[Orange] Orange FLEX: Czyli "chcesz, masz" - dyskusja ogólna

[KC-KARLOS]

Remington: PIN w aplikacji, służy jako dodatkowa warstwa gdy nasze zabezpieczenie biometryczne nie zadziała (niezweryfikowany odcisk palca bądź FaceID). Jeśli zapomnimy tego PINu w apce - nie ma możliwości jego odzyskania.

Podkreślam, jeśli czujemy się nieco mniej pewniej, wystarczy wyłączyć automatyczne logowanie z sieci mobilnej Orange, gdy nas z tej apki wyloguje.

Dodam, iż w wybranych momentach (szczególnie po aktualizacji aplikacji) z automatu nas wylogowuje z aplikacji, możliwe, że ze względów bezpieczeństwa lub lepszego działania apki po jej aktualizacji.

[Remington]

A czy mając zdefiniowany PIN, jest on wymagany by zalogować się (od zera) na innym urządzeniu?

Jeśli tak, to już coś, choć wciąż niewiele z racji niezmienności kodu i ryzyka wycieku.

Jeśli natomiast nie jest wówczas wymagany i przechowywany jest tylko lokalnie w danej instancji aplikacji, to nie zabezpiecza przez przechwyceniem konta, o jakim pisałem.

[KC-KARLOS]

Remington: jeśli na innym urządzeniu w apce była ustawiona opcja włączenia PINu, będzie on wymagany. Nie zmienia faktu, że tak łatwo się do swojego konta z innego telefonu nie zalogujesz - wróć do mojego poprzedniego postu (przypomnę - nie pamiętasz hasła do konta, logujesz się kodem SMS, ale ten sposób logowania jest zawodny). Myślę, że to już jest dość istotne zabezpieczenie i jednocześnie utrudnienie, którego nie przeskoczysz.

[Remington]

Wpiszę login (adres email) i hasło na nowym urządzeniu i się nie zaloguję?

Login i hasło "pamiętam", bo jestem hakerem i przechwyciłem je z wycieku - o takim scenariuszu cały czas od lutego mówię.

[KC-KARLOS]

Remington: chodziło mi o logowanie kodem SMS. Jeśli wpiszesz poprawny mail i hasło, dostaniesz się do apki, lecz takich osób nie jest dużo. Widać, że poszli po opcję wygody dla użytkownika.

[Remington]

Każdy system jest tak bezpieczny jak jego najsłabszy element.

[KC-KARLOS]

Dlatego warto o kwestie bezpieczeństwa zadbać już od pierwszego użycia aplikacji, gdzie te opcje można włączyć.
Wiadomo, że warstwy biometrycznej nie przeniesiesz z konta apki do innego urządzenia, trzeba samemu to ponownie ustawić.

[Remington]

Ale jak mówisz raz ustawiony PIN (który niestety też może wyciec) będzie działał na tym koncie na innym urządzeniu, tak?

[KC-KARLOS]

Remington: na nowym urządzeniu o PIN do apki nie zawoła. Na obecnym, w którym to ustawiliśmy - zawoła o PIN nawet po zalogowaniu mailem.

Wniosek: warto zabezpieczać swoje urządzenia mobilne.

[Remington]

Lokalnie to zabezpieczenie wydaje się wystarczające. O ile apka pyta jednorazowo o PIN także po każdym dodaniu/zmianie twarzy lub palca.

Ale atak polegający na wycieku danych logowania (jakich pełno w opisach na Niebezpieczniku czy ZTS) sprawi, że będziemy na przegranej pozycji. Po to wymyślono autoryzacje, kody jednorazowe itp., które w MO są zresztą znane od lat.

[IC_Current]

Oczywiście, że zabezpieczenie konta jest poniżej krytyki. Nie każdy chce / może korzystać z logowania tylko przez kod w SMS. Np czasem używam WiFi Calling, a tam SMS nie działa we Flex, więc jak się zaloguję? Albo mam kartę w routerze bez obsługi SMS? Powinno być możliwe uwierzytelnienie z drugim składnikiem. Oczywiście drugi składnik to nie może być tylko SMS, ale np zamiennie drukowane kody jednorazowe (w razie braku dostępu do SMS). Kody zmienne w aplikacji 2FA, potwierdzenie w aplikacji 2FA itd. Rozwiązań jest wiele dla chcących bezpieczeństwa. Albo niech będzie opcja - lekkoduchy mają jak mają, a roztropni mogą wybrać 2FA, licząc się z większymi utrudnieniami przy logowaniu.
Osobiście zastanawiam się od jakiegoś czasu nad złożeniem skargi na Orange w tym zakresie do UODO. Absolutnie nie po to żeby jakąś karę dostali, ale żeby ich zmobilizowali do działania. Szczególnie, że zaniechania Flex mogą skutkować zdecydowanie większymi problemami niż tylko utrata numeru (lub konta Flex). Może takie pismo wysłać w kilka osób? Może nawet redakcja Telepolis takie pismo wyśle do UODO (choć wtedy pewnie reklamy by pikowały ?

[kemsinenu]

Flex mógłby pokazać klasę i wprowadzić 2FA za pomocą kluczy FIDO2/U2F.

[Remington]

Klucze sprzętowe w apce średnio, bo tylko niektóre będą kompatybilne. Ale potwierdzenie logowania/zmian SMS-em i alternatywnie Authenticatorem byłyby jak najbardziej dobre.

Żeby nie było - uważam Flexa za super ofertę ze świetną aplikacją, natomiast nisko oceniam wykonanie w szczegółach. Tak jest "agilowo" czyli core zrobiony, a na resztę machnięto ręką.

Dla mnie kwestie bezpieczeństwa i ryzyka zbyt łatwej (i bezpowrotnej!) utraty numeru lub SIM-swap'u bez weryfikacji dyskwalifikują tę ciekawą ofertę.

[iphoneski]

Tylko z drugiej strony potwierdzenie SMS jako drugi stopień nie zadziała np w momencie, gdy uszkodzi sie karta i będziemy musieli ją wymienić. Flex pozwala zrobić to wyłącznie w aplikacji, więc chcąc wprowadzić 2stopniową weryfikację, musieliby dać możliwość wymiany karty w salonie. Ewentualnie opcja numeru pomocniczego, na który przychodziłyby kody w momencie niemożności skorzystania z numeru Flex, albo powiadomienia w aplikacji na wcześniej zaufanych urządzeniach, tak jak jest to w przypadku Apple ID.

[Remington]

Zgadza się, dlatego napisałem:

potwierdzenie logowania/zmian SMS-em i alternatywnie Authenticatorem

[IC_Current]

Tylko z drugiej strony potwierdzenie SMS jako drugi stopień nie zadziała np w momencie, gdy uszkodzi sie karta i będziemy musieli ją wymienić.

No pisałem - aplikacja 2FA i kody jednorazowe, wydrukowane na kartce jako ostateczna metoda odzysku dostępu. Tak jak w Google i MS - normalnie powiadomienia w systemie, potem aplikacja 2FA i w ostateczności kody na kartce. Natomiast jak stracisz kartkę z kodami, to masz problem. Wtedy jakaś awaryjna metoda odzyskania hasła np po weryfikacji w salonie.

[kszaq]

Czy w ogóle istnieje możliwość zablokowania logowania przez mail+hasło, jeśli ustawia się je przy zakładaniu konta? Nie widzę takiej opcji w aplikacji.

Dla podstawowego bezpieczeństwa każda "niezbezpieczna" akcja polegająca na dodaniu/wymianie karty SIM powinna być potwierdzana przez dodatkowy kod na maila, tak samo jak logowanie na nowym urządzeniu.

[Remington]

Nie ma możliwości zablokowania. Nie ma autoryzacji. O to chodzi.

Artykuł sponsorowany:
https://www.telepolis.pl/artykuly/ap/or ... ex-esim-ap

Komentarz 3. nie jest mój - może to ktoś z Was? Łapkę w górę dałem.

[Window]

Może ten temat wymian kart sim to temat dla stron piszących o bezpieczeństwie takich jak Sekurak, Zaufana 3 Strona, Niebezpiecznik.pl

[Remington]

Dyskusję o art. sponsorowanych przeniosłem do dedykowanego wątku:
viewtopic.php?f=6&t=133358