Zmieni się sposób, w jaki wchodzicie do banku. Ma być bezpieczniej. Ale macie obawy, czy tak będzie

Do napisania tego artykułu zachęciły nas maile czytelników. Wiele osób denerwuje się tym, jak będzie teraz wglądać ochrona ich przelewów i ich pieniędzy.

Nasza czytelniczka ma rację, martwiąc się, że potwierdzenia SMS-em to nie jest najbezpieczniejszy sposób autoryzacji transakcji, problem polega na tym, że papierowe kody nie są od nich wcale lepsze.

14 września ma wreszcie wejść w życie modnie spóźniona (ponad rok) dyrektywa PSD2. Wymusza ona między innymi zmiany w zabezpieczeniach, które stosują banki przy potwierdzaniu przelewów. Wraz z początkiem roku szkolnego będą one musiały wprowadzić silne uwierzytelnienia, czyli zapewnić możliwość skorzystania z dwóch spośród trzech zaproponowanych metod do wyboru – opartej na unikalnej dla klienta wiedzy, posiadaniu przez niego określonego przedmiotu lub na jego cechach biometrycznych.

Europejski Urząd Nadzoru Bankowego (EBA) zasypywany pytaniami o to, jakie konkretnie sposoby uwierzytelnienia są dla niego akceptowalne, pod koniec czerwca zdradził swoją opinię na ten temat. Jego decyzja nie pozostawia złudzeń. Ani popularne jednorazowe potwierdzenia SMS-owe nie łapią się na listę silnych opartych na wiedzy metod, ani nie są dobrym wyborem listy z jednorazowymi kodami.

Jeśli chodzi o potwierdzenia za pomocą SMS-ów, to złodzieje na całym świecie coraz lepiej radzą sobie z wyłudzaniem duplikatów kart SIM od operatorów. Sprytny złodziej zbyt często jest w stanie wyrobić sobie duplikat takiej karty bez wiedzy ni zgody jej oryginalnego właściciela. Jeśli ukradną nam smartfona, zwykle już przy pierwszym fotogenicznym latte orientujemy się, że coś się stało i możemy szybko zareagować, biegnąc do placówki banku. Jeśli zdezaktywują naszą kartę SIM i uruchomią swój duplikat, możemy się przez długie godziny w ogóle nie połapać, że coś jest nie tak. Do tego zdarzają się ataki na protokoły SS7 działające w sieciach mobilnych.

W Niemczech banki już zapowiedziały wycofywanie się z tego rodzaju potwierdzeń transakcji i logowania.

Wiele kontrowersji wywołuje likwidacja przez banki listy haseł jednorazowych. Na pierwszy rzut oka wyglądają one bowiem na bardzo bezpieczny sposób autoryzacji - w końcu dostępu do nich bronią trzy groźne pluszowe misie ustawione nad szafką ze skarpetkami, w które są zawinięte kody. I to jest wbrew pozorom niezły argument. Fizyczność zdrapek to ich bardzo cenna cecha, problem polega na tym, że nie przyda się przesadnie, jeśli zhakowany jest komputer, na którym robimy przelew. Po wpisaniu przez nas kodu przechodzi on szybko w ręce przestępców, a my zostajemy w błogiej nieświadomości tego, że coś niepokojącego się w ogóle wydarzyło.

Tu wychodzi przewaga choćby potwierdzania za pomocą aplikacji, która podaje dane konta, na które przelewamy pieniądze i kwotę, którą płacimy. Jeśli zawsze je sprawdzamy, co bezwzględnie powinniśmy robić, to zauważymy, że ktoś nam próbuje pod nos podłożyć jakiś lewy transfer. Kradzież smartfona w tym wypadku nie powinna przesadnie ułatwić życia przestępcom, którzy nie tylko nie powinni móc go odblokować, ale i dostać się do chronionej PIN-em czy biometrią aplikacji bankowej.

Najbezpieczniejszym, aczkolwiek rzadko wykorzystywanym u nas rozwiązaniem, są tokeny fizyczne. Na przypominających prymitywne kalkulatory urządzeniach wpisujemy kilka ostatnich cyfr numeru rachunku, na który przesyłamy nasze ciężko zarobione pieniądze. Urządzenie w zamian generuje dla nas kod do wpisania na stronie przelewu. Dzięki temu mamy pewność, że pieniądze wędrują tam, gdzie chcemy. Takie tokeny mogą się od siebie różnić. O ile dobrze pamiętam, używany przeze mnie lata temu token jednego z irlandzkich lub szwedzkich banków wymagał dodatkowo zeskanowania karty płatniczej przy każdej większej transakcji.

Upierdliwe? Bardzo. Bezpieczne? Też bardzo.

Do tej pory korzystanie z silnego uwierzytelnienia przez banki było ich (i ich klientów) dobrą praktyką, teraz będzie obowiązkiem i z tego należy się cieszyć.