temat Re: Re.: U2F - Universal 2nd Factor Authentication w Bankowość internetowa

U2F - Universal 2nd Factor Authentication

Bisti — Sat, 07 Jan 2017 15:19:27 GMT

Czy ING planuje wprowadzić standard zabezpieczeń U2F? Pozwoliło by to w bardzo wygodny i bezpieczny (bezpieczniejszy niż tokeny/SMS) sposób logować się do bankowości internetowej i zatwierdzania operacji?

Poniżej linki iopsujące technologię:

Film na YouTube pokazujący działanie,
Fajny artykuł na Niebezpiecznik.

Re.: U2F - Universal 2nd Factor Authentication

Konto usunięte — Mon, 09 Jan 2017 08:08:05 GMT

Sam interesuje się tym urządzeniem. Gdyby Banki wprowadziły go do autoryzacji to byłby kolejny argument za jego nabyciem.

Popieram propozycję @Bisti.

Re.: U2F - Universal 2nd Factor Authentication

IwonaP — Tue, 10 Jan 2017 11:04:00 GMT

@Bisti Jak najbardziej pracujemy nad nowymi sposobami autoryzacji i autentykacji. System, o którym piszesz jest tylko jednym z dostępnych rozwiązań. Bank jest instytucją szczególnego zaufania, tym bardziej dokładnie musimy przeanalizować "+" i "-" wrdażanych systemów.

Re.: U2F - Universal 2nd Factor Authentication

Jacekb — Mon, 01 May 2017 03:36:18 GMT

Odgrzeje kotleta. ING jest board level member w FIDO alliance ( To oni stworzyli protokół U2F) a do tego piszą na stronie: "We support FIDO authentication and its advancement globally, because it’s an open, scalable and interoperable framework that can support the current and future authentication needs of our customers and the industry.” (https://fidoalliance.org/participate/members) tak wiec pytanie nie powinno brzmieć: czy ING planuje wdrożyć u2f? Tylko: gdzie w ustawieniach włączyć obsługę U2F.

Re.: U2F - Universal 2nd Factor Authentication

robertmeka — Mon, 12 Jun 2017 21:57:41 GMT

Świetny pomysł z U2F. Proszę wprowadźcie to

Re.: U2F - Universal 2nd Factor Authentication

grzesiek — Thu, 22 Mar 2018 06:44:38 GMT

Odświeżam temat. Czy ING planuje wprowadzić logowanie z udziałem u2f?

Jest to wiele bezpieczniejszy sposób niż dotychczasowe opcje.

Re: Re.: U2F - Universal 2nd Factor Authentication

AgnieszkaBin — Thu, 22 Mar 2018 12:49:00 GMT

Nie planujemy takiego wdrożenia. Zachowujemy dotychczasowe dające bardzo wysoki poziom bezpieczeństwa.

Re: Re.: U2F - Universal 2nd Factor Authentication

Bisti — Thu, 22 Mar 2018 13:36:23 GMT

Wysoki, ale nie tak bardzo jak to ma miejsce w przypadku U2F. Z żalem oznaczam odpowiedź pani Agnieszki jako "rozwiązanie".

Re: Re.: U2F - Universal 2nd Factor Authentication

rs2065 — Fri, 07 Dec 2018 11:09:36 GMT

W kontekście coraz większych problemów, ponawiam zapytanie, nie "czy" ale "kiedy" wdrożycie standard U2F.

Doskonale zdajecie sobie sprawę z tego jakie potencjalne zagrożenia czekają na użytkowników serwisów

bankowych i że może się to wiązać z utratą pieniędzy klientów. Chowanie głowy w piasek i stwierdzenie,

że jesteśmy bezpieczni nie dodaje powagi, choćby w kontekście ostatniego przypadku awarii wszystkiego.

Problem się nasila i pójście drogą rozwoju powinno być w interesie banku a przede wszystkim jego klientów.

Re: Re.: U2F - Universal 2nd Factor Authentication

WiolettaS — Mon, 10 Dec 2018 07:06:47 GMT

Obecnie analizujemy rozwiązanie jakim jest U2F – jeżeli zaplanujemy jego wdrożenie, odpowiednio wcześniej poinformujemy o tym naszych klientów.

Re: Re.: U2F - Universal 2nd Factor Authentication

Bisti — Wed, 13 Feb 2019 12:19:25 GMT

Czy są już może jakieś efekty tej analizy? Cokolwiek? SMS to żadne zabezpieczenie bo jak pokazuje wiele przykładów, wyrobienie duplikatu karty SIM przez złodzieja to żaden problem. Aplikacja na Androida jest fajna ale przy takiej ilości złośliwych aplikacji na Play Store konieczne by było posiadanie dedykowanego telefonu do spraw bankowych. Czy naprawdę musi dojść do jakiejś spektakularnej kradzieży aby temat się ruszył?

Re: Re.: U2F - Universal 2nd Factor Authentication

wojciech — Wed, 13 Feb 2019 12:52:39 GMT

Przyłączam się do pytania - używam tokenu yubikey od dawna i bardzo sobie chwalę. Aktualnie rozważam usunięcie aplikacji mobilnej (i może nawet dedykowany telefon do weryfikacji transakcji).

Niezmiennie ubolewam, że nie można wymusić weryfikacji każdego przelewu (może za wyjatkiem zatwierdzonych "wzorców") :/

Re: Re.: U2F - Universal 2nd Factor Authentication

MonikaC — Thu, 14 Feb 2019 12:48:12 GMT

Dziękuję za Wasze uwagi. Obecnie nadal analizujemy tę metodę. Jak będziemy mieli nowe informacje i będziemy wdrażać nowe rozwiązania, to poinformujemy Was o tym.

Re: Re.: U2F - Universal 2nd Factor Authentication

wk — Wed, 06 Mar 2019 20:34:32 GMT

Również przyłączam się do prośby o U2F (lub nowszej, wstecznie kompatybilnej wersji: WebAuthentication). To obecnie najwyższy standard bezpieczeństwa. A sytuacja, że moja poczta w Gmail jest lepiej chroniona niż pieniądze jest lekko absurdalna.

Skoro już jesteśmy w temacie bezpieczeństwa logowania to ukazał się ostatnio artykuł o logowaniu używanym w ING Polska: https://gaevoy.com/2019/03/06/partial-password-sucks.html mocno krytykowany (mechanizm logowania, nie artykuł) przez techniczną społeczność: https://news.ycombinator.com/item?id=19321619

Re: Re.: U2F - Universal 2nd Factor Authentication

MonikaC — Thu, 07 Mar 2019 17:44:25 GMT

Nadal analizujemy możliwość wykorzystania U2F oraz innych metod uwierzytelnienia. Obecnie nie planujemy zmieniać formy wprowadzania hasła.

Re: Re.: U2F - Universal 2nd Factor Authentication

wojciech — Thu, 07 Mar 2019 17:50:02 GMT

Kontakty z bankiem można opisać typową chilijską odpowiedzią: "sii... pero no" (taaaak... ale nie). Generalnie pisanie na tym forum z sugestiami nie ma najmniejszego sensu.

Re: Re.: U2F - Universal 2nd Factor Authentication

yossarin77 — Thu, 23 May 2019 21:25:01 GMT

Tym czasem pojawiają się nowe metody hacków i autoryzacja przez SMS naprawdę staje się niezbepieczna

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

najgorsze jest to że złodzieje mogą w naszym imieniu zaciągnąć kredyt, więc zostawienie nawet niskiego salda nie zabezpiecza przed utratą znacznych środków.

czy macie jakieś nowe informacje w tej sprawie?

Re: Re.: U2F - Universal 2nd Factor Authentication

wojciech — Thu, 23 May 2019 22:22:41 GMT

@yossarin77:
Tym czasem pojawiają się nowe metody hacków i autoryzacja przez SMS naprawdę staje się niezbepieczna
https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

najgorsze jest to że złodzieje mogą w naszym imieniu zaciągnąć kredyt, więc zostawienie nawet niskiego salda nie zabezpiecza przed utratą znacznych środków.
czy macie jakieś nowe informacje w tej sprawie?

EKHM, pomstuję na ING ile się da (pozdrowienia ) i chętnie zobaczyłbym sprzętowe 2FA w ING, ale...
* portowanie numeru/wydawanie duplikatu karty sim w Polsce jest.... u***liwe (delikatnie rzecz ujmując) i ktos by się faktycznie musiła dobrze przygotować i dysponować dobrą podróbką DO (albo był jakiś przekręt w salonie)

* ww opisany problem dotyczy portfela kryptowalut, które mają pewnie śmieszne zabezbieczenia - akurat tutaj ING (I inne banki w Polsce) są dosyć czujne i o dziwo dosyć sprawnie wykrywają podejrzane transakcje: dodatkowa weryfikacja telefoniczna (chociaż tutaj można znać doklładnie dane do weryfikacji) + obostrzenia w przypadku większych przeleów...

Re: Re.: U2F - Universal 2nd Factor Authentication

Bisti — Tue, 30 Jul 2019 09:00:24 GMT

ING zmieniliście już zdanie, czy nadal czekacie na jakąś spektakularną kradzież?

https://niebezpiecznik.pl/post/areszt-dla-polskich-sim-swaperow-ktorzy-kupowali-zloto/

Re: Re.: U2F - Universal 2nd Factor Authentication

AgnieszkaS — Wed, 31 Jul 2019 09:44:00 GMT

Analizujemy możliwe rozwiązania. O szczegółach będziemy informowali na bieżąco.