Aplikacja mobilna

Odpowiedz

Słabe/mało bezpieczne logowanie do mobilnej ING

Witam,

chciałbym zwrócić uwagę twórcom aplikacji na sprawę bezpieczeństwa podczas logowania do mobilnej ING.

Nie wiem jak jest na innych telefonach, ale na Iphone 5s wygląda to tak:

w starej wersji

logowanie dwuetapowe:

1 etap - polegało na wprowadzeniu numeru tworzącego cały LOGIN zaraz po pierwszych trzech literach imienia i nazwiska użytkowanika/wlasciciela konta

2 etap - czterocyfrowy PIN, który nie był widoczny w trakcie wprowadzania

 

obecna wersja 

jednoetapowe logowanie:

1 etap - pierwsze trzy litery imienia i nazwiska wraz z czterocyfrowym numerem stanowiącym całość Logina już są a wystarczy wpisać tylko czterocyfrowy PIN, który niestety jest widoczny w trakcie wprowadzania.

 

Uważam, że w obecnej wersji, taki sposób logowania jest bardzo słaby, szczególnie w przypadku, gdy wpisując PIN, jest on widoczny dla osób postronnych, czyt. każda cyfra jest widoczna do chwili wbicia kolejnej. Dlatego uważam, że ktoś, kto będzie stał za moimi plecami, może spokojnie odczytać PIN, następnie pod moją nieobecność wziąć mój telefon, odpalić aplikację i spokojnie zalogować się jako "ja" - czy o takie bezpieczeństwo chodziło twórcom ING mobilnej? Wątpie!!

 

Rafalkup
Doradca z ambicjami
Doradca z ambicjami icon
Lajki: 1
Wpisy: 4
Zarejestrowany: 07-08-2017
Wiadomość 1 z 13 (3 337 wyświetleń)

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

[ Edytowane ]

W iPhone możesz ustawić logowanie za pomocą odcisku palca. Zapewne spodziewałeś się takowej sugestii, wiec przejdę dalej. jeżeli uruchamiasz aplikacje finansową, posługujesz się karta,zamykasz dom czy samochód,  to warto zadbać o bezpieczeństwo swojego otoczenia. 

Wnioskujac po twojej relacji twój telefon nie jest chroniony kodem ani biometrią. Zaczął bym wiec od mniejszego koła by później oceniać bezpieczeństwo swoich partnerów biznesowych.

 

😏

b2b
source
Doradca z ambicjami
Doradca z ambicjami icon
Lajki: 18
Wpisy: 30
Zarejestrowany: 07-06-2016
Wiadomość 2 z 13 (3 312 wyświetleń)

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Oczywiscie masz racje co do zabezpieczenia telefonu, ale nie zmienia to jednak faktu, że samo logowanie jest słabe a widoczne cyfry PIN w trakcie wstukiwania, to już troszkę za dużo!

Odpowiedz
0 Lajków
Rafalkup
Doradca z ambicjami
Doradca z ambicjami icon
Lajki: 1
Wpisy: 4
Zarejestrowany: 07-08-2017
Wiadomość 3 z 13 (3 231 wyświetleń)

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Bezpieczeństwo jest dla nas jednym z najważniejszych elementów działania aplikacji. Brak konieczności podawania za każdym razem loginu nie stanowi zagrożenia, ze względu na zabezpieczony proces aktywacji aplikacji. Pierwsze uruchomienie aplikacji wymaga:

- podania loginu,

- podania maskowanego hasła do bankowości elektronicznej,

- podania danych identyfikacyjnych,

- dodania urządzenia do listy zaufanych,

- ustalenia indywidualnego kodu pin,

To tylko niektóre z  zabezpieczeń, które chronią Twoje finanse przed nieuprawnionym dostępem.

 

Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
Odpowiedz
0 Lajków
AgnieszkaS
Moderator
Moderator icon
Lajki: 26
Wpisy: 85
Zarejestrowany: 12-10-2015
Wiadomość 4 z 13 (3 187 wyświetleń)

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

Hej Agnieszka,

dzięki za odpowiedź.

 

"Bezpieczeństwo jest dla nas jednym z najważniejszych elementów działania aplikacji." - myślałem, że najważniejszym.

 

Jasne..., zgadzam się z Tobą, że przy pierwszym uruchomieniu trzeba przejść przez poszczególne etapy weryfikacji użytkownika by używać aplikacji - 100% racja.

Jedynie zwracam uwagę, na to co potem?! Ja akurat mam zabezpieczony tel. kodem (tak jak wspomniał Source powyżej) i jak narazie jest ok, ale zwyczajnie mnie to zdziwiło, że poszczególne cyfry PIN są widoczne przez 2 sekundy w przypadku gdy nie wpisujesz kolejnej cyfry.

 

To inaczej zapytam..., czy przy dzisiejszym zaawansowaniu technologicznym, jest możliwość wykorzystania faktu pojawiania się cyfr kodu PIN podczas logowania za pomocą jakiegoś "wscipskiego" oprogramowania?

Odpowiedz
0 Lajków
Rafalkup
Doradca z ambicjami
Doradca z ambicjami icon
Lajki: 1
Wpisy: 4
Zarejestrowany: 07-08-2017
Wiadomość 5 z 13 (3 178 wyświetleń)

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

[ Edytowane ]

@Rafalkup Jeżeli chodzi o bezpieczeństwo – to właśnie miałam mieliśmy na myśli. Jest dla nas najważniejsze.

Stale pracujemy nad rozwiązaniami, które chronią Twoje finanse. Aby zapewnić wysoki poziom bezpieczeństwa komunikacja pomiędzy Twoim urządzeniem a bankiem jest szyfrowana protokołem SSL. Wszystkie informacje na temat prawidłowego korzystania z bankowości elektronicznej i mobilnej znajdziesz na naszej stronie.

 





-----------------
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
Odpowiedz
0 Lajków
AgnieszkaBin
Moderator
Moderator icon
Lajki: 109
Wpisy: 448
Zarejestrowany: 04-09-2015
Wiadomość 6 z 13 (3 079 wyświetleń)

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

[ Edytowane ]

Sorry, ale odnoszę wrażenie, że nie czytacie ze zrozumieniem.

Ja piszę swoje a wy swoje.

 

Rafal

 

PS. Czy AgnieszkaBin i AgnieszkaS to ta sama osoba?

Odpowiedz
0 Lajków
Rafalkup
Doradca z ambicjami
Doradca z ambicjami icon
Lajki: 1
Wpisy: 4
Zarejestrowany: 07-08-2017
Wiadomość 7 z 13 (2 971 wyświetleń)

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

[ Edytowane ]
"...czy przy dzisiejszym zaawansowaniu technologicznym, jest możliwość wykorzystania faktu pojawiania się cyfr kodu PIN podczas logowania za pomocą jakiegoś "wścibskiego" oprogramowania?"
 
Oczywiście że jest, niemniej jeżeli miałbyś już zainstalowane takie "wścibskie" oprogramowanie to fakt, że PIN jest widoczny podczas jego wprowadzania, nie miałby już zupełnie żadnego znaczenia. Takie oprogramowanie mogłoby bez problemu zczytywać z klawiatury wszystko co piszesz, nagrywać Twoje rozmowy (oczywiście bez Twojej wiedzy), podmienić aplikację banku na inną itp. I oczywiście zagrożenie nie dotyczyłoby tylko "Mojego ING", ale każdej innej aplikacji, nie tylko bankowej.
 
Dobrze, że używasz iOS - to jednak bezpieczniejszy system od Android'a. Jeśli mógłbym coś więcej doradzić to:
 
  • Nie root'uj systemu w telefonie, to bardzo obniża bezpieczeństwo systemu (tu pytanie do samego ING, czy ma odpowiednie zabezpieczania w aplikacji, które nie pozwalają na instalację/uruchomienie aplikacji na zrootowanych telefonach, mam nadzieję, że tak jest).
  • Instaluj wszelkie akutalizacje do iOS i apliakcji, kiedy tylko się pojawią.
  • Nie korzystaj z otwartych sieci Wi-Fi - np. w kawiarniach itp.
  • Unikaj raczej kupowania telefonów "no name" z Androidem z Chin.
  • By skonfigurować swój telefon, tak by był jeszcze bezpieczniejszy, pobierz darmowe przewodniki dot. tego tematu - wiele instytucji rządowych (np. NSA, CIA itp.) udostępnia takie dokumenty dla swoich pracowników - wystarczy wpisać w google "ios hardening". Instrukcje są dla "zwykłych użytkowników", są tam zdjęcia i wystarczy podstawowy angielski by je zrozumieć. 
arek
Doradca z ambicjami
Doradca z ambicjami icon
Lajki: 25
Wpisy: 29
Zarejestrowany: 27-12-2015
Wiadomość 8 z 13 (2 933 wyświetleń)
Highlighted

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

[ Edytowane ]

@Rafalkup
Wyjaśniamy: @AgnieszkaS i  @AgnieszkaBin to różne osoby Emotikon: Mrugający





-----------------
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
AgnieszkaBin
Moderator
Moderator icon
Lajki: 109
Wpisy: 448
Zarejestrowany: 04-09-2015
Wiadomość 9 z 13 (2 825 wyświetleń)

Re.: Słabe/mało bezpieczne logowanie do mobilnej ING

(tu pytanie do samego ING, czy ma odpowiednie zabezpieczania w aplikacji, które nie pozwalają na instalację/uruchomienie aplikacji na zrootowanych telefonach, mam nadzieję, że tak jest).


 

Nie rekomendujemy root’owania telefonu. Nie blokujemy jednak możliwości aktywacji naszej aplikacji. Niektóre funkcje aplikacji (np. płatności HCE Mastercard w telefonie) wymagają urządzenia bez roota.

 

---
Jeśli podoba Ci się moja odpowiedź, daj mi lajka.
Jeśli odpowiedź Ci pomogła, zaakceptuj ją jako rozwiązanie.
Odpowiedz
0 Lajków
MarcinB
Moderator
Moderator icon
Lajki: 94
Wpisy: 350
Zarejestrowany: 04-09-2015
Wiadomość 10 z 13 (2 497 wyświetleń)