https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/18747#M3715 <P>misiegz, aleś wymyślił skomplikowany algorytm <img id="smileywink" class="emoticon emoticon-smileywink" src="https://spolecznosc.ing.pl/i/smilies/16x16_smiley-wink.png" alt="Emotikon: Mrugający" title="Emotikon: Mrugający" />)))))))))</P> Sun, 17 Mar 2019 09:59:56 GMT zett1 2019-03-17T09:59:56Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/16267#M3357 <P>Cześć i czołem,</P><P>ING ponoć jest członkiem FIDO Alliance. Zaiste wpisywanie wybranych znaków, zamiast całego hasła podnosi poziom bezpieczeństwa, ale wystarczą trzy próby i już możliwie jest wygarnięcie całego hasła w ataku MIDM, czy nawet phishingowym podkładaniu lewej witryny.</P><P>Logowanie z pomocą klucza U2F znacznie podnosi bezpieczeństwo w takich przypadkach, wręcz uniemożliwia ataki phisingowe. Nawet dodanie głupiego 8 cyfrowego OATH-HOTP z trzykrotnym generowaniem byłoby jakimś utrudnieniem.</P><P>Google po dwóch latach analizowania systemu U2F zachwala te modę i reakcję na jej wdrożenie przez użytkowników.</P><P><A href="http://fc16.ifca.ai/preproceedings/25_Lang.pdf" target="_blank">http://fc16.ifca.ai/preproceedings/25_Lang.pdf</A></P><P>Klucze to prosty, tani (zależy), łatwy w obsłudze i zachowujący prywatność system weryfikacji dwuetapowej.</P><P>&nbsp;</P><P>Można nawet wdrożyć możliwość (wedle woli) jednego klucza do logowania, a drugiego do autentykacji transakcji.</P><P>&nbsp;</P><P>Google wspiera, Facebook wspiera (ba, nawet wziąłbym od nich funkcjonalność szyfrowania maili z pomocą przesłanego im klucza PGP), GitHub wspiera, Windows wspiera, Apple wspiera, DropBox wspiera, GNU/Linuxowe dystrybucje wspierają.</P><P>&nbsp;</P><P>Już nie tylko Chrome, ale też Opera (która zaczęła bazować na Chromium)</P><P>&nbsp;</P><P>TLDR;</P><P>U2F jest spoko, czemu by nie dać takiej możliwości klientom?</P> Thu, 06 Sep 2018 08:53:53 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/16267#M3357 Pomian 2018-09-06T08:53:53Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/16282#M3361 <P>Bezpieczeństwo jest dla nas priorytetem, dlatego też&nbsp;analizujemy i weryfikujemy metodę bezpieczeństwa którą przytoczyłeś powyżej. Nie wykluczamy wprowadzenia jej w przyszłości. Dziękujemy Ci za Twoje zwrócenie uwagi na tak istotne dla nas kwestie <img id="smileyhappy" class="emoticon emoticon-smileyhappy" src="https://spolecznosc.ing.pl/i/smilies/16x16_smiley-happy.png" alt="Emotikon: Szczęśliwy" title="Emotikon: Szczęśliwy" /></P> Fri, 07 Sep 2018 09:06:20 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/16282#M3361 ŁukaszW 2018-09-07T09:06:20Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/16390#M3374 <P>ostatnio sie naczytalem o okradaniu kont internetowych bankow, gdzie kondy transakcji sa przesylane smsem.&nbsp; A zlodzieje maja zainstalowany program na komorce (w jakims gownianej apce) co przechwytuje smsy...albo robia duplikat karty SIM (podrobiony dowod albo notarialne upowaznienie...)</P><P>&nbsp;</P><P>Jak dla mnie wystarczyloby aby na kodzie SMSowym przeslanym na komorke dokonac prostej operacji matematycznej i dopiero jej wynik bylby kodem transakcji.</P><P>&nbsp;</P><P>np. kod SMS 123456 + 202020 = 325476 i to wpisujemy dla potwierdzenia transakcji....nawet jakby ktos uzywal kalkulatora a nie swojego mozgu.</P><P>&nbsp;</P><P>oczywiscie nie jest to idealne zabezpieczenie, ale jest. Przechwycenie kodu sms nie umozliwia autoryzacji transakcji trzeba jeszcze troche arytmetyki.</P> Sat, 15 Sep 2018 22:11:01 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/16390#M3374 misiekzg 2018-09-15T22:11:01Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/16416#M3375 <P>Obawiam się, że oszuści również poradziliby sobie z rozwiązaniem tego zadania&nbsp;<img id="smileyvery-happy" class="emoticon emoticon-smileyvery-happy" src="https://spolecznosc.ing.pl/i/smilies/16x16_smiley-very-happy.png" alt="Emotikon: Bardzo szczęśliwy" title="Emotikon: Bardzo szczęśliwy" /></P> Wed, 19 Sep 2018 14:41:29 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/16416#M3375 Pomian 2018-09-19T14:41:29Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/18747#M3715 <P>misiegz, aleś wymyślił skomplikowany algorytm <img id="smileywink" class="emoticon emoticon-smileywink" src="https://spolecznosc.ing.pl/i/smilies/16x16_smiley-wink.png" alt="Emotikon: Mrugający" title="Emotikon: Mrugający" />)))))))))</P> Sun, 17 Mar 2019 09:59:56 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/18747#M3715 zett1 2019-03-17T09:59:56Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/34465#M5977 Kiedy w ing dla konto indywidualnych pojawi sie 2fa? nadal logowanie odbywa sie w oparciu o login i hasło. To niedorzecze ze strony "banku" ing, zwłaszcza, że tak wiele osób chce mieć możliwość logowania w trybie 2fa. Wed, 15 Sep 2021 04:00:15 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/34465#M5977 informol 2021-09-15T04:00:15Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/34476#M5979 <P>Logowanie do naszych systemów jest zgodne z wymaganiami PSD2. W przeglądarce jest to login i hasło oraz kod sms, który wysyłamy do klientów, gdy system zdecyduje, że jest to konieczne. W&nbsp;aplikacji mobilnej wymagamy logowania z zaufanego urządzenia z podaniem kodu PIN lub danych biometrycznych. Czasami poprosimy również w tym przypadku o kod, który wyślemy w wiadomości sms. W najbliższym czasie nie planujemy zmian w tym zakresie, ale Twoje sugestie przesłaliśmy do zespołu, który opiekuje się u nas tym tematem.&nbsp;</P> <P>&nbsp;</P> Thu, 16 Sep 2021 04:37:06 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/34476#M5979 MartaK 2021-09-16T04:37:06Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/36411#M6301 <P>Jako klientowi ING także brakuje mi autoryzacje kluczem U2F. Wiadomości tekstowe są łatwiejsze do przechwycenia, a takze przy dobrze skonstruowanym ataku fishingowym nie chronią one w ogóle użytkownika - gdyż tak jak można wyłudzić od człowieka hasła, tak mozna i kod. Klucza U2F już nie, bo fizycznie znajduje się w naszym posiadaniu.</P><P>Pozdrawiam&nbsp;</P> Thu, 17 Mar 2022 17:16:51 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/36411#M6301 wiktor-obrebski 2022-03-17T17:16:51Z https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/36418#M6305 <P>Dziękuję za Twoją opinię w tej sprawie. Przekazałem ją do zespołu, który zajmuje się u nas bezpieczeństwem.</P> Fri, 18 Mar 2022 17:24:16 GMT https://spolecznosc.ing.pl/-/Bankowo%C5%9B%C4%87-internetowa/Weryfikacja-dwuetapowa-podczas-logowania-do-banku-OATH-HOTP/m-p/36418#M6305 MateuszF 2022-03-18T17:24:16Z