Michał Macierzyński
-
06.08.2008 (08:54) Bezpieczeństwo bankowości internetowej jest kwestią najwyższej wagi. Zwłaszcza ostatnio, kiedy z tego kanału dostępu korzysta coraz większa liczba klientów, a media donoszą o kolejnych próbach „włamań” na rachunki użytkowników. Ostatnim medialnym hitem okazało się możliwość poznania salda i danych na temat rachunku w najnowszych wersjach alternatywnych do IE przeglądarek.Omawiane ostatnio szeroko zagrożenie jest czysto teoretyczne, bo wymagające spełnienia równocześnie kilku elementów. Nawet jeśli już ktoś pozna nasze saldo czy numer rachunku, to jedyną rzeczą jaką może zrobić, to przelew na zapisany wcześniej w systemie rachunek – a i to nie zawsze. Zabezpieczeniem przed transakcjami dowolnymi, jest dodatkowa autoryzacja. W tym przypadku potencjalny złodziej jest bezsilny. To oczywiście podstawy, jednak media rządzą się własnymi prawami.
Patrząc na rynek bankowości internetowej należy stwierdzić, że banki odrobiły swoją lekcję. Rodzima bankowość internetowa należy do jednych z najbezpieczniejszych na świecie i może w tym zakresie służyć za wzór dla innych krajów. Co więcej widać, że banki zdają sobie sprawę, jak ważny jest to element oferty i cały czas inwestują w rozwój stosowanych zabezpieczeń.
Patrząc na hierarchię siły zabezpieczeń, tuż za pojedynczym, stałym loginem i hasłem, znajdują się zabezpieczenia składające się z dwóch stałych haseł – nawet jeśli, tak jak w przypadku ING BSK i BPH, był tam dodany element w postaci certyfikatu. Jeśli złodziej wszedł w posiadanie jednego hasła, zdobycie drugiego nie było już takie trudne. Oczywiście pomagało (czy raczej komplikowało zdobycie danych) maskowanie haseł czy dodawanie właśnie certyfikatów. Mimo wszystko te dwa banki zdecydowały się na zmianę sposobu zabezpieczeń na hasła SMSowe. Nieco inną drogą poszedł Kredyt Bank, bo ten wprowadził papierową listę haseł jednorazowych. Mimo, że jest to już stosunkowo archaiczny (ale wciąż skuteczny) sposób zabezpieczeń, udało mu się wprowadzić kilka innowacji. Po pierwsze numery porządkowe kolejnych haseł są losowe, czyli złodziej nie może poprosić o podanie numeru 25,26 i 27. Po drugie system banku prosi o hasła w sposób losowy, a nie narastający. Po tej zmianie pewnym wyjątkiem na tle rynku był Millennium.
W jego przypadku sposób zabezpieczenia bankowości internetowej był ściśle powiązany z placówką. Tym samym bank nie mógł rozszerzyć swojego zasięgu geograficznego na miejsca, gdzie tych oddziałów nie było… Wszystko ze względu na drukowanie hasła potwierdzającego transakcje w bankomacie. Do tego potrzebna jest też karta płatnicza… Potwierdzenie przelewu polegało na wprowadzeniu trzech losowych liczb z hasła. Problem w tym, było ono stałe… Również sposób logowania – inny niż w przypadku konkurencji, nie jest aż tak bezpieczny jak to wygląda na pierwszy rzut oka. PESEL nie jest tutaj najlepszym rozwiązaniem – zwłaszcza, że 6 pierwszych jego cyfr związanych jest z datą naszego urodzenia…
Chociaż nie było słychać o żadnych większych włamaniach na rachunki klientów Millennium, to ten w końcu zdecydował się na zmianę sposobu autoryzacji transakcji. Wykorzystano tutaj SMSowe hasła jednorazowe. Klienci mogą z nich korzystać od początku tego tygodnia. Logując się do serwisu transakcyjnego, system sugeruje zmianę sposobu autoryzacji na hasła SMSowe. Podawany jest numer telefonu, który jest w systemie i na przykład służy do otrzymywania alertów SMSowych. Potwierdzenie wymaga nowego i starego sposobu jednocześnie – czyli wpisania hasła otrzymanego SMSem i potwierdzenie wszystkiego starym sposobem. Od tej pory transakcje można już zatwierdzać hasłami SMSowymi.Co istotne – hasła są bezpłatne.
Z innych nowości. Polbank24 można obsługiwać korzystając z systemu Windows Vista. Jakieś półtora roku po czasie. Dobre i to 🙂
Wojciech Boczoń
