temat Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej! w Aplikacja mobilna

Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

b9MSJPa9brrw7BS — Wed, 05 Jul 2023 12:11:37 GMT

Cześć,

każdy kto zastanawia się nad aktywacją klucz U2F w ING niech się zastanowi czy na pewno ZAWSZE ma klucz przy sobie. NIE DA SIĘ dodać urządzenia do zaufanych. Klucz jest wymagany ZAWSZE. Stoisz w kolejce w kasie, chcesz zapłacić BLIKiem ? Bez klucza U2F nie ma szans. Dosłownie każde logowanie do aplikacji wymaga klucza U2F. ING w ogóle nie przemyślało tej sprawy, aplikacja mobilna przestanie być mobilna w momencie aktywacji klucza U2F. Skorzystać z niej można tylko gdy mamy klucz pod ręką...

I o ile jest to rozwiązanie meeeeeega bezpieczne, to niestety jak dla mnie nie da się z tego korzystać. Oczywiście da się aktywować klucze U2F tylko dla serwisu WWW, ale wtedy to nie ma żadnego sensu.

ING proszę dodajcie możliwość dodania urządzenia mobilnego do zaufanych, tak by do logowania do aplikacji można było używać biometrii. Obecnie nie dość, że muszę użyć biometrii to jeszcze dodatkowo użyć klucza U2F. Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować.

Obecnie w procesie rejestracji aplikacji JEST WYMAGANY klucz U2F. Po co więc dodatkowo używać go przy absolutnie każdym logowaniu ? W ustawieniach mój telefon nazywacie urządzeniem zaufanym, a i tak żeby się zalogować do apki muszę użyć i biometrii i klucza U2F. Przecież smartfon i tak musi mieć blokadę ekranu + aplikacja ING ma blokadę PIN / biometria, więc co daje ten kolejny krok ?

W procesie aktywacji klucza ING za to mogę się przyczepić do tego, że 2 razy używamy tej samej metody autoryzacji - po co ? Najpierw dodajemy klucz, potwierdzamy kodem SMS, a później go aktywujemy znowu kodem SMS (w aplikacji mobilnej za to przy dodawaniu klucza trzeba wpisać 2x ten sam PIN). Tutaj mam pytanie do ING w jaki sposób przepisanie 2x kodu SMS lub wpisanie 2x tego samego kodu PIN ma zwiększyć bezpieczeństwo ? Nie dość, że sesja musi być autoryzowana kluczem U2F to jeszcze trzeba użyć 2x metody autoryzacji. Jeśli już tak mocno chcecie to zabezpieczać to zróbcie tak, żeby był wymagany 1 kod SMS i i 1 autoryzacja w aplikacji zarówno przy dodawaniu przez www jak i przez apkę, wtedy to jeszcze by miało trochę sensu.

A na koniec, ING posiadając tak zabezpieczoną aplikację, która do każdego użycia wymaga klucza U2F do autoryzacji operacji i tak używa kodów SMS. Są chyba ostatnim zacofanym Bankiem pod tym względem, który nie umożliwia zmiany metody autoryzacji na aplikację mobilną...

Podsumowując tego mega długiego posta ING proszę dajcie możliwość dodać aplikację mobilną do urządzeń zaufanych przy korzystaniu z U2F oraz pozwólcie w końcu korzystać z autoryzacji w aplikacji Moje ING (bez kodów SMS)

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

b9MSJPa9brrw7BS — Wed, 05 Jul 2023 12:34:58 GMT

Dodam jeszcze, że śmieszne jest to, że jak się oszust zaloguje i zleci przelew to wszystko jest " OK ", ale żeby zwiększyć bezpieczeństwo konta i dodać U2F trzeba iść do placówki, bo to już jest groźniejsze niż zostanie okradzionym...
Oczywiście jest za dodatkową weryfikacją, ale jeśli konto da się założyć na selfie to dlaczego w podobny sposób nie można autoryzować dodania kluczy U2F ? Albo np zeskanowanie e-dowodu ?

Oczywiście w placówce to dosłownie 5 minut roboty, dzisiaj byłem umówiony na spotkanie, pracownik bardzo spoko, aktywował w 3-4 minutki + dla pewności przetestowałem czy wszystko działa na swoim prywatnym sprzęcie, łączy czas pobytu w ING to dosłownie 5 min, więc tutaj duży plus. Pracownicy ING za to wprowadzają w błąd, bo na czacie informuję, że koniecznie trzeba zabrać klucz U2F ze sobą, powiem z doświadczenia, że jak go się wcześniej doda to w placówce wystarczy sam dowód osobisty.

Z ciekawostek dodam, że każde logowanie przez www wymaga loginu + hasła maskowanego + wpisanie PIN do klucza U2F + dotknięcie klucza. Nie wiem od czego to dokładnie zależy bo np logując się do Google wystarczy samo dotknięcie klucza. Używając za to klucza w smartfonie to wystarczy samo przyłożenie w przypadku NFC lub dotknięcie w przypadku USB, wtedy PIN nie jest wymagany.

Z innych rzeczy to jak na kilka godzin posiadania klucza U2F to na pewno trzeba przyznać, że mają te logowanie i dodawanie klucze NIE DOPRACOWANE, aplikacja nie raz się zawiesza przy użyciu klucza, trzeba ją zrestartować i od nowa przyłożyć klucz, przy dodawaniu klucza nie zawsze udaje się go dodać za pierwszym razem, wyskakują różne błędy i trzeba po kilka razy próbować, nawet aplikację przeinstalowałem, ale dalej są sytuacje, gdzie smartfon pokazuje poprawne odczytanie klucza NFC, a aplikacja ING prosi o ponowne jego użycie. Rozumiem, że mają to dopiero od 2 dni, ale chyba w ogóle tego nie przetestowali. A urządzenie na którym mam problem to moim zdaniem nie najgorszy sprzęt- Samsung S23, klucze Yubico czarne...

I chyba ostatnia mega dziwna rzecz, klucze osobno dodaje się dla aplikacji osobno dla www, a w ustawieniach widzi je się wszystkie razem. Nie widzę, żadnego sensu oddzielnej rejestracji. Przecież jak rejestruje klucz np po USB to od razu działa w nim też NFC, więc po co rejestrować go osobno w aplikacji i osobno przez www....

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

MateuszS — Thu, 06 Jul 2023 18:52:58 GMT

Dziękuję za Twoje sugestię w tej sprawie. Przekażę je do odpowiedniego działu w naszym banku.

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Kot — Sat, 15 Jul 2023 11:07:19 GMT

Witam. Do wersji przegladarkowej dodałem 2 klucze bez problemu. W oddziale ING aktywowano mi klucze, i wszystko działa super. Nie mogę niestety dodać tych kluczy do wersji mobilnej ING. Prób dodania było około 20, także przy pani mnie obsługującej w oddziale Banku ( 2 wizyty ). Klucz ma obsługę NFC. Pomóżcie mi w tej sprawie

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Kot — Sun, 16 Jul 2023 06:47:42 GMT

Jeszcze dane telefonu. Realme GT 2 PRO, Android 13 , stopień zabezpieczeń 5 czerwca 2023. Oraz najnowsza wersja aplikacji mobilnej ING

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

MateuszF — Sun, 16 Jul 2023 08:04:42 GMT

Prosimy, napisz do nas w tej sprawie na czacie w Moim ING. Sprawdzimy to dokładnie i jeśli nie będziemy mogli pomóc przyjmiemy odpowiednie zgłoszenie w celu wyjaśnienia tej sytuacji. Czat jest dostępny w dni robocze 8-24 i w soboty 8-22.

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

stanleyipkis — Sun, 30 Jul 2023 14:56:02 GMT

Ten sam problem, yubikey 5 chyba jeszcze nie współpracuje z ing...

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Kot — Sun, 30 Jul 2023 15:38:13 GMT

Witam. Na jednym telefonie bez problemu sparowałem 2 klucze U2F . To był telefon marki Xiaomi. Tą samą aplikację mam na drugim telefonie ( Realne GT 2 Pro ), i tu niestety nie mogę otworzyć aplikacji, mimo że jest komunikat że wszystko jest w porządku. Telefon kilka razy restartowałem. Moduł NFC był włączony, klucze zarejestrowałem osobiście w siedzibie banku,i nic z tego. Pytanie dlaczego? Doradzcie. Dziękuję

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

SebastianM — Mon, 31 Jul 2023 15:50:55 GMT

Napisz do nas w tej sprawie na czacie w MoimING. Tutaj, niestety, nie możemy tego sprawdzić. Jeśli sprawa będzie wymagała konsultacji, wyślemy odpowiednie zgłoszenie do działu technicznego.

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Joker — Fri, 04 Aug 2023 07:50:56 GMT

Witam,

uwagi do powyższych uwag b9MSJPa9brrw7BS

"ING w ogóle nie przemyślało tej sprawy, aplikacja mobilna przestanie być mobilna w momencie aktywacji klucza U2F. Skorzystać z niej można tylko gdy mamy klucz pod ręką..."

Dlaczego aplikacja miałaby przestać być mobilną tylko z uwagi na dodanie kolejnej warstwy ochrony w postaci klucza? Przecież to tylko kolejny etap do weryfikacji

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

"W ustawieniach mój telefon nazywacie urządzeniem zaufanym, a i tak żeby się zalogować do apki muszę użyć i biometrii i klucza U2F. Przecież smartfon i tak musi mieć blokadę ekranu + aplikacja ING ma blokadę PIN / biometria, więc co daje ten kolejny krok ?"

O ile mi wiadomo - klucz do aplikacji mobilnej dodaje się osobno. Nikt nie zmusza Cię do używania yubikeya z telefonem.

"A na koniec, ING posiadając tak zabezpieczoną aplikację, która do każdego użycia wymaga klucza U2F do autoryzacji operacji i tak używa kodów SMS. Są chyba ostatnim zacofanym Bankiem pod tym względem, który nie umożliwia zmiany metody autoryzacji na aplikację mobilną..."

Dlaczego kody SMS mają świadczyć o zacofaniu? Nie mogłoby na przykład być tak, że autoryzujemy operację kodem sms + aplikacją mobilną?

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Joker — Fri, 04 Aug 2023 08:13:06 GMT

uwagi do powyższych uwag b9MSJPa9brrw7BS c.d.

"Dodam jeszcze, że śmieszne jest to, że jak się oszust zaloguje i zleci przelew to wszystko jest " OK ", ale żeby zwiększyć bezpieczeństwo konta i dodać U2F trzeba iść do placówki, bo to już jest groźniejsze niż zostanie okradzionym..."

Ale przecież właśnie chodzi o to, żeby atakujący nie mógł się na Twoje konto zalogować. Dlatego musisz iść osobiście do banku, żeby uwierzytelnić swój klucz - po to, żeby atakujący po przejęciu Twojego loginu i hasła nie mógł dodać własnego klucza i odciąć Cię od Twojego konta.

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

artsssss — Wed, 27 Sep 2023 13:30:52 GMT

@Joker:

"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.

to chyba dotyczy tylko Androida. W sumie na iphone może się zdarzyć. Ale nadal, jak ktoś zautoryzuje się w aplikacji kluczem raz, prawidłowo, to jaki kłopot, aby przez jakiś czas działała ta aplikacja bez podawania klucza ponownie? np. do następnej aktualizacji chociażby. Faceid powinno wystarczyć wtedy. Rozumiem zwiększone bezpieczeństwo jak zawsze trzeba klucz, ale dla mnie to już over-security. Przy zaufanej apce raz dobrze zautoryzowanej, możnaby co jakiś czas wymagać klucza imho.

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

artsssss — Wed, 27 Sep 2023 13:35:45 GMT

@b9MSJPa9brrw7BS:
Oczywiście jest za dodatkową weryfikacją, ale jeśli konto da się założyć na selfie to dlaczego w podobny sposób nie można autoryzować dodania kluczy U2F ? Albo np zeskanowanie e-dowodu ?

bo to najbardziej "pewna" metoda weryfikacji tożsamości i dodanie klucza pierwszy raz wymaga tego - w przeciwnym razie ktoś mógłby zrobić jakiś scam online i dodać swoje klucze do czyjegoś konta i odciąć prawowitego właściciela kompletnie. Raz pójście do oddziału w tym przypadku oceniam jako nie nadmierna uciążliwość względem powodów.

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

artsssss — Sun, 10 Dec 2023 12:36:53 GMT

@Joker:
[...]
"Klucz U2F powinien zabezpieczać proces REJESTRACJI aplikacji, tak żeby nikt nie mógł się pod nas podszyć i nawet znając login + hasło + kody autoryzacyjne nie mógł się zalogować."

Niestety pojawiły się już historie mówiące o pojawiających się aplikacjach w formie nakładki na mobilne aplikacje bankowe. Więc klucz tylko przy rejestracji aplikacji bankowej nie wystarczy.
[...]

Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie (tak upraszczając).
Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana.
Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.

Niech ktoś proszę ze strony Banku wyjaśni tę funkcjonalność i wyjaśni mi, jaki to ma sens, no albo jakiego nie ma? Tylko wyjaśnienie że to jest "bezpieczniejsze" nie jest sensowne. Równie dobrze można powiedzieć, żeby nie używać aplikacji i telefonów, bo to też bezpieczniejsze. A nie o to chodzi. Proszę też o info czy są plany na złagodzenie konieczności posiadania klucza przy każdorazowym logowaniu do aplikacji?

Dziękuję za informacje
Artur

Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

Joker — Tue, 12 Mar 2024 10:34:15 GMT

Czyli jednak pomaga likwidować zagrożenia

Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana.

Skąd pewność, że to prawdziwa aplikacja? Nawet jeśli zarejestrujesz ją kluczem U2F skąd będziesz wiedział, że np. przez jakiś backdoor w telefonie nie podmienił Ci jej na fałszywą. Logując się na serwery banku masz po prostu gwarancję, że bez tego klucza przestępca nie zaloguje się na Twoje konto. Oprócz kontrolą nad Twoim smartfonem musi mieć jeszcze Twój klucz.

Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.

Dla Ciebie nic nie wnosząca a dla mnie i innych jak najbardziej podnosząca bezpieczeństwo. Nawiasem mówiąc trochę sam sobie przeczysz skoro piszesz, że szala przesunęła się w stronę bezpieczeństwa. Skoro uważasz, że klucz odbiera Ci wygodę - po prostu z niego nie korzystaj i tyle. Możesz uważać, że to absurd a jednak ludziom coraz częściej znikają pieniądze z konta.

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

3ehu — Wed, 09 Oct 2024 20:44:29 GMT

Dzień dobry,

Czy bank planuje cokolwiek zmienić na podstawie tych sugestii ?
po ponad roku od wprowadzenia używanie kluczy u2f w ING jest nadal bez sensu...

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

f0ku5 — Thu, 10 Oct 2024 08:00:51 GMT

Raczej nie, ING wie wszystko lepiej

Re: Re.: Ostrzeżenie przed aktywacją U2F w aplikacji mobilnej!

MateuszF — Thu, 10 Oct 2024 12:46:41 GMT

Dziękujemy za opinię. Aktualnie nie planujemy zmian w tym zakresie.