temat Re.: Słabe/mało bezpieczne logowanie do mobilnej ING w Aplikacja mobilna

Słabe/mało bezpieczne logowanie do mobilnej ING

Rafalkup — Mon, 07 Aug 2017 11:15:28 GMT

Witam,

chciałbym zwrócić uwagę twórcom aplikacji na sprawę bezpieczeństwa podczas logowania do mobilnej ING.

Nie wiem jak jest na innych telefonach, ale na Iphone 5s wygląda to tak:

w starej wersji

logowanie dwuetapowe:

1 etap - polegało na wprowadzeniu numeru tworzącego cały LOGIN zaraz po pierwszych trzech literach imienia i nazwiska użytkowanika/wlasciciela konta

2 etap - czterocyfrowy PIN, który nie był widoczny w trakcie wprowadzania

obecna wersja

jednoetapowe logowanie:

1 etap - pierwsze trzy litery imienia i nazwiska wraz z czterocyfrowym numerem stanowiącym całość Logina już są a wystarczy wpisać tylko czterocyfrowy PIN, który niestety jest widoczny w trakcie wprowadzania.

Uważam, że w obecnej wersji, taki sposób logowania jest bardzo słaby, szczególnie w przypadku, gdy wpisując PIN, jest on widoczny dla osób postronnych, czyt. każda cyfra jest widoczna do chwili wbicia kolejnej. Dlatego uważam, że ktoś, kto będzie stał za moimi plecami, może spokojnie odczytać PIN, następnie pod moją nieobecność wziąć mój telefon, odpalić aplikację i spokojnie zalogować się jako "ja" - czy o takie bezpieczeństwo chodziło twórcom ING mobilnej? Wątpie!!

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Konto usunięte — Mon, 07 Aug 2017 15:34:20 GMT

W iPhone możesz ustawić logowanie za pomocą odcisku palca. Zapewne spodziewałeś się takowej sugestii, wiec przejdę dalej. jeżeli uruchamiasz aplikacje finansową, posługujesz się karta,zamykasz dom czy samochód, to warto zadbać o bezpieczeństwo swojego otoczenia.

Wnioskujac po twojej relacji twój telefon nie jest chroniony kodem ani biometrią. Zaczął bym wiec od mniejszego koła by później oceniać bezpieczeństwo swoich partnerów biznesowych.

😏

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Rafalkup — Tue, 08 Aug 2017 06:08:37 GMT

Oczywiscie masz racje co do zabezpieczenia telefonu, ale nie zmienia to jednak faktu, że samo logowanie jest słabe a widoczne cyfry PIN w trakcie wstukiwania, to już troszkę za dużo!

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

AgnieszkaS — Tue, 08 Aug 2017 11:00:54 GMT

Bezpieczeństwo jest dla nas jednym z najważniejszych elementów działania aplikacji. Brak konieczności podawania za każdym razem loginu nie stanowi zagrożenia, ze względu na zabezpieczony proces aktywacji aplikacji. Pierwsze uruchomienie aplikacji wymaga:

- podania loginu,

- podania maskowanego hasła do bankowości elektronicznej,

- podania danych identyfikacyjnych,

- dodania urządzenia do listy zaufanych,

- ustalenia indywidualnego kodu pin,

To tylko niektóre z zabezpieczeń, które chronią Twoje finanse przed nieuprawnionym dostępem.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Rafalkup — Tue, 08 Aug 2017 11:26:00 GMT

Hej Agnieszka,

dzięki za odpowiedź.

"Bezpieczeństwo jest dla nas jednym z najważniejszych elementów działania aplikacji." - myślałem, że najważniejszym.

Jasne..., zgadzam się z Tobą, że przy pierwszym uruchomieniu trzeba przejść przez poszczególne etapy weryfikacji użytkownika by używać aplikacji - 100% racja.

Jedynie zwracam uwagę, na to co potem?! Ja akurat mam zabezpieczony tel. kodem (tak jak wspomniał Source powyżej) i jak narazie jest ok, ale zwyczajnie mnie to zdziwiło, że poszczególne cyfry PIN są widoczne przez 2 sekundy w przypadku gdy nie wpisujesz kolejnej cyfry.

To inaczej zapytam..., czy przy dzisiejszym zaawansowaniu technologicznym, jest możliwość wykorzystania faktu pojawiania się cyfr kodu PIN podczas logowania za pomocą jakiegoś "wscipskiego" oprogramowania?

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

AgnieszkaBin — Sat, 12 Aug 2017 07:30:56 GMT

@Rafalkup Jeżeli chodzi o bezpieczeństwo – to właśnie ~~miałam~~ mieliśmy na myśli. Jest dla nas najważniejsze.

Stale pracujemy nad rozwiązaniami, które chronią Twoje finanse. Aby zapewnić wysoki poziom bezpieczeństwa komunikacja pomiędzy Twoim urządzeniem a bankiem jest szyfrowana protokołem SSL. Wszystkie informacje na temat prawidłowego korzystania z bankowości elektronicznej i mobilnej znajdziesz na naszej stronie.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Rafalkup — Fri, 11 Aug 2017 07:31:04 GMT

Sorry, ale odnoszę wrażenie, że nie czytacie ze zrozumieniem.

Ja piszę swoje a wy swoje.

Rafal

PS. Czy AgnieszkaBin i AgnieszkaS to ta sama osoba?

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

arek — Fri, 11 Aug 2017 13:59:11 GMT

"...czy przy dzisiejszym zaawansowaniu technologicznym, jest możliwość wykorzystania faktu pojawiania się cyfr kodu PIN podczas logowania za pomocą jakiegoś "wścibskiego" oprogramowania?"

Oczywiście że jest, niemniej jeżeli miałbyś już zainstalowane takie "wścibskie" oprogramowanie to fakt, że PIN jest widoczny podczas jego wprowadzania, nie miałby już zupełnie żadnego znaczenia. Takie oprogramowanie mogłoby bez problemu zczytywać z klawiatury wszystko co piszesz, nagrywać Twoje rozmowy (oczywiście bez Twojej wiedzy), podmienić aplikację banku na inną itp. I oczywiście zagrożenie nie dotyczyłoby tylko "Mojego ING", ale każdej innej aplikacji, nie tylko bankowej.

Dobrze, że używasz iOS - to jednak bezpieczniejszy system od Android'a. Jeśli mógłbym coś więcej doradzić to:

Nie root'uj systemu w telefonie, to bardzo obniża bezpieczeństwo systemu (tu pytanie do samego ING, czy ma odpowiednie zabezpieczania w aplikacji, które nie pozwalają na instalację/uruchomienie aplikacji na zrootowanych telefonach, mam nadzieję, że tak jest).
Instaluj wszelkie akutalizacje do iOS i apliakcji, kiedy tylko się pojawią.
Nie korzystaj z otwartych sieci Wi-Fi - np. w kawiarniach itp.
Unikaj raczej kupowania telefonów "no name" z Androidem z Chin.
By skonfigurować swój telefon, tak by był jeszcze bezpieczniejszy, pobierz darmowe przewodniki dot. tego tematu - wiele instytucji rządowych (np. NSA, CIA itp.) udostępnia takie dokumenty dla swoich pracowników - wystarczy wpisać w google "ios hardening". Instrukcje są dla "zwykłych użytkowników", są tam zdjęcia i wystarczy podstawowy angielski by je zrozumieć.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

AgnieszkaBin — Sat, 12 Aug 2017 07:33:53 GMT

@Rafalkup
Wyjaśniamy: @AgnieszkaS i @AgnieszkaBin to różne osoby

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

MarcinB — Wed, 16 Aug 2017 07:49:23 GMT

(tu pytanie do samego ING, czy ma odpowiednie zabezpieczania w aplikacji, które nie pozwalają na instalację/uruchomienie aplikacji na zrootowanych telefonach, mam nadzieję, że tak jest).

Nie rekomendujemy root’owania telefonu. Nie blokujemy jednak możliwości aktywacji naszej aplikacji. Niektóre funkcje aplikacji (np. płatności HCE Mastercard w telefonie) wymagają urządzenia bez roota.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

arek — Wed, 16 Aug 2017 08:54:32 GMT

Wiele banków (np. brytyjski Barclays a nawet chyba nasz rodzimy PKO) blokuje używanie swoich aplikacji na zrootowanych urządzeniach - jest to w interesie zarówno banków jak i samych użytkowników. Ci ostatni mogą przecież nawet nie wiedzieć, że jest to ryzykowne, z kolei Ci biegli w technologiach i tak znajdą triki, które mimo wszystko pozwolą im obejść te zabezpieczenia. Niemniej w przypadku kradzieży z konta, bank ma przynajmniej czyste ręce... Ja bym sugerował przynajmniej dodać stosowne ostrzeżenie podczas instalacji/uruchamiania aplikacji na takim telefonie.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

KamilaC — Thu, 17 Aug 2017 12:49:54 GMT

Dziękujemy za sugestię. Zapewniamy, że bezpieczeństwo jest dla nas najważniejsze. Nie mamy wpływu na urządzenie klienta, natomiast stosujemy inne zabezpieczenia chroniące użytkowników.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Tymcio — Thu, 24 Aug 2017 08:35:17 GMT

Przecież zawsze możesz korzystać z webowej wersji systemu, która wymaga pełnego i "bezpiecznego" logowania, a jest tym samym co aplikacja mobilna

Dla mnie osobiście aktualne rozwiązanie jest świetne i wystarczające - pin lub palec.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

athlon2000 — Mon, 15 Jan 2018 12:52:13 GMT

Czy planujecie wprowadzić dłuższy kod PIN albo blokadę przelewów wykonanych za pomocą aplikacji mobilnej do jakieś ustalonej kwoty?

Nie mówcie, że w tej chwili bezpieczniejsza jest nowa aplikacja od starej bo nie jest.

W starej można było całkowicie zablokować przelewy dowolne poza tym trzeba było wpisać ostatnie 4 cyfry loginu plus pin.

Dobra może ktoś powiedzieć, że kod pin również jest potrzebny do korzystania z bankomatu albo płatności. Tak zgadza się ale można ustalić limit do określonej kwoty.

Czyli jak ktoś odgadnie pin to wyciągnie z bankomatu np 500zł zrobi zakupy do 500zł a za pomocą aplikacji mobilnej zrobi zakupy do max salda.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Konto usunięte — Tue, 16 Jan 2018 05:56:35 GMT

W sekcji bezpieczeństwo (foto. Załącznik) można ustawić jakieś limity.

tak naprawdę,to czego one dotyczą? Przelewów w Bankowości online z wyłączeniem aplikacji?

Czy w aplikacji, po za blik istnieją jakieś limity dla transakcji?.

Kwestia bezpieczeństwa zawsze będzie sporna. Jednych usatysfakcjonuje sama obecność PINu, innych ich długość.

Zapytałem o limity w aplikacji mobilnej gdyż mBank, dostarcza np rozwiązanie, które na dzień dobry pozwala w aplikacji mobilnej na transfery 2k dziennie (o ile pamietam, zawsze mnie to irytowało). Można to oczywiście zmienić za pośrednictwem pełnej bankowości. Ocenę ryzyka, kwestionowania bezpieczeństwa należy kategoryzować na bazie posiadanych danych, Szczerze? Ile przypadków miałeś w rodzinie lub w gronie przyjaciół,czy chocisz tu w społeczności, że okradziony ktoś został za pomocą PINu do akceptowania transakcji?

W banku n26, który jest obecny w chyba 17 krajach, możesz z aplikacji wykonać przelew do 50tyś euro i potwierdzasz go 4 cyframi PINu i one są święte a hasło do bankowości internetowej nie jest nawet maskowane.

Swojego czasu chodziłem na konferencje, spotkania związanymi z IT w Polsce. Oni zawsze zabezpieczali się w taki świetny sposób 2,3 etapowa autoryzacja. Szkoda mi ich było, bo gdy wychodzili z biura nie umieli spojrzeć czy zamykają się do końca za nimi drzwi i wielu traciło prace przez to, było odsuwane od projektów za tego typu głupotę

Sorry za wielowątkowość.

Podsumowujac:

Obawiaj się własnego kolegi, albo menela stojącego za tobą w tramwaju,

lub w kolejce w biedronce. a jeżeli ataku od strony wirtualnej.

Statystyka jaka pozwolę sobie zastosować na przykładzie otoczenia ukazuje ze częściej jesteś ofiara defraudacji budżetu domowego, kradzieży w domu, a eżeli cyfrowego ataku na konto w banku i to jest skala 10000:1

i o dziwo, są zawsze klienci mBanku w ing mamy bezpiecznie.

Re: Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

IlonaU — Tue, 16 Jan 2018 13:11:27 GMT

athlon2000, obecnie nie planujemy zmian, o których piszesz. Dziękujemy za Twoje uwagi. Przekazaliśmy je do działu, który odpowiada za Moje ING mobile.

Gdy instalujesz aplikację na swoim telefonie, prosimy Cię o dodanie urządzeń do zaufanych. Nie zalogujesz się do Mojego ING mobile z innego urządzenia. Podczas aktywacji wymagamy podania Twoich danych oraz wybranych znaków z pełnego hasła do bankowości internetowej. W momencie gdy zgubisz swój telefon, powinieneś w Moim ING usunąć urządzenie z listy zaufanych.
Przy wybranych przelewach możemy poprosić o podwójną autoryzację kodem SMS.

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

tcd — Wed, 19 Apr 2023 16:04:14 GMT

arek

@ Dlaczego chcesz zabronić rootowania? Wystarczy ostrzeżenie. Roota nie robi nikt atechniczny, urządzenia z rootem nieraz mają bardziej bezpieczny system (pokroju Graphene OS, lub LineageOS) pozbawiony spywareu oraz adware'u operatora lub producenta. Tacy użytkownicy stanowią najmniejsze ryzyko że ktoś im się włamie na telefon, czy komputer (gdzie zazwyczaj występuje system Linux).

To mit że root obniża bezpieczeństwo tak w ogóle. Root pozwala (po uprzednim zezwoleniu) na administracyjny dostęp zarówno do Androida, jak i Alpine Linuxa pod spodem.

Istnieje możliwość pobrania wirusa wykorzystującego roota - ale takich wirusów jest także nie za wiele - nikomu nie opłaca się pisać wirusów które wymagają Roota skoro mają go nieliczni, najbardziej świadomi technologicznie użytkownicy. Android po zrootowaniu działa tak samo, i to my decydujemy jakiej aplikacji chcemy tego roota przyznać. Nie jest mniej bezpieczny, za to dzięki niemu możemy np usunąć niepotrzebne aplikacje systemowe, zainstalować globalny bloker reklam, nagrywać rozmowy (tak, niestety do tego potrzebny jest już także root) i zarządzać całością systemu jak w zwykłym komputerze.

Zupełnie się nie zgadzam z praktykami blokowania urządzeń z Rootem, i popieram rozwiązania pokroju Magisk czy VirtualXposed do ich omijania.

Wyświetlanie kodów podczas ich wpisywania to zła praktyka, wystarczy podejrzeć jak inne aplikacje to zrobiły. Dodatkowo PIN jest za krótki, i nie mam możliwości ustawić nawet 6ciu cyfr.

To co warto wprowadzić zamiast weryfikacji roota to wymuszenie blokady ekranu, jak robi to Google Pay.

Aplikacje warto zablokować tym którzy nie ustawili blokady ekranu. Świadomość takich ludzi to po prostu przesada.