temat Re: Re.: Pomysły: zmiana sposobu logowania w Bankowość internetowa

Pomysły: zmiana sposobu logowania

minder — Sat, 19 Dec 2020 11:14:55 GMT

Logowanie z maskowanym hasłem jest reliktem poprzedniej epoki i jest problemem z punktu widzenia zarówno UX jak i bezpieczeństwa.

Może na początek kwestia bezpieczeństwa maskowania:

PLUSY: zabezpiecza przed keyloggerami

MINUSY: wymaga pamiętania hasła, znacząco wydłuża proces logowania

DYSKUSYJNE: zniechęca do korzystania z bankowości przez przeglądarkę, zamiast keyloggera może być innego rodzaju złośliwe oprogramowanie, np. podmieniające numer konta.

Na początek proponuję, by użytkownik mógł wybrać sobie metodę logowania. Domyślnie można by nawet zostawić maskowanie, a zmianę opatrywać ostrzeżeniem - jeśli bankowi spece nadal uważają maskowanie za najbezpieczniejsze.

Najbardziej oczywistym sposobem jest logowanie z pełnym hasłem. PLUSY: można używać managera haseł do przyspieszenia logowania. MINUSY: nie broni przed keyloggerami

Aby dodatkowo zabezpieczyć logowanie pełnym hasłem, należałoby wprowadzić logowanie dwuskładnikowe na nieznanych komputerach. I tutaj do wyboru:

- sprzętowy token (cokolwiek w standardzie FIDO U2F, osobiście polecam Trezor Model T)

- Authenticator app

- SMS

- potwierdzenie w aplikacji ING mobile

W ten sposób osiągamy poziom zabezpieczeń zgodny z aktualnymi standardami bezpieczeństwa. Jeśli klient loguje się z nieznanej przeglądarki, prosimy o drugi składnik i dajemy możliwość zapamiętania przeglądarki (domyślnie odznaczone). Warto przypomnieć, że macie wdrożony trzeci składnik logowania czyli AI, to też może mieć znaczenie.

Podobnie przy potwierdzaniu przelewów - jeśli AI wykryje anomalie, niech prosi o drugi składnik - nie tylko SMS, ale klucz FIDO czy potwierdzenie przez apkę mobilną też powinno być akceptowane. Zresztą ze względu na możliwość wrogiego przechwycenia numeru telefonu, to właśnie SMS powinien być ostatecznością.

Warto skonsultować powyższe propozycje z zewnętrznymi ekspertami od bezpieczeństwa oraz podejrzeć rozwiązania w innych bankach

Re.: Pomysły: zmiana sposobu logowania

JoannaLBN — Sat, 19 Dec 2020 19:17:15 GMT

@minder, hasło maskowane możesz wprowadzać jednym kliknięciem. Napisz sobie bookmarklet w javascript i wtedy na własną odpowiedzialność będziesz ponosił ryzyko tego że hasło masz zapisane w bookmarkach/zakładkach (zresztą to hasło też może być tam przechowywane zaszyfrowane). Rozwiązanie jest nietypowe więc jest bardzo znikome ryzyko że napastnik mógłby to hasło znaleźć (a przecież to tylko samo hasło bez loginu i bez nazwy domeny bo to Ty decydujesz kiedy należy kliknąć taki bookmarklet).

Re: Pomysły: zmiana sposobu logowania

IlonaU — Sun, 20 Dec 2020 05:51:06 GMT

minder Dziękujemy za Twoje spostrzeżenia. Przyjrzymy się temu.
Przekazałam Twój wpis do odpowiedniego zespołu.

Re.: Pomysły: zmiana sposobu logowania

minder — Sun, 20 Dec 2020 23:14:54 GMT

Bookmarklet to nie jest to samo, co trzymanie hasła w LastPass lub podobnym serwisie. Przyznam jednak, że zaciekawiła mnie ta metoda i przyjrzę się jej bliżej, dzięki.

Re.: Pomysły: zmiana sposobu logowania

buc — Sun, 28 Nov 2021 20:39:59 GMT

Jestem zaskoczony zmuszaniem do hasła maskowanego. Korzystam z managera haseł Keepass, założyłem konto ustawiam hasło, wygenerowałem 30 znakowe ze znakami specjalnymi, zapisałem.

Loguje się pierwszy raz, a tu mi maska wyskakuje. Policzyć te znaki z maski na haśle maskowanym to jest porażka. Oczywiście zmusiło mnie to do zmiany hasła na krótsze, słownikowe, tak abym mógł się logować w sensownym czasie i nie musieć wyświetlać na ekranie do policzenia odpowiednich znaków.
Porażka

Re.: Pomysły: zmiana sposobu logowania

dawidd — Tue, 14 Dec 2021 13:47:37 GMT

TAK, PROSZĘ ZMIEŃCIE TO )

To jest jedyny powód dla którego założyłem konto w mbanku, żeby łatwiej logować się do profilu zaufanego, logując się przez ING już dawno bym oszalał.

Korzystam z 1password z unikalnych i skomplikowanych haseł, ale nie... ING zmusza mnie do korzystania z prostego hasła żebym je zapamiętał i 3 razy przy jego wpisywaniu nie pogubił się.

Dajcie chociaż możliwość zmiany rodzaju hasła...

Przez takie relikty jak ten, coraz bardziej zastanawiam się nad zmianą banku, dobrze że chociaż na telefonie nie musimy takiego hasła wpisywać (no chyba, że chcemy skorzystać z profilu zaufanego

Czy 2022 to ten rok?

Re.: Pomysły: zmiana sposobu logowania

Woo-Cash — Sun, 30 Jan 2022 10:26:07 GMT

Też używam KeePass. Wystarczy wtyczka AutoTypeSplitter, po czym w zakładce Auto-Type dla wpisu w ING wklejasz coś takiego:

{UserName}{ENTER}{SPLIT}{PICKCHARS: Password:C=5}{ENTER}

(usuń spację po dwukropku, musiałem wstawić, bo robiło emotkę)

Wtedy gdy używasz Auto-Type na logowaniu, wyskoczy ci fajne pole, gdzie tylko klikniesz te numerki, które są do wpisania w haśle, i ci zaloguje. Używam tego od dawna, logowanie do ING trwa kilka sekund.

Re.: Pomysły: zmiana sposobu logowania

dawidd — Mon, 31 Jan 2022 20:09:56 GMT

Drogie ING

Lektura dla Państwa z 2018 roku..

https://blog.1password.com/an-open-letter-to-banks/

Re: Re.: Pomysły: zmiana sposobu logowania

IlonaU — Tue, 01 Feb 2022 20:19:18 GMT

Poczytamy

Re: Re.: Pomysły: zmiana sposobu logowania

defalec — Sun, 10 Apr 2022 21:22:43 GMT

Założyłem tu konto dosłownie po to, żeby dać znać, że też cierpię. Korzystam z 1password i tak jak mega lubię ING za wszystkie inne rzeczy, tak temat logowania to okropna udręka

Re: Re.: Pomysły: zmiana sposobu logowania

dawidd — Mon, 11 Apr 2022 08:11:45 GMT

Dziękuję, jak widać mijają miesiące, a nadal zmian brak. Więc zachęcam inne osoby do podbijania tego posta

mam nadzieję, że będzie się pojawiać coraz więcej świadomych użytkowników internetu i jednak bank wdroży chociaż możliwość wyboru opcji logowania.

Re: Re.: Pomysły: zmiana sposobu logowania

cpx — Sat, 07 May 2022 07:45:24 GMT

Również proszę o zmianę. Myśl o logowaniu do ing powoduje u mnie dreszcze... i potem żyję w strachu, że sesja się skończy i będę musiał robić to jeszcze raz Zacząłem na poważnie rozważać uproszczenie hasła, żeby łatwiej dopasowywać litery do numerków...

Bardzo proszę o wprowadzenie możliwości zmiany sposobu logowania (choćby 2FA...).

Poza powyższym intefejs jest super. Pozdrawiam!

Re: Re.: Pomysły: zmiana sposobu logowania

NataliaKr — Sun, 08 May 2022 07:51:23 GMT

Dziękujemy za sugestie.

Re.: Pomysły: zmiana sposobu logowania

Szkot — Sun, 12 Jun 2022 19:01:41 GMT

O {PICKCHARS} już zostało tutaj wspomniane.

Inna metoda - narysujcie sobie na kartce pola, ponumerujcie je i wprowadźcie w to hasło. Będzie Wam zdecydowanie łatwiej. Tylko nie wpisujcie wprost tego hasła. Zaszyfrujcie je jakimś sobie znanym kluczem. Dla przykładu jeśli na kartce pojawia się cyfra nieparzysta to dodajecie do niej 1, a jeśli parzysta, to odejmujecie 2. Czyli np. na kartce macie zapisane w kratce 1 i 2 cyfry: 5 i 2, to wprowadzacie w maskowane hasło 6 i 0.

Innym rozwiązaniem może być podzielenie hasła. Powiedzmy 16 znaków w menadżerze haseł, a kolejne 16 na kartce (niekoniecznie kolejne - może być tak, że tu parzyste znaki, a tam nieparzyste). W żadnym miejscu nie ma kompletnego hasła - utrata kartki - minimalne ryzyko włamania, bo hasło niekompletne. Zhakowanie menadżera haseł - minimalne ryzyko włamania, bo hasło niekompletne.

Naprawdę nie ogarniam jak można mieć pomysł skracania hasła... przecież to są Wasze pieniądze. Gdybym wiedział, że na 100% coś uchroni mnie przed ich utratą, ale proces logowania będzie trwał 30 minut to kurczę... wolę 30 minut.

Jak dla mnie maskowanie hasła jest OK. I nie próbujcie tego zmieniać.

Re.: Pomysły: zmiana sposobu logowania

dawidd — Sun, 12 Jun 2022 22:59:23 GMT

To, że tobie nie przeszkadza logowanie się 30 minut do banku to świetnie! Ja mam trochę bardziej napięty grafik.

Poza tym nikt nie mówi tutaj o likwidacji takiego sposobu logowania, ale o dodaniu możliwości zmiany sposobu logowania!

Jakim cudem może to być takie skomplikowanie, dodajcie dodatkowo np. generowane kody 2FA oprócz sms...

Re.: Pomysły: zmiana sposobu logowania

kacpersto — Thu, 06 Jul 2023 11:42:28 GMT

Drogie ING,

czy po kilku latach od zgłoszenia tego pomysłu, zweryfikowaliście swoje podejście do maskowania haseł? Specjaliści bezpieczeństwa od lat zwracają uwagę że to nie jest sposób na zwiększenie bezpieczeństwa, a wręcz przeciwnie - zagrożenie, bo skłania użytkowników do wymyślania prostych haseł i uniemożliwia korzystanie z password managera.

Może, jeśli nie chcecie tego włączać wszystkim, to dajcie opcję wyłączenia maskowania hasła, żeby bardziej świadomy użytkownik był w stanie sobie to zmienić?

A, jeśli nadal jesteście nie przekonani, to zapytajcie Piotra Koniecznego z Niebezpiecznika, który robi dla Was świetne szkolenia z tego zakresu.

To naprawdę niepokojące, że bank odpowiedzialny za nasze pieniądze, upiera się przy archaicznych rozwiązaniach z zakresu bezpieczeństwa

Re.: Pomysły: zmiana sposobu logowania

Konto usunięte — Thu, 06 Jul 2023 14:40:19 GMT

Pozwolenie użyszkodnikowi na wyłączenie maskowania części znaków hasła wprowadzi podatność na wszelakiej maśli keylogery. Jak już coś zmieniać to tylko challenge-response na urządzeniu gdzie nie ma fizycznej możliwości zainstalować jakiegoś syfu - takie coś ing niedawno wprowadziło i mimo chorób wieku dziecięcego chwała im za to.

Ludzie bezmyślnie instalują syf a potem pójdą do banku z reklamacją że on niewystarczająco zabezpieczył ich konto ... I piszę to ja, bo żaden pracownik wam tego otwarcie nie powie -- większość społeczeństwa to idioci, bankowość musi być na nich jak najbardziej odporna.

Re.: Pomysły: zmiana sposobu logowania

kacpersto — Thu, 06 Jul 2023 15:57:06 GMT

Zgadzam sie z Tobą co do tego, że najbardziej inebezpieczną częścią jest użytkownik i jego lekkomyślne podejście typu "ustawiłem sobie hasło 'bank' i mi się włamali - wina banku". Natomiast to co napisałeś było świetnym argumentem za maskowaniem haseł kilkanaście lat temu, a teraz jest właściwie argumentem przeciwko.

Bo maskowanie powoduje, że ci którzy ustawiliby bezpieczne hasło, ustawiają prostsze, które będą umieli wpisać. A ci bardziej świadomi nie mogą przez to użyć password managera z hasłem np, na 30 totalnie losowych znaków. Co do keyloggera - jasne, przy czym przy obecnym rozwoju takich narzędzi, jeśli ktoś ma system w stanie pozwalającym na instalację czegoś takiego, to prawdopodobnie ma na kompie groźniejszy syf niż keylogger. Taki, który poskłada sobie hasło w całość po kilku próbach (tu jest ciekawy artykuł odwołujący się do badań pokazujących jak niewiele prób trzeba żeby keylogger zebrał całe hasło: https://blog.cloudflare.com/banking-grade-credential-stuffing-the-true-effectiveness-of-a-partial-password-validation/), albo zrobi coś gorszego: zainstaluje certyfikaty swoje, zmieni DNS itp.

Klucze U2F to najlepsze rozwiązanie z kategorii MFA, tym bardziej że nie da się ich "wpisać" na fałszywej stronie. No, ale z klucza U2F skorzystają raczej tylko bardziej zaawansowani użytkownicy. Tak czy siak, faktycznie: chwała ING za wprowadzenie tego.

Więc przynajmniej powinna być opcja wyłączenia maskowania, jeśli ktoś jest tego świadom.

Re.: Pomysły: zmiana sposobu logowania

maszaikasza — Tue, 17 Sep 2024 10:14:08 GMT

Jestem świeżym klientem Państwa banku i pierwsze, co mnie bardzo nieprzyjemnie zaskoczyło, to archaiczne podejście do bezpieczeństwa logowania. Prośba do moderatorów o aktualizację w sprawie maskowania hasła. Temat był wałkowany wielokrotnie - nie poprawia to bezpieczeństwa klientów, wręcz pogarsza przez brak możliwości korzystania z menadżerów haseł lub pchanie użytkownika w stronę ustawiania jak najprostszego hasła. O pomysłach typu "zawsze możecie sobie napisać na karteczce hasło indeksując liczbami kolejne znaki, dla bezpieczeństwa zaszyfrowane szyfrem Cezara" rozwodzić się nie będę - chyba wszyscy widzimy absurdalność i potencjalne zagrożenia niosące za sobą stosowanie tak przestarzałych metod logowania.

Co do kluczy sprzętowych - nie wszyscy chcą z nich korzystać, bo są drogie i nie zawsze można mieć je przy sobie.

Osobiście korzystam z menadżera haseł, w którym mam setki wpisów i bank ING jest pierwszym od lat serwisem, który z menadżerem współpracować nie może. Jak Państwo myślicie, prędzej zmienię prowadzony od lat system zarządzania hasłami czy zrezygnuję z konta w banku już na starcie?

Pozdrawiam i liczę na odrobinę zdrowego rozsądku.

Re.: Pomysły: zmiana sposobu logowania

Woo-Cash — Tue, 17 Sep 2024 10:56:02 GMT

Zaktualizuję tylko swój kod, ponieważ parę miesięcy temu znowu ING coś popsuł w logowaniu. Teraz potrzebna jest wtyczka AutoTypeSplitter, po czym w zakładce Auto-Type dla wpisu w ING wklejasz coś takiego:

{UserName}{ENTER}{SPLIT}{TAB}+{TAB}{PICKCHARS: Password:C=5}{ENTER}

(trzeba usunąć spację w PICKCHARS: Password)

Tabulatory w środku są potrzebne, ponieważ z jakiegoś powodu pola hasła gubią fokus, gdy ten wraca z okna KeePassa do okna przeglądarki.