Takiego logowania nie ma żaden bank w Polsce. ING Bank Śląski krzyżuje plany przestępcom
Ta metoda weryfikacji użytkownika jest powszechnie stosowana przez wiele popularnych serwisów internetowych. Nie jest może u nas specjalnie popularna – a szkoda! – ale krok banku może to zmienić.
Jeśli jeszcze jakimś cudem nie korzystacie z dwuetapowej weryfikacji, musicie jak najszybciej to zmienić i ją włączyć. W bankach na szczęście jest to domyślnie włączone, a klienci po wpisaniu loginu lub hasła potwierdzają się za pomocą SMS-ów czy aplikacji. Niestety liczne przykłady pokazują, że nie jest to niemożliwa do przejścia blokada, tym bardziej gdy kody autoryzacyjne podaje się samym złodziejom. Albo w rozmowie przez telefon z fikcyjnym konsultantem, albo wpisując je na podrobionej stronie.
Nie da się jednak ukryć, że jest to jakieś zabezpieczenie – nawet gdy przestępcy będą znali nasze hasło, to bez dostępu do telefonu i tak nie zalogują się na konto. Eksperci do spraw bezpieczeństwa zwracają uwagę, że lepsze od kodów SMS czy w aplikacji są klucze U2F. To osobne urządzenia podpinane do komputera lub łączące się z telefonem, zawierające przycisk. Po jego wciśnięciu system wie, że my to my.
Podczas próby logowania, już po podaniu prawidłowego loginu i hasła, serwer zaczyna porównywać przekazane mu uprzednio dane z tymi, które dostarcza przeglądarka internetowa. (…) Co istotne, klucze U2F komunikują się bezpośrednio z przeglądarką internetową, co oznacza, że są odporne na ataki z użyciem np. keyloggera — nikt w ich przypadku nie wciska żadnych klawiszy na klawiaturze i przechwycenie danych tą metodą jest niemożliwe. Na nic atakującym zda się też klasyczny phishing, bo w celu zalogowania się i tak trzeba posiadać fizyczny dostęp do klucza – pisaliśmy tłumacząc, czym są klucze U2F.
Ich plusem jest także fakt, że jeden klucz otwiera wiele zamków, to jest serwisów internetowych. Ostatnio Twitter chce zmusić niepłacących za "lepsze" konto do przejścia na taką metodę weryfikacji. Z jednej strony to kontrowersyjny pomysł, ale z drugiej nie brakuje osób twierdzących, że taka "siłowa" forma promocji kluczy wyjdzie użytkownikom na dobre.
ING Bank Śląski wprowadzi klucze U2F
Jak przypomina portal Sekurak, zapowiedź wdrożenia tej opcji pojawiła się jeszcze w 2021 roku, ale dopiero w najbliższym czasie pomysł uda się zrealizować. W rozmowie z serwisem Cashless przedstawiciele banku potwierdzili, że rozwiązanie zostanie wprowadzone na przełomie II i III kw. 2023 r. Czyli to kwestia tygodni.
To w sumie dość zaskakujące, że metoda zabezpieczenia, która od dawna dostępna jest w popularnych serwisach, w polskich bankach jest nowością. To najlepiej pokazuje, że raczej mało kto z niej korzysta. Szkoda, bo klucze U2F choć nie są idealnym "ochroniarzem", to jednak chronią lepiej niż wspomniane kody SMS czy te generowane przez aplikację.
