Kody SMS-owe zamiast papierowych zdrapek, hasła maskowane oraz klawiatura ekranowa - to najnowsze zabezpieczenia banków przed hakingiem w internecie.
Pekao wprowadza nowe zabezpieczenia w serwisie pekao24, m.in: klawiaturę ekranową i klucz elektroniczny oraz kody SMS. Wcześniej bank zaczął stosować także hasła maskowane.
Banki muszą nieustająco poprawiać swoje zabezpieczenia, bo przybywa prób ataków na ich serwisy transakcyjne.
- Zastanawiamy się nad wzmocnieniem naszego systemu logowania, rozważamy kilka rozwiązań, które mogą zostać wprowadzone - zapowiada Piotr Matusewicz z mBanku.
Kody przez SMS
Coraz więcej banków decyduje się na kody sms (dostarczane przez bank na telefon komórkowy) zamiast papierowej listy z jednorazowymi hasłami. Obecnie autoryzacja z użyciem kodów SMS jest stosowana m.in. w BZ WBK, Banku BPH, Citibanku, MultiBanku i mBanku. Wyróżnikiem kodu SMS jest jego powiązanie z konkretną operacją zleconą w serwisie transakcyjnym. Dla przykładu, regulując opłaty w gazowni, otrzymujemy hasło tylko i wyłącznie przypisane tej jednej operacji, nie możemy nim zautoryzować innej transakcji.
Nie gorzej niż na świecie
Banki przechodzą także na system haseł maskowanych, uważanych za bezpieczniejszy.
- Obecnie bank wprowadza stopniowo nowy rodzaj hasła. Klient świadomie może przejść do hasła, w którym wpisuje tylko część znaków z całego hasła. Tego typu rozwiązanie powoduje, że znacząco zmniejsza się ryzyko utraty hasła już po jednokrotnym logowaniu na komputerze zainfekowanym tzw. keyloggerem - informuje Grzegorz Adamski z BZ WBK.
Banki w Polsce stosują już zabezpieczenia, które są porównywalne z tymi, które wprowadza się na świecie.
- Wszystkie możliwe rozwiązania, które funkcjonują w innych krajach, są stosowane również przez polskie banki. Nie oznacza to jednak, że te zabezpieczenia są niezawodne - uważają eksperci.
Klient musi się chronić
- Przykładem jest niedawny atak hakerów w Estonii na instytucje rządowe oraz instytucje finansowe, w tym sześć banków. W ich efekcie legalni użytkownicy bankowości internetowej nie mogli się dostać do swoich serwisów. Gdyby podobny atak nastąpił w Polsce, skutki byłyby podobne - uważa Krzysztof Silicki, przedstawiciel Polski w Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA.
Niedawno serwis Heise Online poinformował o usterkach bezpieczeństwa w serwisach bankowości elektronicznej dwóch polskich banków: Noreda Bank Polska oraz MultiBanku. Oba banki szybko zareagowały i usunęły luki.
Krzysztof Silicki dodaje, że najlepsze zabezpieczenia bankowe nie pomogą, jeśli użytkownik nie będzie chronił swojego komputera, m.in. poprzez programy antywirusowe i systemy zabezpieczające przed ingerencją nieuprawnionych osób w zawartość komputera.
ZE STRONY PRAWA
Bank odpowiada za operacje dokonywane w internecie przez klienta banku, ponieważ ciąży na nim obowiązek zapewnienia bezpieczeństwa operacji drogą elektroniczną. Jeśli więc dojdzie do utraty środków z konta internetowego z winy banku, klient ma prawo dochodzić zwrotu pieniędzy. Odpowiedzialność banku jest jednak wyłączona w przypadku operacji wykonywanych przez osoby, którym klient udostępnił informacje umożliwiające dokonanie operacji i które mogą spowodować brak działania mechanizmów zabezpieczających. Dotyczy to przede wszystkim sytuacji, gdy transakcje zostały potwierdzone osobistym hasłem oraz numerem z karty kodów jednorazowych.
MONIKA KRZEŚNIAK