13:32
22/5/2016

BZ WBK nie przestaje zaskakiwać. Ostatnia obniżka bezpieczeństwa w postaci zniesienia potwierdzania przelewów internetowych kodem SMS zakończyła się fatalnie. Teraz, bank klientom logującym się przez hasło maskowane proponuje jego usunięcie (przejście na hasło zwykłe).

BZWBK - komunikat dla klientów korzystających z hasła maskowanego

BZWBK – komunikat dla klientów korzystających z hasła maskowanego, fot. Czytelnik Marcin

Niektórzy upatrują się w tym obniżenia bezpieczeństwa. Warto jednak wspomnieć, że hasła maskowane (poza tym, że są niesamowicie irytujące) mogą powodować obniżenie bezpieczeństwa (użytkownicy zapisują hasła, aby policzyć litery), a już na pewno nie są blokadą nie do przejścia przez atakujących. Podczas włamania do Plus Banku (korzystającego z haseł maskowanych), przestępcy je obeszli, prosząc użytkownika o logowanie się kilka razy, za każdym z inną maską.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

24 komentarzy

Dodaj komentarz
  1. Hasło maskowane nie jest nie do przejścia, ale ma 2 zalety:
    1. jeżeli użytkownik nagle zobaczy monit o zwykłe hasło będzie widział, że coś jest nie tak. Jakieś 95% i tak się zaloguje, ale 5% może zadzwoni do banku lub rodziny
    2. jeżeli użytkownik zostanie zapytany o hasło 2 razy i będzie pewien, że poprzednio wpisał je poprawnie (zakładam, ze tutaj phishingowe strony po prostu informują o nieprawidłowym haśle) to jak wyżej, jest szansa, że pomyśli zanim poda hasło jeszcze raz.

    Inna sprawa, że dzięki temu, że część użytkowników będzie miała maskowane a część zgodnie z sugestią banku przejdzie na zwykłe phisherzy będą mieli trudniejszą robotę. Jeżeli ktoś ma standardowe hasło a oni zaserwują formularz z maskowaniem, to zdecydowana większość pewnie pomyśli, że coś jest nie tak.

    • BZWBK umozliwil jeszcze dodanie “obrazka” przy przejsciu do ekranu logowania. W ten sposob – wrzucasz sobie znana fotke i jak nie widzisz swojej fotki nad ekranem logowania – nie logujesz sie. Tylko nie opisali jak to mozna wykorzystac do zabezpieczenia swojego konta :-).

    • @Marcin
      “i jak nie widzisz swojej fotki nad ekranem logowania – nie logujesz sie”

      Nie martw się.
      Jak podasz swój login, to i obrazek zobaczysz.
      Ściągnięty ze strony banku. :)

      Obrazki jako zabezpieczenie i zniesienie po cichu potwierdzeń SMSami nie świadczą najlepiej o fachowcach z BZWBK.

  2. BZ WBK chce w ten sposób zrekompensować klientom sierpniową podwyżkę opłat ;) Zwykle logowanie hasłem maskowanym trwa dłużej. Czas to pieniądz. Więc klient oszczędzający czas to klient oszczędzający pieniądze.

    A tak na serio, to wprowadzają opłatę za dodatkowe bezpieczeństwo – smsKody, również te które są używany przy logowaniu. Więc aktywni klienci używający logowania z 2FA zapłacą za to, że choć aby bezpieczniejsi.

    • Niby co ma rekompensować? Przecież jasno napisali “Wprowadzane zmiany są wynikiem dostosowania świadczonych usług do preferencji Klientów i aktualnej sytuacji rynkowej.” Widocznie klienci chcą płacić więcej sytuacja rynkowa (500+) się zmieniła. ;)

    • Widać ironia nie do wszystkich przemawia

  3. Fakt. Mnie takie hasła strasznie wkurzają. I o ile swoje hasło nauczyłem się już jakoś wpisywać w ten sposób to nie bardzo wyobrażam sobie abym miał to robić z hasłem zapisanym np. w Keepasie i zmieniamym specjalnie co jakiś czas.

  4. Podobnie zrobił Idea Bank w nowym systemie bankowości elektronicznej ale w opcjach istnieje możliwość włączenia sobie maskowania. No i jeszcze nie wpadł na możliwość rezygnacji z SMS.

  5. Maskowane hasła łatwo zgadnąć logując czas między wpisywaniami poszczególnych liter.
    Dla keyloggera nie gra roli która kratka jest zasłonięta, bo nam jest łatwiej wpisać w 1 sek 3 kolejne prawidłowe litery, a każda oddzielna wymaga literowania i czas wpisywania wydłuża się do kilku sekund. Teraz tylko podglądnąć kilka logowań i już mamy hasło, zważywszy, że to nie jest zlepek liter tylko zazwyczaj jakiś konkretny mający znaczenie wyraz.
    Mam konto w aliorze i bez problemu jestem w stanie sam zgadnąć sobie hasło, bo bank prosi czasem o 5 kolejnych liter hasła…

  6. Warto dodać, że maskowanie praktycznie uniemożliwia sensowne wykorzystanie menadżerów haseł. Np. 1password zupełnie sobie nie radzi z maskami.

  7. Miałem taki komunikat ponad miesiąc temu jak 2 razy pod rząd się pomyliłem przy wpisywaniu hasła maskowanego

  8. Warto jeszcze wspomnieć o jednej wadzie haseł maskowanych (tym razem po stronie backendu banku) – istnieje dość spory problem z ich bezpiecznym przechowywaniem. Nie da się zahaszować całego hasła, haszowanie każdej kombinacji (lub nawet jakiejś wybranej ich grupy) zajmuje sporo miejsca w bazie, więc bank się na takie rozwiązanie nie zdecyduje. Poza tym takie hasze fragmentów są znacznie mniej bezpieczne… Zostaje tylko plaintext i szyfrowanie. No i oczywiście coś a’la czarna skrzynka, czyli urządzenie które na wejściu otrzymuje hasło, a na wyjściu wypluwa tylko czy jest poprawne czy nie, a każda próba jego otwarcia kończy się bezpowrotną utratą zapisanych wewnątrz danych (lub skasowaniem klucza kryptograficznego do ich odczytania, którego kopia może być bezpiecznie przechowywana w jakimś sejfie).

  9. Maskowanie hasła to jest tylko chwyt marketingowy nie podnoszący zupełnie bezpieczeństwa.
    Przynajmniej bank może dostać nagrodę za wddrożenie systemu bezpieczeńśtwa(sic!).

    Gdy user ma keylogera to zupełnie nic mu to nie da.
    Gdy user loguje się na obcym kompie raz(lub kilka) to żekomo ma mu to coś dać, ale przecież liczba masek wcale nie jest jakaś duża.

    Główne wady tego badziewia to:
    1. Znaczne zwiększenie poziomu skomplikowania logowania co znacznie zwiększa ryzyko fuckupu i dziury.
    2. Utrudnienie korzystania z managerów haseł.
    3. Znacznie wolniejsze wprowadzanie haseł(łatwiej podejżeć).

    Poprawne logowanie robi się np zapisując hash bcrypt/scrypt do bazy i sprawdzając tocken z google authenticatora.
    Całość bezpieczna(jak na razie, a na pewno bardziej) i bardzo prosta w implementacji(co istotnie wpływa na bezpieczeńśtwo).

    Fapowanie się maskowaniem wygląda inaczej:
    Jak ktoś jest idiotą to zapisze plainem żeby było łatwo zaimpelemtować(i takie systemy widziałem).
    Jak ktoś mysli to użyje algorytmu Shared secret Shamira, ale z tym jest kilka problemów:
    1. Z ilu znaków losować maskę, bo nie każdy ma hasło 30. znakowe? Jak losowanie będzie z kilkunastu to jak to wyłynie na bezpieczeństwo kogoś kto ma hasło np 32. znakowe?
    2. Jaka długa ma być maska? (nie tak dawno jeden bank wymyslił sobie/dopuścił maskę długości 1. znaku sic!)
    3. A może by zapisać długość hasła w bazie żeby się tych problemów pozbyć? (sądzicie, że to bezpieczniejsze niż normalny hash?)

    Podsumowując:
    To “rozwiązanie” jest tak błędogenne, tak problematyczne, tak drogie(w porównaniu z normalnym) i tak mało zysku wnosi, że jego użycie jest zupełnie bez sensu!

  10. We wszystkich systemach operacyjnych jakie widziałem można używać certyfikatów PKCS#12/X509 jako dodatkowej warstwy uwierzytelnienia niemożliwej do przejścia przy użyciu podrobionej strony i spoofingu DNS.

    Ciekaw, kiedy banki dorosną umysłowo do tej metody, bo pewnie nieprędko.

    W laptopach od kilku lat też są chipy TPM, też potrafią w miarę bezpiecznie trzymać certyfikaty uwierzytelniające w standardzie PKCS#11.
    To też jest ciekawa opcja w połączeniu z hasłem, ale problem identyczny jak z PKCS#12.

    Pozdro

    • Tak samo jak nic nie stoi na przeszkodzie aby banki wydawały certy na kartach chipowych. Czytnik kosztuje drobne.
      Problemem tutaj nie są banki tylko użytkownicy a raczej ich brak zdolności technicznych. Taki chrome czy IE używa windowsowych magazynów klucz (rozumiem iż rozmawiamy o użytkownikach jedynie słusznego systemu operacyjnego) więc tutaj nie ma problemu ale np. firefox używa już swoich magazynów kluczy, swoich bibliotek i swojego API. I mamy zonka. Wyobraź sobie iż jakiś duży bank w Polsce przekazuje użytkownikom informację iż od dzisiaj zalecaną wersją przeglądarki jest tylko IE lub Chrome bo na Firefox-ie to trzeba się nakombinować, a Opera czy w ogóle jakieś niszowe przeglądarki odpadają. Nawet nie jestem sobie w stanie wyobrazić tej fali hejtu. Dlatego tutaj banki wolą politykę scedowania tej odpowiedzialności na Państwo i czekają albo na eDowód albo np na upowszechnienie profili zaufanych typu ePUAP czy eZus. Wówczas odpowiedzialność jest prosta – to nie MY tylko oni tak sobie wymyślili :) My się tylko dostosowali. Polityka. Po prostu polityka.

    • ING czasami tego nie oferował/oferuje. Coś mi si ę kojarzy, że z 5-10 lat temu było u nich logowanie za pomocą certyfikatu, a zakładając konto wychodziło się z oddziału z płytą CD z nagranym na niej plikiem z certyfikatem.

  11. Wszystko fajnie, ale to jest bank z grupy Santander. Chciałbym przypomnieć, że usługi bankowości elektronicznej i bankowości w ogóle w naszym kraju stoją bardzo wysoko i nie raz wyprzedzamy kraje “zachodnie” w tym względzie.
    Mam wrażenie, że Santander po prostu wyrównuje procedury do ogólno-korporacyjnych, żeby mu nasz kraj nie odstawał.

  12. Trudności z policzeniem znaków w haśle? No i mamy skutki nieobowiązkowej matury (a teraz, z obowiązkową, drastycznego obniżenia poziomu) z matematyki…

    • A skąd masz to hasło żeby liczyć znaki?

      User się rejestruje, i w bazie nie będziesz przecież trzymał hasła tylko hash, a ten już jest innej długości i na jego podstawie oryginalnej długości nie da się wyliczyć.

      Możesz oczywiście dodać kolumnę z długością hasła, ale to bezpieczeństwo tylko zmniejsza.

  13. KeePass wspiera hasła maskowane – wyświetla okienko, w którym się wybiera numery liter do skopiowania i później wypełnia tymi literami formularz z hasłem
    w parametrach AutoType trzeba wpisać: {PICKCHARS:Password}

  14. W jednej z aktualizacji aplikacji mobilnej BZWBK wprowadzono “na sztywno” zapamiętanie numeru NIK klienta banku. Od tamtej pory przy logowaniu sie do banku z Androida klient jest pytany tylko o hasło. Co gorsza, na “dzień dobry” aplikacja wciska użycie tzw. uproszczonego PINa (4-8 znaków). Mają rozmach…

  15. Nie rozumiem tej dyskusji, podstawową przyczyną że banki stosują hasła maskowane lub mieszane z kodem tokena jest to żeby utrudnić używanie menadżerów haseł. Bez tego 95% osób zostawiałoby hasło do banku w przeglądarce na każdym komputerze z którego się logują.

  16. Wszystkie problemy z bezpieczeństwem e-bankowości biorą się stąd że ludziom się nie chce, wymyślono więc e-bankowość która miała sprawić że banki będą atrakcyjniejsze niż pani księgowa i żywa gotówka ale znowu jak to zwykle bywa znaleźli się tacy co nie chce im się bardziej od tych co im się zwyczajnie nie chce i tak całe to zjawisko ewoluowało od loginów i haseł, do haseł chroniących hasła, haseł jednorazowych, dedykowanych urządzeń chroniących hasła jednorazowe i haseł maskowanych chroniących urządzenia do haseł chroniących hasła. Wszystko stało się tak skomplikowane że ci co im się zwyczajnie nie chce wolą iść do banku i marzą o pani księgowej a ci co im się nie chce trochę bardziej myślą i co z tego wszystko i tak sprowadza się do hasła

  17. Ten komunikat już kupę czasu się wyświetla. :)

Odpowiadasz na komentarz Maciej

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: