Witam, Proponuję wprowadzić dodatkowy mechanizm bezpieczeństwa przy logowaniu do głównego (administracyjnego) konta. Mechanizm taki mógłby działać podobnie jak w systemach bankowych gdzie po zalogowaniu hasłem wymagany byłby dodatkowy PIN. Osobiście miałem włamanie na takie konto u Państwa i pomimo rozmowy z pracownikiem ( było to już jakiś czas temu) i nadal nic nie zmieniono. Przecież dostęp do konta administracyjnego umożliwia właściwe pełne zmiany na koncie.
z ciekawości, w jakim banku masz konto o którym piszesz? Zgadzam się z Tobą, że autoryzacja dwustopniowa by się przydała - to by była taka innowacja, bo zdaje się (*), że konkurencja tego nie ma. (*) mogę się mylić, jeśli widzieliście to u jakiegoś operatora - pochwalcie się gdzie
Dobry pomysł, z pewnością pozytywnie wpłynąłby na bezpieczeństwo korzystania z usług. Może niekoniecznie musiałby to być pin, ale np. mobilny token.
Sugestia została przekazana do weryfikacji, nie mniej jednak musimy pamiętać, że najczęstszą przyczyną włamań jest zbyt słabe hasło lub jego nieprawidłowe przechowywanie. Hasła są szyfrowane, ustalane jednorazowo. Każdorazowa zmiana hasła wymaga albo podania starego (jeśli zmiana jest wykonywana w panelu) albo nadania nowego hasła (jeśli wykonujemy reset). Jeśli z jakiś powodów doszło do włamania (tzn. hasło było znane osobie trzeciej lub korzystała z aktywnej sesji) warto powiadomić nas o takim fakcie, sporo zmian, możemy cofnąć nie wspominając o zatrzymaniu dyspozycji typu cesja, wydanie AI, itp. Istotny jest jednak czas i reakcja. Włamanie do samego panelu poprzez np. wyciągnięcie hasła z naszych serwerów nie jest możliwe i w 19 letniej historii firmy nigdy nie miało miejsca. Google jest jednak innym mechanizmem, przede wszystkim kluczowym elementem jest tu użycie hasła, jednego, dla wielu systemów nie wspominając o ich pamięci w aplikacjach. Systemy bankowe często opierają swoje zabezpieczenia nie o sam system logowania co wykonywania zmian, token ogranicza możliwość wykonania edycji konta, przelewu, itp. np. tylko dla użytkownika którego numer został wprowadzony. Oczywiście Wasze sugestie są odnotowane w systemie i będą dla nas kolejnym sygnałem aby rozważyć ich wprowadzenie.
Ten proponowany drugi składnik właśnie przed tym chroni. Hasło może być słabe albo nawet opublikowane w internecie a atakującemu i tak to niewiele pomoże.
