temat Re.: Nowy wygląd = mniejsze bezpieczeńśtwo w Bankowość internetowa

Nowy wygląd = mniejsze bezpieczeńśtwo

b9MSJPa9brrw7BS — Sun, 12 Nov 2023 09:19:16 GMT

Dzień dobry,

dlaczego po dzisiejszej zmianie wyglądu strony utrudniają Państwo korzystanie z menedżerów haseł ?

Przy starym wyglądzie mogłem mieć bezpieczne, 30 znakowe, losowe, hasło i zarówno login jak i hasło poprawnie uzupełniał mój menedżer haseł, więc logowanie było szybkie, wygodnie i bezpieczne.

Obecnie po zmianie wyglądu w żaden sposób nie mogę zmusić menedżera haseł do uzupełnienia ani loginu ani hasła. Czyli teraz zamiast bezpiecznie korzystać z menedżera haseł mam 2 opcje, albo zmiana hasła na jakieś proste co jest bez sensu albo za każdym razem bawienie się w liczenie znaków bo dalej nie umożliwiają Państwo wyłączenia hasła maskowanego które i tak nie zapewnia żadnej dodatkowej ochrony. Zrozumiały to już wszystkie banki w PL z wyjątkiem ING i PEKAO. Tym samym są Państwo obecnie w topce najgorszych banków jeśli chodzi o logowanie....

Jak już nie chcą Państwo umożliwić wyłączenia bezsensownego maskowania haseł to przywróćcie możliwość uzupełnienia haseł przez menedżery haseł. Wcześniej każdy znak z hasła miałem osobno zapisany z odpowiednią nazwą i Bitwarden pięknie uzupełniał hasło, więc nie musiałem bawić się w pojedyncze uzupełnienie znaków. Obecnie logowanie to tragedia i jeśli tak ma zostać to zastanawiam się nad rezygnacją

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

f0ku5 — Sun, 12 Nov 2023 11:17:30 GMT

Podpisuję się rękami i nogami, wyłączcie w końcu te maskowane hasło!

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

pit — Sun, 12 Nov 2023 12:24:16 GMT

Popieram. Miały być ułatwienia, a są utrudnienia. Tak samo jak Ty ze względu na blokadę menedżera haseł zostałem ZMUSZONY do zmiany hasła na SŁABSZE. Czy tak wg ING ma wyglądać dbanie o bezpieczeństwo?
Przy okazji: przy mojej prędkości wpisywania znaków z klawiatury podczas ręcznego uzupełniania tego maskowanego hasła formularz ING gubi znaki (zostają puste pola). Żeby to prawidłowo uzupełnić muszę po wciśnięciu każdego znaku chwilę odczekać. Co to ma być?

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

pit — Sun, 12 Nov 2023 12:29:05 GMT

Mnie to wkurza do tego stopnia, że zacząłem zastanawiać się jak obejść to bezsensowne rozwiązanie. Nie mam aktualnie na to więcej czasu, ale dla tych co lubią kombinować (ekran z loginem):
document.querySelector("#layout-region > div > login-subapp").shadowRoot.querySelector("div > main > provider-login-content").shadowRoot.querySelector('[data-tag-name="login-form"]').shadowRoot.querySelector('[data-tag-name="ing-form"] > form > [name="login"] > [name="login"]')

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

b9MSJPa9brrw7BS — Sun, 12 Nov 2023 12:42:34 GMT

Też już trochę próbowałem kombinować, ale na ten moment nic, za każdym odświeżeniem strony zmienia się ID pola, więc menedżer haseł nie rozpoznaje tego...

Tu niby banki zalecają stosowanie bezpiecznych haseł, a jak już takie ustawisz to specjalnie utrudnią korzystanie z menedżerów haseł żeby ludzie masowo zmienili hasła na łatwiejsze...

Z loginem to chociaż kopiuj wklej można zrobić i jakoś można z tego korzystać. Ale z hasłem obecnie za każdym razem muszę wyświetlić całe hasło na ekranie, włączyć jego widoczność, następnie włączyć numerowanie znaków, wtedy Bitwarden mi pokazuje gdzie co wpisać. Muszę następnie ręcznie wszystko wprowadzić.

Więc na pewno ING bardzo "poprawiło" bezpieczeństwo, teraz jawnie muszę na ekranie mieć wyświetlone całe hasło żeby jakoś je wprowadzić. No po prostu świetne rozwiązanie.... A na zapamiętanie hasła nie ma szans, bo to w 100% losowe hasło. Do każdego serwisu kompletnie inne hasło, grubo ponad 300 haseł w Bitwarden.

ING i tak robi u mnie tylko za dodatkowy bank, jak ciągle tylko zamierzają utrudniać logowanie to chyba najwyższy czas złożyć rezygnacje i poszukać innego banku jako dodatkowego

Tak samo jak spieprzyli sprawę z kluczami U2F, o ile przez www da się z tego korzystać. O tyle brak możliwości dodania aplikacji do zaufanych i konieczność przykładania klucza przy każdym uruchomieniu aplikacji kompletnie wyklucza to rozwiązanie. Więc niby dodali coś co powinno poprawić bezpieczeństwo jednocześnie dodając to w taki sposób, żeby 99,9% osób to wyłączyło. Już nie dość, że mało kto z U2F korzysta to tutaj tak samo utrudniają korzystanie z tego zabezpieczenia.

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

conan — Sun, 12 Nov 2023 18:08:37 GMT

Totalne jaja! Nie jestem w stanie korzystać z podstawowego banku! Nie ma możliwości przepisania (automatycznego wypełnienia) w przypadku hasła maskowanego. Stawiam kursor w pierwszym polu, przechodzę do menadżera haseł (KeePass), wybieram znaki jakie mają być przepisane i co....nic. Kursor który ustawiłem wcześniej na pierwszej wymaganej pozycji zniknął.

Bardzo proszę to poprawi. W przeciwnym wypadku będę składał oficjalną uwagę na działanie strony.

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

kaisym — Sun, 12 Nov 2023 19:11:46 GMT

Ten sam problem z Keepassem, trzeba ręcznie kliknąć kratkę za każdym razem, bo kursor znika z każdą zmianą focusa. W tej chwili muszę sobie wypluć żądane znaki hasła do notatnika i wklejać jeden po drugim.

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

damianb1 — Mon, 13 Nov 2023 08:57:42 GMT

Ja również popieram autora. Używam menadżera haseł i szukanie odpowiedniego znaku w haśle o długości 25 znaków to dramat. Mam nadzieję, że zostanie to poprawione w jakikolwiek sposób.

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

devnull — Mon, 13 Nov 2023 09:06:56 GMT

Również zgadzam się ze wszystkim co zostało tu napisane przez innych.

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

bartoll7 — Mon, 13 Nov 2023 11:06:17 GMT

ja również podzielam wszystkie uwagi, korzystanie z ING przy losowych hasłach bez wsparcia dla menadżera haseł to koszmar

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

t0mR — Mon, 13 Nov 2023 18:27:13 GMT

Popieram przedmówców, przywróćcie poprzednią funkcjonalność.

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

dkol — Mon, 13 Nov 2023 20:27:48 GMT

Pełna zgoda, chociaż szczerze mówiąc liczyłem, że wraz z wejściem nowych (słabych) zmian w interfejsie to logowanie będące reliktem przeszłości odejdzie w niebyt i korzystanie z menedżera haseł stanie się łatwiejsze. Tymczasem ani ułatwienia, ani trybu ciemnego. Dostaliśmy biel i przemeblowanie (meblami, które zostały słabo złożone). Do poprawy, mieliście być lepsi od innych drogi ING.

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

lycanananas — Tue, 14 Nov 2023 09:34:33 GMT

Też liczyłem na pozytywną zmianę. Jednak efekt jest taki, że rozważam zamknięcie konta w ING przez to. Miało ono mi służyć jako backup do mBanku. Jednak widać są bardziej profesionalne banki. Nie jestem w stanie skorzystać z bankowości elektronicznej przez to..

Oczywiście rozwiazaniem mógłby być customowy plugin do przeglądarki bo pola mają stały "name" jednak zmienne id, a managery haseł polegają na ID pola..

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

lookash — Tue, 14 Nov 2023 13:11:07 GMT

To samo zauważyłem wczoraj. Jak dla mnie kompletnie bezsensowne rozwiązanie z tym randomowym ID pól. W jaki sposób ma to niby zabezpieczyć usera? Mam silne hasło, które wprowadzałem wcześniej z menadżera - okręznie bo customowymi polami, ale dało sie. Obecnie jaka niby jest alternatywa? Zmiana na słabsze hasło?

Ja rozumiem, że bank nie musi się dostosowaywać pod wszystmie menadżety i używanie ich to indywidualna sprawa usera. Ale niech przynamniej NIE UTRUDNIA!

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

b9MSJPa9brrw7BS — Tue, 14 Nov 2023 14:34:46 GMT

ING to tak najlepiej zaleci stosowanie silnego hasła, ale jak już ktoś się faktycznie do tej rady chce dostosować to ING będzie rzucać kłody pod nogi w postaci blokady używania menedżerów haseł. I oczywiście nie mówię, tu że mają się jakoś dostosowywać pod menedżer haseł. Absolutnie NIE. Wystarczy tak jak było wcześniej zrobić niestandardowe pola pojedynczo dla każdego znaku z hasła i bez problemu menedżer haseł sobie z tym radził. ING nic nie musiało dostosowywać...

Teraz zablokowali menedżery haseł, a za jakiś czas będą komunikat bezpieczeństwa wysyłać żeby ludzie tworzyli bezpieczne hasło, bo teraz sporo osób zmieni hasła na słabsze...

A jeśli ktoś uważa, że jest możliwe zapamiętanie kilkaset losowych, bezpiecznych i długich haseł....to jest w dużym błędzie i bez menedżerów haseł NIE DA się ustawiać do każdego serwisu innego hasła. Bo albo będą to proste hasła, albo podobne do siebie. A jeśli mamy mieć do każdego serwisu losowe, ponad 20 znakowe hasło to sorry bez menedżera haseł się nie da. Nie rozumiem dlaczego ING i PEKAO to utrudniają. To jedyne banki które posiadam/ posiadałem bez możliwości uzupełnienia hasła przez menedżer haseł.

KAŻDY inny bank (a miałem konto w każdym większym banku) umożliwia stosowanie menedżerów haseł. Może czasem trzeba użyć niestandardowego pola żeby działało, ale generalnie jak raz się poprawnie skonfiguruje to po prostu działa.

A tutaj teraz w ING z 30 znakowego hasła za każdym razem mam się bawić w liczenie znaków. W jaki sposób ma to poprawić bezpieczeństwo ? I tak przez www mam ustawiony klucz U2F więc po co to całe utrudnianie z maskowanym hasłem z zablokowaną możliwością autouzupełniania ?

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

zenek600 — Tue, 14 Nov 2023 17:09:34 GMT

Znalazłem workaround dla KeePassa 2.x. Podpowiadam sekwencję:

{USERNAME}{ENTER}{DELAY 500}{SPLIT}{TAB}+{TAB}{PICKCHARSassword:C=5}{ENTER}

Aby użyć pola {SPLIT} musicie zainstalować plugin AutoTypeSplitter.

Ponieważ na nowej stronie z hasłem maskowanym tracony jest fokus po powrocie na nią z okienka KeePassa, powyższa sekwencja symuluje naciśnięcie TAB, później SHIFT+TAB, a dopiero później wprowadza znaki hasła.

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

b9MSJPa9brrw7BS — Wed, 15 Nov 2023 21:47:54 GMT

Hmmmm nikt z ING się nie wypowie w temacie ? Czy są jakieś szanse na poprawienie formularza, by menedżer haseł mógł uzupełniać hasło jak wcześniej ?

Nie mówię to o jakimś dostosowaniu strony pod konkrety program. Tylko przywrócenie poprzedniej funkcjonalności, bo taki Bitwarden np obecnie w żaden sposób nie uzupełnia loginu i hasła

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

kaisym — Thu, 16 Nov 2023 13:11:15 GMT

Potwierdzam, działa. Jeśli tak jak ja wpisujecie użytkownika z ręki, wystarczy zmienić sekwencję wpisywania hasła na:

{tab}+{tab}{pickchars}{enter}

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

ArekK — Fri, 17 Nov 2023 10:35:18 GMT

Też się przyłączę. Maskowane hasło to raczej przeżytek - zamiast niego moglibyście zwiększyć wagę użycia 2FA, np choćby włączając autoryzację niezaufanych urządzeń każdorazowym zatwierdzeniem przez aplikację mobilną/SMS/klucz

Re.: Nowy wygląd = mniejsze bezpieczeńśtwo

pit — Sat, 18 Nov 2023 08:50:04 GMT

Tu nawet nie chodzi o to czy hasło jest maskowane czy nie. Chodzi o to, że konstrukcja nowego formularza uniemożliwia normalne korzystanie z menedżera haseł, a co za tym idzie bezpieczeństwo zostało w ten sposób znacznie zmniejszone. Dzięki takiemu fantastycznemu podejściu część użytkowników ustawi dużo prostsze hasła, a część użytkowników użyje takiego samego hasła, którego używa gdzie indziej. Brawo - efekt uzyskany.

P.S. Do ING Business już od dawna można logować się z użyciem aplikacji (chociaż fakt, że tam menedżery haseł już wcześniej zostały zablokowane przez ING i za każdym razem logując się do biznesowego ING wkurzam się, że muszę kopiować moją nazwę użytkownika).