W dniu 10.12.2024 o 10:35, J.F pisze:

>> Nie wiem w jakim banku masz konto, ale mBank nie wymaga dwuetapowego
>> logowania z przeglądarki.
>> Login, hasło i jestem na koncie.
>
> Dziwne.
> Nie masz przeglądarki dodanej do zaufanych?
> Przy pomocy apki ... choc może sms jeszcze jest możliwe.

Dokładnie tak. Przy pierwszym logowaniu dodana.

>> City, Nest to samo.
>
> Citi istotnie mi się otwarło na samo hasło.
> Ale czy to tak dla wszystkich, czy mam zaufaną przeglądarkę, to nie
> wiem.
>
> Nest wymaga potwierdzenia w apce - ale może da się wyłączyć.
>
> J.

Nie kojarzę bym coś zaznaczał/odhaczał przy zakładaniu konta. Może.

--
Pozdrawiam,

do góry

W dniu 10.12.2024 o 15:03, Piotr Gałka pisze:

> City raz na jakiś czas (ale bardzo rzadko) postanawia przysłać mi kod i
> poprosić o wpisane. Tylko ten ich chory system nie ustawia wtedy kursora
> w miejscu wpisywania i zawsze po przepisaniu kodu z telefonu zauważam,
> że całe moje przepisywanie poszło w próżnię (no chyba, że mam jakiegoś
> key-loggera to się przynajmniej dane nie zmarnowały).
> A potem z kolei jak wpiszę ostatnią cyfrę to chciałbym zweryfikować, że
> jest ok a on już wie, że ok i idzie dalej. Się zastanawiam, co by było
> jakbym wpisał błędny kod, ale wolę nie sprawdzać.
> Dla mnie normalne jest, że wpisuję, weryfikuję, akceptuję, ale to nie w
> City..
> P.G.
>

Nie bierz tego do siebie, ale o fabię siebie nie podejrzewam.
Wystarczy mi logowanie biometryczne go laptopa.

--
Pozdrawiam,

do góry

> Nie bierz tego do siebie, ale o fabię siebie nie podejrzewam.
> Wystarczy mi logowanie biometryczne go laptopa.
>

Oczywiście miała być fobia :-)

--
Pozdrawiam,

do góry

W dniu 2024-12-10 o 16:15, Picek pisze:
> W dniu 10.12.2024 o 15:03, Piotr Gałka pisze:
>
>> City raz na jakiś czas (ale bardzo rzadko) postanawia przysłać mi kod
>> i poprosić o wpisane. Tylko ten ich chory system nie ustawia wtedy
>> kursora w miejscu wpisywania i zawsze po przepisaniu kodu z telefonu
>> zauważam, że całe moje przepisywanie poszło w próżnię (no chyba, że
>> mam jakiegoś key-loggera to się przynajmniej dane nie zmarnowały).
>> A potem z kolei jak wpiszę ostatnią cyfrę to chciałbym zweryfikować,
>> że jest ok a on już wie, że ok i idzie dalej. Się zastanawiam, co by
>> było jakbym wpisał błędny kod, ale wolę nie sprawdzać.
>> Dla mnie normalne jest, że wpisuję, weryfikuję, akceptuję, ale to nie
>> w City..
>> P.G.
>>
>
> Nie bierz tego do siebie, ale o fabię siebie nie podejrzewam.
> Wystarczy mi logowanie biometryczne go laptopa.

Wydaje mi się, że to zdanie ma sens w odniesieniu do mBanku - że można
meć komputer 'zaufany', ale chyba ma się nijak do mojego opisu City pod
którym to napisałeś.
Nie kojarzę aby w City było pojęcie zaufany komputer/przeglądarka.
P.G.

do góry

Eneuel Leszek Ciszewski <Z...@d...czytania.fontem.Lucida.Console>
writes:

> Bez logowania można zobaczyć stan konta; co po zalogowaniu? -- wrażliwe
> operacje bywają dodatkowo zabezpieczane... (bywa, że trzeba znać więcej
> niż jedno hasło -- bądź obrazek i hasło albo hasła) Lecz zanim smartfon
> zezwoli na uruchomienie apki -- niekiedy domaga się odblokowania... Czy
> smartfony z dwiema przednimi kamerami są często spotykane? -- Najlepiej
> zabezpieczyć kamerami ulokowanymi w odległych narożnikach...

Problem polega na tym, że wszystkie te rzeczy można często bardzo łatwo
podpatrzeć - ludzie używają telefonów (z aplikacjami bankowymi itd.)
w warunkach np. sklepowych. To nie jest sytuacja z pecetem zamkniętym
w domu.

Oba rozwiązania mają swoje minusy (i plusy).
--
Krzysztof Hałasa

do góry

On Tue, 10 Dec 2024 16:11:47 +0100, nadir wrote:
> W dniu 09.12.2024 o 21:23, Grzexs pisze:
>> Obawiam się, że możesz zapomnieć. Dwuetapowe logowania są, zdaje się,
>> obowiązkowe.
>
> I tak, i nie. W PKOBP można przy pierwszym logowaniu potwierdzić
> konkretny komputer i przeglądarkę przy pomocy aplikacji lub karty kodów
> jednorazowych, potem można się logować bez problemu tylko hasłem.

Uwaga - Firefox przy każdej aktualizacji traci to potwierdzenie,
i karta kodów się szybko skończy.

> Ale oprócz logowania chodzi mi jeszcze o potwierdzanie poszczególnych
> operacji, najlepiej właśnie żeby to były jakieś wpisywane kody, jak w
> PKO, bo to ma być do obsługi konta przez starszą osobę po udarze, która
> ma problemy z obsługą telefonów, szczególnie dotykowych.

Tylko czy PKOBP ma jeszcze karty kodów?
Wydaje mi się, że najchętniej to na apkę przechodzą,
aczkolwiek ... reklamują własnie klucze sprzętowe.
Może to jest rozwiązanie

https://www.pkobp.pl/klient-indywidualny/aplikacja-i
ko-ipko/bezpieczenstwo/logowanie-z-kluczem-bezpiecze
nstwa



J.

do góry

On Tue, 10 Dec 2024 15:21:47 +0100, Piotr Gałka wrote:
> W dniu 2024-12-10 o 10:35, J.F pisze:
>> Citi istotnie mi się otwarło na samo hasło.
>> Ale czy to tak dla wszystkich, czy mam zaufaną przeglądarkę, to nie
>> wiem.
>
> U mnie też (w znakomitej większości przypadków) samo hasło. Bym pamiętał
> jakbym dodał przeglądarkę do zaufanych bo chyba musiałbym to zrobić
> kilka razy (no bo to chyba zapisują nie u siebie, a lokalnie).

Gdzies u siebie zapisują, ale co dokładnie to nie wiem.
Dla Firefoxa wersje przeglądarki, bo po upgrade przestaje być zaufana.

Jest teraz jakis unikalny "identyfikator reklamowy".

> Raz na rok/dwa robię przeglądarce wyczyść historię przeglądania
> 'wszystko i od zawsze'. Zostało mi z czasów, gdy kiedyś robiąc partycję
> C: nie przewidziałem, że system ją zabagni. Jak zaczęły być z tym
> problemy to odkryłem, że głównym śmieciowym jest przeglądarka i
> wyczyszczenie historii pomaga.

Ale to raczej nie historia, tylko cookies.
A dla banków nawet nie cookie.

> Po wyczyszczeniu historii loguję się do wybranych miejsc (nie banków) i
> zgadzam się na zapamiętanie loginu i hasła. Po czym wyłączam komputer i
> nie włączam przez 24h. A potem po każdym używaniu robię wyczyść historię
> 'wszystko, ostatnie 24h'. Według mnie tak jest higienicznie dla komputera.

Nie wiem czy to czekanie 24h cos daje.

> Zapamiętywanie pobranych danych miało sens gdy się człowiek wdzwaniał
> gdzieś słabym modemem, ale jak się ma dobre łącza to jest to tylko
> zaśmiecanie dysku.

A to z kolei cache, i może jakies "obiekty".

I też nie unikniesz, jest, czasem zbędny, czasem da się ustawić, można
skasować.


J.

do góry

On Tue, 10 Dec 2024 15:03:01 +0100, Piotr Gałka wrote:
> W dniu 2024-12-10 o 10:12, Picek pisze:
>> Nie wiem w jakim banku masz konto, ale mBank nie wymaga dwuetapowego
>> logowania z przeglądarki.
>> Login, hasło i jestem na koncie.
>
> Jeszcze tylko pozwolić przeglądarce zapamiętać login i hasło i będzie
> zero-etapowe logowanie. Jak zawsze wygoda kosztem bezpieczeństwa.
>
> Mi mBank zawsze wysyła kod, ale nigdy nie zgodziłem się na dodanie
> komputera do zaufanych.
>
> Od kilku miesięcy jak mi wysyłają ten kod to piszą, że loguję się z
> przeglądarki Chrome 109. Dawniej nie pisali z czego według nich się
> loguję, więc nie mogę stwierdzić, czy to ich błąd, czy może zawsze
> loguję się za pośrednictwem jakiegoś 'Man in the middle' bo ja się
> loguję z przeglądarki Opera.
> A może Opera == Chrome 109.

Moze być, bo przeglądarki często kłamią serwerowi, dla
kompatybilności.

https://www.whatsmyua.info/
https://www.whatismybrowser.com/detect/what-is-my-us
er-agent/
https://www.whatismyip.com/user-agent/

Ale 109 ... wersja Opery?

Opera ma ponoć chronic prywatność, to może zawsze podaje Chrome 109

J.

do góry

W dniu 11.12.2024 o 16:20, J.F pisze:

> Uwaga - Firefox przy każdej aktualizacji traci to potwierdzenie,
> i karta kodów się szybko skończy.

Wiem, ale wyłączenie aktualizacji FF rozwiązuje ten problem.

> Tylko czy PKOBP ma jeszcze karty kodów?

Ma, nawet wydaje nowe karty jak skończą się kody na starej, nie wiem
tylko czy dla nowo założonych kont można sobie wybrać ten fjuczer?

> Wydaje mi się, że najchętniej to na apkę przechodzą,
> aczkolwiek ... reklamują własnie klucze sprzętowe.

To żadne ich własne klucze, normalny klucz U2F. Korzystam z klucza
innego producenta tego przy niektórych mailach, ale jakoś przed
bankowością mam opory.

> Może to jest rozwiązanie
>
> https://www.pkobp.pl/klient-indywidualny/aplikacja-i
ko-ipko/bezpieczenstwo/logowanie-z-kluczem-bezpiecze
nstwa

Jeżeli to klucz tylko do logowania, to nie rozwiązuje problemu, bo nadal
trzeba by apką potwierdzać przelewy, a właśnie z tym jest problem.

do góry

W skarbonce można mieć jeszcze token sprzętowy, wygląda jak mała komórka
starego typu.

Tylko właściwie nie wiem, po co sobie komplikujesz - przepisywanie kodu z
tokena może być jeszcze bardziej skomplikowane niż kodu z komórki
(bo trzeba przepisać challenge, no bo po to ma klawiaturę, to nie taki
stary token jaki miałem bodajże w eurobanku czy może w VW-popierdółce,
a może nawet w obu - załapałem się jeszcze na ostatnie chwile ich
istnienia).

Karty kodów już nigdzie nie dostaniesz.

A czy ta osoba będzie bez przerwy robiła nowe przelewy?
Trzeba zrobić zaufanych odbiorców, raz potwierdzasz a potem już nie
trzeba.

Pozostaje logowanie - tu są różne szkoły.

1) santander, mbank - trzeba raz "zaufać" konkretną przeglądarkę lub
komputer (w santander chyba komputer, bo pod Linuxem nie aktualizuję,
ale na firefox aktualizuję i nie trzeba poprawiać) i potem spokój,
choć chyba mi ostatnio santander kazał wpisać kod SMS przy logowaniu,
chyba po 3 latach spokoju
2) citek - co jakieś trzy miesiące trzeba raz wpisać kod z SMS,
niezależnie od tego, na ilu urządzeniach się logujuesz
3) inteligo - tu w ogóle nie trzeba "zaufywać" - oni są widać ponad prawem
4) kantor aliora - co 3 miesiące
5) milek, volkswagen - kod SMS przy każdym logowaniu
6) pekao - nie pamiętam, czy "zaufywałem", ale od roku mam i przynajmniej
na tym jednym komputerze z nieaktualizowanym FF nie musiałem nic wpisywać

do góry