PRNews.pl - banki, karty, konta oraz marketing i public relations

Najświeższe informacje z PRNews.pl w Twojej skrzynce!

Codziennie aktualne wiadomości ze świata finansów.

Zapisz się na nasz Newsletter ​i bądź na bieżąco z nowościami z branży!

  • Raporty
  • Instytucje
    • Alior Bank
    • Allianz Partners Polska
    • Bank BPS
    • Bank Millennium
    • Bank Ochrony Środowiska
    • Bank Pekao SA
    • Bank Pocztowy
    • Banki spółdzielcze
    • BGK
    • Biuro Informacji Kredytowej
    • BNP Paribas
    • Citi Handlowy
    • Compensa
    • Credit Agricole
    • Deutsche Bank
    • DNB
    • Erste Bank Polska
    • EuropAssistance
    • ING Bank Śląski
    • KIR
    • Klarna
    • Link4
    • Mastercard
    • mBank
    • Mondial Assistance
    • mPay
    • Nationale-Nederlanden
    • Nest Bank
    • PKO BP
    • PKO Leasing
    • Plus Bank
    • PolCard from Fiserv
    • Polski Standard Płatności
    • Pru
    • PZU
    • Raiffeisen Digital Bank
    • Revolut
    • Santander Consumer Bank
    • SGB
    • Standard Chartered Polska
    • Toyota Bank Polska
    • Trade Republic
    • Twisto
    • UniCredit
    • VeloBank
    • Vienna Life
    • Visa
    • Volkswagen Bank Oddział Polska
  • Produkty
    • Bankowość internetowa
    • Bankowość mobilna
    • Oszczędzanie
    • Bezpieczeństwo
    • Karty
    • Kredyty
    • Konta
    • Płatności mobilne
    • Ubezpieczenia
  • Analizy
  • Kariera w finansach
  • Szkolenia
  • Forum
  • Newsletter
PRNews.plWiadomościCzy nie ma bezpiecznej metody autoryzacji?

Czy nie ma bezpiecznej metody autoryzacji?

Wiadomości 07.11.2014 (14:18)

Pod koniec października miało miejsce szóste już spotkanie z cyklu Wheel Evening – nieformalnych spotkań społeczności z branży bezpieczeństwa IT, organizowanych przez firmę Wheel Systems.

Gościem specjalnym 6. edycji był Paweł Goleń, piastujący stanowisko IT Risk & Specialist w UBS, ekspert w dziedzinie bankowości internetowej, a także projektant i wieloletni tester wykorzystywanych w nich mechanizmów bezpieczeństwa.

Z racji wieloletniego doświadczenia prelegenta w tym obszarze, tematem przewodnim spotkania była skuteczność metod autoryzacji transakcji bankowych. Paweł Goleń omówił słabe i mocne strony najpopularniejszych metod, z których w samej tylko Polsce aktywnie korzysta ponad 8 milionów klientów banków. Większość nieświadoma związanych z tym zagrożeń. Jak się okazało, żaden za sposobów autoryzacji nie gwarantuje 100-procentowego bezpieczeństwa, a niektóre z nich, np. kody SMS zapewniają jego różny stopień, w zależności od kraju, w którym są stosowane. Z analizy jasno wynika też jak istotnym elementem systemów autoryzacji transakcji jest ich użytkownik. Często, to on jest tym ogniwem, na barkach którego spoczywa ciężar ostatecznej weryfikacji, potwierdzającej prawdziwość wykonywanej transakcji.

Możliwe scenariusze ataków i najpopularniejsze metody autoryzacji


Bazując na możliwościach oferowanych przez takie metody ataków jak phishing, man-in-the-middle, czy malware, przechwyciwszy potrzebne dane cyberprzestępcy mogą, np. zmodyfikować numer rachunku „zaufanego” przelewu, samodzielnie przeprowadzić operację lub powtórzyć już wykonaną. Mogą również dowolnie modyfikować informacje wyświetlane w interfejsie bakowości, dzięki czemu są w stanie ukryć przed użytkownikiem wykonane modyfikacje. Metody autoryzacji operacji bankowych mają, z kolei, na celu zminimalizowanie tego ryzyka. Różnią się jednak stopniem skomplikowania, oraz oferowanego bezpieczeństwa1.

Wśród przeanalizowanych metod znalazły się te najcześciej wykorzystywane przez instytucje finansowe, czyli:

– Klasyczne „zdrapki”, czyli karty TAN (Transaction Authorisation Number)

– Generator haseł jednorazowych (token)

– Podpis cyfrowy

– Kody SMS (mTAN)

Karty TAN


Część banków wciąż stosuje metody autoryzacji transakcji takie jak karty TAN (karty zdrapki z hasłami jednorazowymi). Założenie jest proste – żeby potwierdzić realizację operacji użytkownik musi użyć wskazanego, jednorazowego hasła z fizycznego nośnika. Niestety metody te nie są absolutnie dostosowane do dzisiejszych zagrożeń, gdyż hasła z karty TAN nie są w żaden sposób powiązane z operacją, którą potwierdzają.

Token sprzętowy


Teoretycznie, token jest pewniejszym rozwiązaniem niż karty zdrapki, ponieważ generowane przez niego hasła zmieniają się wraz z upływem czasu. Często wymagane jest także posłużenie się dodatkowym kodem PIN konkretnego tokena. Nadal jednak hasło wygenerowane przez token nie jest powiązane z potwierdzaną operacją. Analogicznie zresztą jak w przypadku kart TAN. Po przechwyceniu hasła, można nim potwierdzić dowolną inną operację.

Nie jest to abstrakcyjne niebezpieczeństwo. Nie chodzi bowiem o złodzieja zaglądającego przez ramię. W dzisiejszych czasach najpoważniejszym zagrożeniem dla bezpieczeństwa bankowości elektronicznej jest złośliwe oprogramowanie, działające na komputerze klienta. Jest ono w stanie podmienić, np. numer konta w wykonywanym przelewie. W ten sposób pieniądze, zamiast tam gdzie powinny, trafią np. na rachunek zasilający kartę przedpłaconą, będącą w posiadaniu tego złodzieja.

Podpis cyfrowy


Jednym z bezpieczniejszych rozwiązań, służących do autoryzacji, m.in. transakcji bankowych jest cyfrowe podpisywanie operacji. Metoda ta wymaga podłączenia do komputera lub telefonu czytnika i wsunięcie do niego odpowiedniej karty z kluczem prywatnym. Klucz ten, po podaniu kodu PIN, jest wykorzystywany do podpisania określonych danych autoryzujących konkretną transakcję.

Nie jest to jednak rozwiązanie pozbawione wad. Proces podpisu jest kontrolowany przez oprogramowanie zainstalowane na telefonie lub komputerze, złośliwe oprogramowanie może więc modyfikować ten proces. Dodatkowo, o ile karta tkwi w czytniku, istnieje ryzyko nadużycia ze strony złośliwego oprogramowania i autoryzację operacji bez fizycznego udziału i poza świadomością użytkownika.

Kod SMS


Jedną z najpopularniejszych i najbardziej bezpiecznych metod autoryzacji transakcji, stosowanych przez polskie banki to mTAN, czyli hasła wysyłane SMS-em. Kluczowe dla bezpieczeństwa nie jest jednak samo hasło, ale dane, które klient banku wraz z nim otrzymuje. Jeżeli klient sprawdzi czy dane w wiadomości zgadzają się z danymi operacji, wprowadzonymi do przeglądarki zyska pewność, że nie jest obiektem ataku, a pieniądze trafią tam, gdzie powinny. Jeżeli jednak użytkownik przepisze hasło do przeglądarki bez weryfikacji danych z SMS-a, całe zabezpieczenie staje się tylko niewygodnym dodatkiem. Niestety wciąż, niewiele osób zdaje sobie sprawę jak ważna jest weryfikacja otrzymanej wiadomości, dostarczanej wraz z hasłem do autoryzacji operacji.

SMS-y są bezpieczniejszą metodą niż karty TAN czy tokeny sprzętowe, nie są jednak bez wad. Klient musi być świadomy, że treść SMS-a z banku można podejrzeć również na etapie przechodzenia przez bramkę brokera SMS, pośredniczącego w transmisji, oraz operatora sieci GSM, w której zalogowany jest telefon – odbiorca wiadomości. Trzeba też mieć zaufanie, że jeżeli atakujący przyjdzie do operatora GSM z podrobionym dowodem tożsamości i wystąpi o duplikat karty SIM, operator GSM zweryfikuje jego tożsamość tak wnikliwie jak zrobiłby to bank. W innym przypadku SMS-y z hasłem autoryzacyjnym trafiać będą nie na aparat klienta banku, którego kartę SIM wygaszono w trakcie wydawania duplikatu, ale właśnie na „podrobiony” telefon złodzieja. Coraz powszechniejsze staje się również złośliwe oprogramowanie, które zainstalowane na telefonie użytkownika, jest w stanie przekazywać wiadomości SMS na numer atakującego.

Po wystepie eksperta rozpoczęła się dyskusja. Uczestnicy spotkania wspólnie przeanalizowali także rozwiązanie CERBToken, stworzone przez firmę Wheel Systems.

CERBToken


Rozwiązaniem, które nie posiada wad metody SMSowej jest aplikacja mobilna CERBToken, stosująca metodę challenge-response. Aplikacja nie komunikuje się w żaden sposób z bankiem. Po wpisaniu danych do przelewu, na stronie pojawia się wygenerowany na ich podstawie dziewięciocyfrowy kod. Zadaniem użytkownika jest przepisanie go do aplikacji CERBToken, która następnie rozwija go ponownie do formy najbardziej kluczowych informacji o operacji. Dopiero, gdy klient stwierdzi, że dane są poprawne, aplikacja wygeneruje jednorazowe hasło, którym można autoryzować tylko tę konkretną operację.

Kluczowe z punktu widzenia bezpieczeństwa jest bowiem, aby metoda autoryzacji pozwalała przekazać klientowi szczegóły wykonywanej operacji innym kanałem, niż ten, przez który łączy się z bankiem (najlepiej poprzez niezależne urządzenie) i w ten sposób umożliwić mu weryfikację danych w trakcie autoryzowania operacji. Nie ma bowiem idealnej, gwarantującej bezpieczeństwo metody autoryzacji operacji bankowych.

Zwyczajnie, niektóre są trudniejsze do pokonania niż inne, a najsłabszym ogniwem każdego systemu jest nieostrożny użytkownik.

1 Efektywna metoda autoryzacji została zdefiniowana jako metoda, która pozwala użytkownikowi nie tylko na potwierdzenie chęci wykonania operacji, ale przede wszystkim umożliwia potwierdzenie istotnych parametrów operacji, która zostanie wykonana.

2014-11-07
Redakcja PRNews.pl

Sprawdź także:

a 0 Kolejna edycja specjalnych ofert oszczędnościowych w ING
09.07.2026 (21:43)

Kolejna edycja specjalnych ofert oszczędnościowych w ING

ING Bank Śląski uruchomił kolejną edycję oszczędnościowych ofert specjalnych dla aktywnych klientów indywidualnych. …

a 0 18 tys. aktywacji programu LINK4 dla dobrych kierowców. Uczestnicy jeżdżą wolniej
09.07.2026 (21:39)

18 tys. aktywacji programu LINK4 dla dobrych kierowców. Uczestnicy jeżdżą wolniej

Program telematyczny LINK4 „Doceniamy Dobrych Kierowców" aktywowano już ponad 18 tys. razy, a uczestnicy …

a 0 UniCredit wprowadza gwarancje bankowe i linie gwarancyjne dla firm
09.07.2026 (09:40)

UniCredit wprowadza gwarancje bankowe i linie gwarancyjne dla firm

UniCredit rozszerzył ofertę dla przedsiębiorców o gwarancje bankowe oraz odnawialne linie gwarancyjne. Produkty z …

a 0 PPK jak skarbonka? PFR Portal PPK: relacja zwrotów do wpłat spada
09.07.2026 (09:37)

PPK jak skarbonka? PFR Portal PPK: relacja zwrotów do wpłat spada

W odpowiedzi na medialne sugestie, że uczestnicy PPK masowo wypłacają środki, PFR Portal PPK przedstawił dane. …

a 0 Przenoszenie rachunków bankowych w systemie Ognivo w II kw. 2026 r.
09.07.2026 (09:03)

Przenoszenie rachunków bankowych w systemie Ognivo w II kw. 2026 r.

W II kw. 2026 r. decyzję o zmianie rachunku bankowego, z wykorzystaniem systemu Ognivo, podjęły 2 933 osoby. …

a 0 "Rozmowy w rytmie życia" – nowy podcast ING o zmianach społecznych i finansach
09.07.2026 (09:02)

"Rozmowy w rytmie życia" – nowy podcast ING o zmianach społecznych i finansach

ING uruchomił podcast „Rozmowy w rytmie życia” – poświęcony najważniejszym zmianom demograficznym i społecznym, …

PRNews.pl

Zobacz również

9 zł dla ZUS, 50 zł dla banku. Przedsiębiorca pyta PKO BP, dlaczego egzekucja kosztuje więcej niż sam dług

9 zł dla ZUS, 50 zł dla banku. Przedsiębiorca pyta PKO BP, dlaczego egzekucja kosztuje więcej niż sam dług

Do redakcji napisał przedsiębiorca ze sklepem internetowym.…

Klasyka oszustw wraca w nowych szatach – paczki, podatki i mandaty

Klasyka oszustw wraca w nowych szatach – paczki, podatki i mandaty

Jeśli coś działa, to lepiej nie psuć…

VeloBank zwróci niesłusznie naliczone opłaty po migracji Citi. Reklamacje złożyło ok. 0,7 proc. klientów

VeloBank zwróci niesłusznie naliczone opłaty po migracji Citi. Reklamacje złożyło ok. 0,7 proc. klientów

VeloBank odpowiada na kolejne pytania Bankier.pl po…

Cyfrowa hipoteka w ING: Nie ma kompromisu dla bezpieczeństwa

Cyfrowa hipoteka w ING: Nie ma kompromisu dla bezpieczeństwa

Docelowo niemal wszystkie wnioski o kredyt mają…

Kody SMS z polskich banków nie dochodzą za oceanem. KNF wskazuje na blokady operatorów w USA i Kanadzie

Kody SMS z polskich banków nie dochodzą za oceanem. KNF wskazuje na blokady operatorów w USA i Kanadzie

Klienci w USA i Kanadzie korzystający z…

O tym mówią bankowcy

Ostatnie komentarze

avatar komentującego

PykPyk:

Zamiast zajmować się pierdołami niech dopracują swoją beznadziejną aplikację bankową bo ma podstawowe …

wt., 7 lip 2026 (16:36) • UniCredit uruchamia pierwszą w Polsce bankową grę fabularną “Kosmiczna Fortuna”

avatar komentującego

human1:

Trochę spóźniony ten news. Ta gra rozpoczęła się w kwietniu. …

niedz., 5 lip 2026 (20:03) • UniCredit uruchamia pierwszą w Polsce bankową grę fabularną “Kosmiczna Fortuna”

avatar komentującego

Marek Fra:

Wygłupili się powierzając wybór nadesłanych prac ludziom, którzy nie mają pojęcia jak odróżnić …

pt., 5 cze 2026 (06:23) • Erste Wiedeński to pierwszy międzynarodowy pociąg marki bankowej, który połączył Polskę i Austrię

avatar komentującego

mistrz:

Podejrzane rozwiazanie do którego oddajemy dane zdrowotne …

czw., 21 maj 2026 (15:07) • Allianz Partners wdraża Minte AI do automatyzacji likwidacji szkód

avatar komentującego

MalmoMind:

Przestańcie reklamować patologię inwestycyjną która za parę lat stanie się tym samym czym …

pon., 27 kw. 2026 (10:19) • XTB wchodzi do Serie A. Polska aplikacja globalnym partnerem SSC Napoli

  • SMART Bankier
  • Kredyt konsolidacyjny
  • Pożyczki na raty
  • Konto firmowe
  • Kurs inwestowania
  • Kalkulator brutto netto
  • Kalkulator kredytu gotówkowego
  • Kalkulator zdolności kredytowej
  • Rozlicz najem w PIT-28
  • pit 37 online na pit.pl
  • Rozliczenie pit
  • Program pit
  • Pit 11
  • Promocje Pekao S.A.
  • Promocje BNP Paribas
  • Promocje Citi Handlowy
  • Promocje bankowe
  • Promocje Alior Bank
  • Promocje Santander Bank
  • Promocje PKO BP
  • Promocje Millenium
  • Promocje ING Bank Śląski
  • Promocje mBank
  • Promocje Velobank
  • Promocje Nest Bank
  • O nas
  • Kontakt
  • Reklama
  • Newsletter
  • Prześlij informację
  • RSS
  • zgarnijpremie.pl
Bonnier Business Polska Bankier.pl – Portal Finansowy – Rynki, Twoje finanse, Biznes PIT.pl -Podatki dla małych firm i osób fizycznych, rozliczenia roczne Systempartnerski.pl - system afiliacyjny Bankier.pl PRNews.pl - banki, karty, konta oraz marketing i public relations Mambiznes.pl - Pomysł na biznes, Własna firma, Biznes plan Dyskusja.biz - Blogi o biznesie, artykuły biznesowe Puls Biznesu pb.pl - rynek, akcje, spółka, przedsiębiorca, budżet Pulsmedycyny.pl - Portal lekarzy i pracowników służby zdrowia Pulsfarmacji.pl - Portal aptekarzy, techników i pracowników sektora farmaceutycznego
© 2008 − 2026 PRNews.pl. Korzystanie z portalu oznacza akceptację regulaminu. Informacja o cookies. Polityka prywatności

Bezpłatny newsletter PRNews.pl

  • PRNews.pl to najbardziej opiniotwórczy serwis w branży bankowej. Przekonaj się dlaczego!
  • Codziennie rano otrzymasz skrót najważniejszych informacji ze świata finansów
  • Dzięki temu będziesz zawsze wiedział o nowych produktach, promocjach i usługach bankowych, ubezpieczeniowych i inwestycyjnych
  • Aktualne wiadomości z prasy i z samych instytucji finansowych - zupełnie bezpłatnie, wprost na twoją skrzynkę mailową
Zapisz się na newsletter:

Dołącz już dziś do niemal 38 tys. odbiorców