MFA - narzędzia do autoryzacji

Komentarze

Komentarze: 20

  • Oficjalny komentarz
    Avatar
    Małgorzata Rys

    Dzień dobry,

    monitorujemy i analizujemy sugestie przesyłane przez naszych Klientów. Na ten moment jednak nie planujemy wprowadzania powyższego zabezpieczenia. Obecnie sugerujemy korzystanie z weryfikacji dwuetapowej przy użyciu kodów SMS.

     

    Pozdrawiamy!

    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    Małgorzata Rys

    Dzień dobry,

    Panie Adamie, dziękujemy za sugestię, została ona przekazana do działu zajmującego się rozwojem produktu.

    Pozdrawiam

    -1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    piotr.galas+infakt.pl

    Tak samo przydałoby się uwzględnić Google Authenticator i najbardziej popularne na rynku tokeny sprzętowe, albo chociaż te wspierające FIDO2.

    3
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    Permanently deleted user

    Świetny pomysł! Popieram.

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    michalfied

    Witam serdecznie,

    Jaki jest aktualny status tej propozycji?

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    Adam Hatak

    Dzień dobry, 

    również jestem zainteresowany statusem tego zgłoszenia / propozycji. Jak obecnie wygląda sytuacja?

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    lukasz

    Dzień dobry,

     

    Widziałem, że prośby o inny sposób MFA przewijają się w sugestiach. Bardzo proszę o poważne podejście do tego tematu zanim przeczytamy o InFakcie na Niebiezpieczniku. 

    Integracja z FIDO2 jest naprawdę prosta, zwłaszcza że dla Ruby jest dużo gotowców, np. https://github.com/cedarcode/webauthn-ruby

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    lukasz

    Dzień dobry,

    Dziękuję za odpowiedź. Mimo wszystko, prosiłbym o rozważenie wprowadzenia zmiany w bliskim czasie, kody SMS nie są uważane za bezpieczną metodę 2FA. Po wpisaniu w Google "2FA SMS" dostajemy masę artykułów na ten temat, kilka z brzegu:

    https://www.icsynergy.com/2020/01/reconsider-using-sms-mfa-needs/

    https://plblog.kaspersky.com/2fa-practical-guide/9940/

    https://blog.sucuri.net/2020/01/why-2fa-sms-is-a-bad-idea.html

    Pozdrawiam

    2
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    aylard7

    Dzień dobry,
    również byłbym zobowiązany,  często podróżuje po świecie i przekładanie numeru nie jest zbyt fajne, ani noszenie drugiego urządzenia ze sobą. 

    Pozdrawiam

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    Adam Hatak

    Pani Małgorzata Rys

    jak widać coraz więcej osób zgłasza się i popiera tę propozycję. Proszę jeszcze raz rozważyć implementację takiego rozwiązania w inFakt. 

    Pozdrawiam i wszystkiego dobrego w nowym roku.

    3
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    piotr.galas+infakt.pl

    Adam Hatak, wygląda to tak, jakby całkowita roczna opłata szła teraz wyłącznie na utrzymanie i zyski dla firmy, czy może raczej przede wszystkim na zysk. Idąc dalej, sprawia to wrażenie jakoby infakt nie planował rozwoju żadnych nowych funkcjonalności, bo żadnych od dłuższego czasu nie widać. Nawet ewidentne UXowe/funkcjonalne babole, poprawki na góra kilka godzin, nie są robione.

    Jednym słowem - bierzcie co jest, albo spadajcie do kogo innego. Drogi Infakcie, z takim podejściem dość szybko wyrośnie Wam konkurencja, która Was zje. Na tym forum mamy ewidentny przykład jak traktujecie feedback od klientów, albo raczej jak ich centralnie olewacie.

    Infakcie, weźce sobie do serca potrzebę ciężkiej pracy i zarazem jako noworoczne postanowienie na 2021.

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    michalfied

    Witam serdecznie,

    Rozumiem, że dają Państwo jasno do zrozumienia nam klientom, że nie mają zamiaru dbać o nasze bezpieczeństwo? W takim przypadku pozostaje mocno rozważyć dalsze korzystanie z Państwa usług.

     
    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    Permanently deleted user

    Szanowni, 
    czy w tej sprawie coś się zmieniło? Czy planujecie dodać inne opcje niż SMS? Klucze sprzętowe (np. FIDO2) wydają się dzisiaj najbezpieczniejszym rozwiązaniem :)

    Liczę, że jednak uda się nam Was przekonać do takiego rozwiązania.

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Dzień dobry, 

    ponownie przekazałam sugestię do działu zajmującego się rozwojem aplikacji. 
    Nie mam dokładnej daty, natomiast opcja jest brana pod uwagę do wprowadzenia. 

    -1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    mateusz.bajorek

    Poza wspomnianym wyżej OTP, równie dobrą opcją zdecydowanie byłaby możliwość zatwierdzania tych akcji poprzez potwierdzenie na telefonie z zainstalowaną aplikacją. Można nawet wprowadzić do tego FaceID/czytnik linii papilarnych itd. (dokładnie jak to ma miejsce w aplikacjach wielu różnych banków).

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    Piotr Bienias | Manager Działu Obsługi Przedsiębiorcy i Księgowego

    Dzień dobry,

    dziękuję za sugestię, na ten moment wykorzystujemy weryfikację dwuetapową, więcej szczegółów na https://www.infakt.pl/blog/jak-zadbac-o-bezpieczenstwo-swoich-danych/. Natomiast sama kwestia bezpieczeństwa jest dla nas ważna, pracujemy nad kolejnymi usprawnieniami, nie tylko w zakresie logowania - szczegóły wkrótce. Pańską sugestię, za którą jeszcze raz dziękuję, przekazałem do odpowiedniego zespołu.

    Pozdrawiam

    -1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    piotr.galas+infakt.pl

    Drodzy użytkownicy Infakt,

    Czy Wam też mechanizm potwierdzania operacji z użyciem SMS szwankuje od kilku ostatnich miesięcy?

    Zalogować się mogę, bo tutaj SMSy przychodzą bez problemu. Schody zaczynają się przy tych odpowiedzialnych za potwierdzenie wystawienia faktury. Nie dochodzą i trzeba czasowo wyłączać dwuskładnikowe uwierzytelnianie.

    Będę wdzięczny za Wasze odpowiedzi.

    0
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    Permanently deleted user

    Piotrze, 
    To co obserwuję to czasem SMSy nie są wysyłane, muszę ponowić logowanie i za drugim, trzecim razem wiadomość z kodem jest dostarczana.
    Wdrożenie rozwiązania opartego o kody w aplikacji na pewno byłoby wygodniejsze. A nawet potwierdzanie logowania w aplikacji inFakt byłoby również w porządku.

    1
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    piotr.galas+infakt.pl

    Niestety, dalej 2FA po SMSie nie działa jak powinno i inFakt nawet nie komunikuje, co się z tą sprawą dzieje.

    Co więcej wiadomo, że 2FA to nie MFA i że to dodatkowy wydatek, żeby przeprowadzić implementację, która działa poprawnie i nie generuje użytkownikom problemów.
    Nie mniej, obserwując rynek, chyba warto przeanalizować podjęcie takiego wysiłku i wyprzedzić konkurencję.
    Banki zaczynają aktywnie wchodzić w temat.
    https://www.cashless.pl/13238-ing-wprowadzi-u2f

    0
    Czynności dotyczące komentarzy Łącze bezpośrednie
  • Avatar
    Piotr Bienias | Manager Działu Obsługi Przedsiębiorcy i Księgowego

    Dzień dobry,

    dziękuję za komentarz; nie mamy większej liczby zgłoszeń, które wskazywałyby na nagminne/większe ilości nieprawidłowości z wysyłką sms. Niemniej jednak planujemy w tym zakresie zmianę na takie rozwiązanie, które stosowane jest również przez banki. Jeszcze raz powtórzę, że bezpieczeństwo jest dla nas bardzo ważne. Pracujemy nad tym, nie chcę tu deklarować dat, czy planowanych rozwiązań, przekażę tylko, że pod uwagę brane jest również rozwiązanie typu Authenticator, natomiast co do kluczy U2F - tego rozwiązania nie planujemy.

    Pozdrawiam

    0
    Czynności dotyczące komentarzy Łącze bezpośrednie

Zaloguj się, aby dodać komentarz.