Odpowiedz

Logowanie

Mam prośbę o włączenie logowania dwuetapowego. 

 

Wiem, że macie super hiper algorytm, działania którego nie zdradzicie. I dobrze, nie interesuje mnie on. Wolę być lepiej zabezpieczony jednorazowymi hasłami/kodami, wysyłanymi na telefon (SMS) w momencie logowania do banku. Oraz jakimś kluczem na U2F z NFC w przypadku aplikacji mobilnej. Tak, by nie można było wpisać kodu jednorazowego bez potwierdzenia kluczem. 

 

Zakładając konto w ING, godzę się na to, by Wasza firma miała dostęp do pewnych moich danych, potrzebnych do weryfikacji mnie jako osoby. Ale:

 

Dajecie możliwość zakładania i logowania się do Profilu Zaufanego (PZ), przy pomocy loginu i hasła bankowego. Jestem zaniepokojony, bo jako operator moich danych (w tym przypadku również loginu i hasła), macie dostęp do różnych danych, które są wrażliwe i chronione prawnie. Na przykład do profilu na stronie pacjent.gov.pl, czy PUE ZUS. To niedopuszczalna luka i furtka dla wykradania danych wrażliwych. Bo nie jestem w stanie zablokować próby takiego logowania, nie wiedząc o nim (nie dostając kodu jednorazowego i nie mogąc go zatwierdzić kluczem).

 

Nie oskarżam Was o taki proceder. Ale na 1000 uczciwych ludzi przypada pewnie spora liczba osób nieuczciwych. Takich, co choćby z ciekawości wejdą poczytać. Albo wejdą ukraść dane. Albo wejdą sprawdzić, czy temu panu na pewno można udzielić kredytu skoro leczy się na jakieś poważne choroby. 

 

Bardzo proszę odnieść się do powyższych spostrzeżeń. Pozdrawiam

dunhill
Nowy w branży II
Nowy w branży II icon
4
4
24-04-2021
Wiadomość 1 z 8 (1 298 wyświetleń)

Re: Logowanie

[ Edytowane ]

Logowanie może u nas przebiegać na 2 sposoby:
- Login i hasło maskowane (5 wybranych znaków)
- Login, hasło maskowane (5 wybranych znaków) i kod SMS.

Za każdym razem, gdy będziesz się logował lub zlecał dyspozycje w Moje ING / Moje ING mobile, nasz system bezpieczeństwa błyskawicznie przeanalizuje sytuację i dobierze odpowiedni sposób autoryzacji. Oceni też, czy dodatkowa autoryzacja jest potrzebna. Nie można jej włączyć na stałe.

Sam dobrze zauważyłeś, że dane między innymi w PUE ZUS, są wrażliwe i chronione. Żaden pracownik banku nie ma do nich dostępu. 

 

Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
Odpowiedz
0 Lajków
MartaK
Moderator
Moderator icon
614
152
04-09-2015
Wiadomość 2 z 8 (1 261 wyświetleń)

Re: Logowanie

[ Edytowane ]

Odnoszę wrażenie, że się nie rozumiemy. Korzystam z usług banku ING od dawna. Dopóki nie było takiej furtki do moich danych (innych niż te, które potrzebne są do operacji bankowych), godziłem się na dość podejżane zabezpieczenia. Sposoby logowania sa mi znane. Dlatego proponuję inną, jakąś fizyczną możliwość autoryzacji logowania przeze mnie. Bez której żedne hasło, tokeny i inne kody sms, będą bezużyteczne. 

 

"Żaden pracownik banku nie ma do nich dostępu. " to niezbyt konkretna odpowiedź. Nie uspokoiliście mnie. Nikt nie udowodnił, że moje dane są bezpieczne. Ani nie udowodnił, że przacownik banku nie może sobie do niech wejść kiedy chce. 

 

To może inaczej - co musiało by się stać żeby bank ING wprowadził dodatkową opcję logowania. Nawet odpłatną. Bo to, że rozważa i myśli widać po innych wątkach forum od kilku lat! Czyli albo to bzdura i nic nie rozważa albo dodatkowe sposoby z jakiegoś powodu nie przeszły. Bzdura, czy są inne powody?  A jeśli tak, to jakie? Gdzie mogę przeczytac jak działa ten system zabezpieczeń? Nie chodzi mi o algorytm, bo to tajemnica. Ale sposoby, w jakie zabezpiecza on przed najprostszym wejściem człowieka na moje konto. Albo waszego pacownika do moich danych (w innych serwisach np PUE ZUS)?

 

Dodam, że w rodzinie mam wiele osób w banku ING. Również firmę z wysokimi obrotami. Po takich odpowiedziach na serio rozważam przeniesienie się i innych do innego banku. Pozdrawiam

 

 

dunhill
Nowy w branży II
Nowy w branży II icon
4
4
24-04-2021
Wiadomość 3 z 8 (1 223 wyświetleń)

Re: Logowanie

@dunhill Przykro mi, że nasze wpisy nie spełniają Twoich oczekiwań. Nie możemy jednak zapewnić Cię o czymś, co może się w najbliższym czasie nie pojawić. Możemy jedynie powtórzyć to, że mamy na uwadze inne metody autoryzacji logowania. Jeśli tylko udostępnimy dodatkowe metody autoryzacji, to na pewno poinformujemy o tym na naszej stronie i w bankowości internetowej. Aktualnie nasza bankowość internetowa i ten sposób logowania spełnia wszystkie wymagania bezpieczeństwa narzucone na nas przez zewnętrzne podmioty. Gdyby tak nie było, to na pewno musielibyśmy coś zmienić. Informacje o bezpieczeństwie bankowości, aplikacji mobilnej i bezpiecznym bankowaniu znajdziesz tutaj: https://www.ing.pl/indywidualni/bankowosc-internetowa/bezpieczenstwo Mamy nadzieję, że mimo braku dodatkowych możliwości autoryzacji logowania pozostaniesz z rodziną naszymi klientami.

**
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Moja odpowiedź Ci pomogła? Zaakceptuj ją jako rozwiązanie!
Odpowiedz
0 Lajków
MateuszF
Moderator
Moderator icon
371
87
12-04-2017
Wiadomość 4 z 8 (1 182 wyświetleń)

Re: Logowanie

[ Edytowane ]

Rozumiem. Jeśli wprowadzicie nowe sposoby logowania, to o nich poinformujecie. A jak nie wprowadzicie, to nie uzasadnicie inaczej niż tak, że Wasz system działa.

 

Proszę jeszcze raz odnieść się do moich pytań. Ogólniki zna każdy, a strona "bezpieczeństwo", którą podajecie nie odpowiada konkretnie na pytania o to jak chronicie moje dane. A jeśli odpowiada na niektóre z nich, to tylko po części i ogólnikowo. 

 

Ponawiam i dodaję nowe pytania:

1. Skoro bank i jego pracownicy mają mój login i hasło - to co ich powstrzymuje, od czytania moich wrażliwych danych, do których mają dostęp przez Profil Zaufany (zakładany przez bank ING)?

2. Jakie "zewnętrzne podmioty" macie Państwo na myśli? Kto narzuca i weryfikuje system zabezpieczeń? Czy jest dostępny audyt zewnętrzny takiego systemu? Nie chodzi o dostęp do kodu, bo tego nie możecie zdradzić, to jasne. Ale objaśnienie, że system działa w określony sposób i nie daje możliwości dostępu z zewnątrz ale i z wewnątrz banku, bo - tu opis.

3. Dlaczego zagadnienie bezpieczeństwa danych i logowania nie jest jawne, przejżyste? System "weryfikacji behawioralnej" brzmi ładnie. Każdy wie, że to analiza zachowań. Ale opis nie obajśnia i nie uspokaja klientów dlaczego uważacie, że system jest nieomylny. 

4. Co by się musiało stać (lub co klienci powinni zrobić) żeby bank ING rozpatrzył dodatkowy system logowania (dla chętnych, nawet dodatkowo płatny) i poinformował dlaczego go aprobuje i wdroży lub dlaczego jest nieskuteczny i go nie wprowadzi? Konkretnie, bez enigmatycznych wymijających odpowiedzi.

 

To nic osobistego tylko niepokój o moje dane. Do dyskusji skłania mnie zasada ograniczonego zaufania. Bez urazy zatem. Pozdrawaim.

dunhill
Nowy w branży II
Nowy w branży II icon
4
4
24-04-2021
Wiadomość 5 z 8 (1 174 wyświetleń)

Re: Logowanie

@dunhill Informacje dotyczące stosowania tych zabezpieczeń znajdują się w Regulaminie świadczenia usług Systemu bankowości internetowej ING Banku Śląskiego S.A. Pozostałe informacje pozostają naszymi wewnętrznymi regulacjami. O zmianach w tym regulaminie klienci są informowani z wymaganym prawem wyprzedzeniem.

 


***Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
Odpowiedz
0 Lajków
DawidSz
Moderator
Moderator icon
216
44
26-11-2018
Wiadomość 6 z 8 (1 118 wyświetleń)

Re: Logowanie

Dziękuję za odpowiedź. Przypomniałem sobie treść regulaminu.

 

Zgodnie z - Regulamin świadczenia usług Systemu bankowości internetowej ING Banku Śląskiego S.A. obowiązuje od 14 marca 2021 r.:

1. POSTANOWIENIA OGÓLNE § 1 art 2 pkt 41) lit e) - "użycia odpowiednich kluczy informatycznych (klucze U2F),"

Czyli jednak jakoś można używać takich kluczy. Jak?

 

Nadal nie jest dla mnie jasne:

1. Regulamin wspomina o tym, że bank zobowiązuje się do poufności moich danych. W tym loginu i hasła. Jednak zgodnie ze Słownikiem Języka Polskiego - "poufność - dyskrecja, udostępnianie czegoś tylko niewielu osobom". Ok rozumiem, że niewielu pracowników musi mieć taki dostęp. Ale nie odpowiada to na moje obawy. Ochrona opiera się więc na zaufaniu w uczciwość pracowników. Czyli, taki przykład: skoro kradzieże są nielegalne, to znaczy że nikt nie kradnie. To oczywista bzdura prawda?

Tak więc ponawiam pytanie - Skoro bank i jego pracownicy mają mój login i hasło - to co ich powstrzymuje, od czytania moich wrażliwych danych, do których mają dostęp przez Profil Zaufany (zakładany przez bank ING)?

 

2. Regulamin nie określa jednoznacznie jaka instytucja jest odpowiedzialna za bezpieczeństwo moich danych, którymi administruje bank. Można się jedynie domyślać, że chodzi o Ministerstwo Finansów i/lub Ministerstwo Sprawiedliwości. Ale pracownik nie odpowiedział na pytanie tylko odesłał do regulaminu gdzie odpowiedzi nie ma. 

Ponawiam pytanie: Jakie "zewnętrzne podmioty" macie Państwo na myśli? Kto narzuca i weryfikuje system zabezpieczeń? Czy jest dostępny audyt zewnętrzny takiego systemu? Nie chodzi o dostęp do kodu, bo tego nie możecie zdradzić, to jasne. Ale objaśnienie, że system działa w określony sposób i nie daje możliwości dostępu z zewnątrz ale i z wewnątrz banku, bo - tu opis.

 

3. Rozumiem, że bank uważa opis systemu zabezpieczeń, zawarty w regulaminie, za wystarczający. Odpowiedzi na to dlaczego uważacie, że system jest nieomylny, nie uzyskałem. Chociaż w punktach opisujących odpowiedzialność banku można wyczytać, że bank przyjmuje odpowiedzialność za błędy systemu. Czyli może coś pójść nie tak. Więc może lepiej zapobiegać?

 

4. Tu po prostu ponawiam pytanie, bo zostało dwukrotnie całkowicie zignorowane:  Co by się musiało stać (lub co klienci powinni zrobić) żeby bank ING rozpatrzył dodatkowy system logowania (dla chętnych, nawet dodatkowo płatny) i poinformował dlaczego go aprobuje i wdroży lub dlaczego jest nieskuteczny i go nie wprowadzi? Konkretnie, bez enigmatycznych wymijających odpowiedzi.

Chociaż po części jest na to odpowiedź, bo bank działa zgodnie z wymogami prawa. I nic ponad to. Nie wdroży niczego, bo ktoś powiedział, że to wystarczy i nie uzasadni dlaczego uważa, że wystarczy.

 

Pozdrawiam.

 

dunhill
Nowy w branży II
Nowy w branży II icon
4
4
24-04-2021
Wiadomość 7 z 8 (1 088 wyświetleń)

Re.: Logowanie

O samą możliwość wglądu w PUE itp się nie obawiam, nie powinno być systemowej możliwości uzyskania tam dostępu przez pracowników - gdyby tak się okazało to całą aferę frankowiczowksą bank będzie wspominał wręcz miło...

Natomiast szukam sposobu zabezpieczenia zarówno siebie (mimo, że jestem "z branży IT"), ale przede wszystkim rodziców, którzy "ogarniają" trochę mniej. Jako że bank (ten, ale i każdy inny) ma "gdzieś" wprowadzenie sensownych zabezpieczeń przed kolejnymi oszustwami zdarzającymi się zarówno w sieci jak i telefonicznie, nie zabezpiecza swojego systemu przed tym, że ktoś może się podać za konsultanta banku, a klientów z problemami zostawia samym sobie z reguły bez pomocy (tak samo często ignorując zgłoszenia o oszustach, bo to przecież nie sprawa banku). W moim odczuciu jest to współwina, szczególnie, że bank jest beneficjentem takich oszustw (na przykład kredyt wzięty przez oszusta i wyprowadzone pieniądze - a klient ma spłacać - a czy to nie również wina banku, że niewystarczająco sprawdził w przypadku "kredytu na kliknięcie" czy to faktycznie ich klient ten kredyt bierze?), ocenę moralną pozostawiam każdemu z osobna.

Natomiast jest sposób na dodatkowe, na chwilę obecną bardzo pewne i niezłamane, zabezpieczenie. Są to klucze fizyczne, które wymagają pewnej wiedzy "jak użyć" - ale jest to daleko łatwiejsze od "dokształcania" rodziców czy znajomych przy każdym kolejnym pojawiającym się oszustwie, a trzeba przyznać, że kreatywność oszustów znacząco wyprzedza kreatywność sektora bankowego. Dlatego też będę rozważał zmianę banku, bądź polecał taką zmianę na bank, który umożliwia autoryzację logowania oraz operacji bankowych przy pomocy fizycznych kluczy U2F i w pełni podpisuję się pod pytaniami @dunhil. Szczególnie, że regulamin banku takie uwierzytelnianie przewiduje  - czy zatem bank się wywiązuje z umowy? 

Pozdrawiam 

Odpowiedz
0 Lajków
wiadran
Doradca z ambicjami I
Doradca z ambicjami I icon
1
0
22-07-2021
Wiadomość 8 z 8 (48 wyświetleń)
Ostatnie wpisy na forum
Re.: Decyzja o kredycie

36 dni roboczych oczekiwania... To może jednak nie zaginął.

Ciekawe co się dzieje po tych 30 dniach - procedura od początku? Ja składałam od razu z operatem.

23-07-2021
Re.: Decyzja o kredycie

W takiej sytuacji jeżeli został Pani tylko tydzień ważnej decyzji wstepnej a za 2 tygodnie moze przyjsc dopiero decyzja ostateczna to jest ryzyko ze ,,dla bezpieczenstwa" bank moze wydać decyzję negat...

23-07-2021
Re.: Decyzja o kredycie

Ja wniosek złożyłam 11.05 a wstępna decyzję dostałam 30.06
Kazali dosłać 1 dokument i od tamtej pory nadal cisza . Pośrednik poinformowal mnie że operat dostarczył tego samego dnia i teraz to już tylko...

23-07-2021
Najbardziej pomocni użytkownicy