej: czy bez klucza nie bedzie mozliwośći zalogowania się ? 

Odpowiedz
0 Lajków
marwi
Doradca z ambicjami I
Doradca z ambicjami I icon
5
0
07-01-2020
Wiadomość 69 z 82 (10 085 wyświetleń)

Re: Re.: U2F - Universal 2nd Factor Authentication

Będzie to dobrowolna opcja. 

**
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Moja odpowiedź Ci pomogła? Zaakceptuj ją jako rozwiązanie!
Odpowiedz
0 Lajków
IlonaU
Moderator
Moderator icon
1073
215
07-06-2017
Wiadomość 70 z 82 (10 002 wyświetleń)
Ostatnie wpisy na forum
Re: Re.: Nowe konta w ING

A kiedy jakaś sensowna opcja na płacenie kartą w walutach obcych?

28-03-2024
Re: Kupno biletów przez CarPlay - czy to żart

Czyli dobrze rozumiem? W końcu przyznaliście, że Wasz sposób wprowadzenia obsługi CarPlay jest obecnie całkowicie bezużyteczny?

28-03-2024
Najbardziej pomocni użytkownicy