Od połowy września polskie banki wprowadzą bardziej skomplikowany sposób logowania do kont internetowych. Oprócz loginu i hasła będziemy podawali m.in. SMS autoryzacyjny. Bankowcy powołują się na unijną dyrektywę i mówią, że teraz będzie bezpieczniej. Tyle, że np. niemieckie banki z SMS-ów autoryzacyjnych właśnie się wycofują, twierdząc że są one… zbyt mało bezpieczne. Wiemy już, że jako jeden z pierwszych problem zauważył mBank. Szykuje się niezłe zamieszanie?
Do 14 września banki mają czas na dostosowanie swoich systemów do zapisów ustawy o usługach płatniczych (unijne tzw. PSD2). Jednym z jej wymogów jest tzw. dwuczynnikowa autentykacja. A więc banki mają obowiązek identyfikować klientów nie tylko na podstawie tego, co ci klienci wiedzą (np. login i hasło), ale też na podstawie tego co mają (np. smartfon) lub cechy, którą się mogą „wylegitymować” (np. odcisk palca).
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ten nowy wymóg ma zwiększyć bezpieczeństwo klientów i utrudnić życie złodziejom pieniędzy oraz tożsamości. Ale dla banków oznacza m.in. konieczność zmiany niektórych procedur. Większość banków pozwala się klientom logować do konta internetowego tylko na podstawie loginów i haseł (czyli czynnika „wiedzowego”). Teraz będą musiały dołożyć do tego drugi element (z wykorzystaniem przedmiotu lub cechy, którą klient się „legitymuje”).
Jednym z pierwszych banków, który poinformował swoich klientów o tych zmianach był mBank, który zrobił to już ponad tydzień temu. Klienci dowiedzieli się, że po 14 września przed wejściem na konto przez internet będą musieli dodatkowo się zidentyfikować.
W przypadku mBanku ta identyfikacja będzie mogła mieć dwa oblicza. Może to być konieczność podania hasła z wysłanego przez bank SMS-a (w większości banków w ten sposób potwierdza się też przelewy) lub weryfikacja mobilna – z udziałem smartfona i aplikacji mobilnej mBanku.
Przyszłość w mobilnej autoryzacji. Ale mało kto jej używa
mBank jest jednym z nielicznych banków, który wprowadził ten drugi sposób, czyli tzw. autoryzację mobilną. Jest dużo bezpieczniejsza, niż SMS autoryzacyjny. Żeby zlecić np. przelew trzeba nie tylko znać login i hasło do konta, ale i zalogować się do aplikacji mobilnej i tam wpisać PIN lub potwierdzić transakcję odciskiem palca (w zależności od tego jakie możliwości oferuje smartfon zarejestrowany przez klienta w banku).
A więc złodziej, żeby wyprowadzić z konta pieniądze, musiałby mieć w ręku telefon klienta i umieć go „odblokować”. W przypadku SMS-a ma łatwiej, bo wystarczy, że za pomocą wirusa przejmie zdalnie SMS autoryzacyjny, żeby wyprowadzić pieniądze z konta klienta.
Sęk w tym, że mobilna autoryzacja – jak wspomniałem – nie jest jeszcze dostępna we wszystkich bankach, a nawet w tych, w których jest dostępna, używa jej mniejsza część klientów (pozostali np. nie czują potrzeby instalowania w smartfonach aplikacji mobilnej banku).
Siłą rzeczy dziś podstawowym sposobem autoryzowania przelewów – a po 14 września zapewne również logowania się do konta przez internet w ramach „drugiego czynnika identyfikacji” – będą SMS-y autoryzacyjne. Po prostu klient będzie je podawał nie tylko przy zlecaniu przelewu, ale również przy logowaniu do konta (za każdym razem lub raz na jakiś czas, o ile doda swoje urządzenie do listy „zaufanych”).
Nowoczesność na wojnie z wolnością, czyli „oddajcie karty kodów”!
Dla niektórych klientów te zmiany są denerwujące, bo po prostu utrudniają życie – logowanie do banku będzie trwało dłużej i będzie bardziej skomplikowane w sytuacji, gdy np. zapomnimy telefonu, zgubimy go albo utracimy. Są i inne komplikacje. Banki zapewne pod pretekstem unijnej dyrekktywy o dwuskładnikowej autentykacji klientów wycofają najstarszy sposób potwierdzania – karty-zdrapki.
Taką decyzję podjął właśnie mBank, który już wcześniej zniechęcał klientów do zdrapek, narzucając zaporową cenę 9 zł za każdą dostarczoną klientowi kartę. Teraz całkiem skasuje możliwość potwierdzania transakcji hasłami z papierowej listy. Wśród oburzonych klientów jest pan Piotr, czytelnik „Subiektywnie o finansach”:
„Jestem klientem mBanku i dowiaduję się właśnie, że likwidowana jest papierowa lista z hasłami. Zostanie zastąpiona hasłami SMS-owymi. A co jeżeli nie mam telefonu? Zostanę pozbawiony dostępu do konta. Jest taki zapis w regulaminie banku, że jeśli nie podam numeru telefonu, to się nie zaloguję zdalnie do konta. To jest moim zdaniem jakaś nadinterpretacja tej nowej dyrektywy bankowej. Tym bardziej, że hasła SMS-owe też nie są bezpieczne. A w ten sposób ograniczana jest moja wolność, co mi się nie podoba. Może by Pan przeanalizował ten problem?”
Cóż, zagadnienie konfliktu wolności i nowoczesności jest pasjonujące, ale z pewnością nadaje się na coś poważniejszego, niż tylko krótki felieton, więc odłożę je na bok. Pan Piotr poruszył mimochodem inną kwestię – że pod pretekstem większego bezpieczeństwa zmusza się klientów do korzystania z SMS-ów autoryzacyjnych, które nie są wcale tak bezpieczne, jak się wydaje.
SMS autoryzacyjny jako drugie zabezpieczenie? „Wolne żarty!”
Dokładnie na ten sam problem zwróciły uwagę banki niemieckie, które – przygotowując się cdo wdrażania dyrektywy PSD2 w zakresie dwuczynnikowej autentykacji klientów – postanowiły… zrezygnować ze stosowania SMS-ów autoryzacyjnych twierdząc, że są one zbyt niebezpieczne i nie spełniają kryteriów narzucanych przez PSD2.
Przeczytałem o tym w niemieckich mediach, które też sporo piszą o nadchodzących zmianach dla klientów banków. Postbank planuje zrezygnować z SMS-ów autoryzacyjnych już w sierpniu, niemiecki oddział Raiffeisena i Volksbank planują to zrobić jesienią (informacja za dziennikiem ekonomicznym Handelsblatt), Deutsche Bank i Commerzbank planują również zrezygnować z SMS-ów, ale nie ogłosiły jeszcze kiedy. Elektroniczny N26 nic nie planuje, bo SMS-ów w ogóle nie wdrożył.
„Europejskiemu Urzędowi Nadzoru Bankowego (EBA) powierzono zadanie nadzoru nad wdrożeniem najnowszej części PSD2 w bankach i wydania regulacyjnego standardu technicznego, co zrobił w czerwcu. Zgodnie z tym dokumentem, rozwiązanie oparte na SMS-ach nie jest zgodne z PSD2 w większości swoich obecnych wdrożeń”
– czytam z kolei w serwisie ZDNet.com. Wśród powodów, dla których zaufanie do SMS-ów autoryzacyjnych spada, podaje się m.in. możliwość kradzieży pieniędzy klientom metodą „na duplikat SIM” – znaną i opisywaną szeroko na „Subiektywnie o finansach” – oraz możliwość zdalnego przejmowania kodów SMS przez złodziei pieniędzy (wystarczy skłonić ofiarę do fałszywej aktualizacji jakiejś aplikacji i tą drogą wprowadzić wirusa na jego smartfona).
„Branża bezpieczeństwa cybernetycznego ostrzega przed zabezpieczaniem systemów za pomocą uwierzytelniania opartego na SMS-ach ze względu na nieodłączne i niemożliwe do zniesienia słabości protokołu SS7 używanego od lat we wszystkich sieciach telefonii komórkowej. Luki w tym protokole pozwalają atakującym na „ciche” przejęcie numeru telefonu użytkownika, nawet bez wiedzy operatora telekomunikacyjnego, co pozwala śledzić użytkowników, autoryzować w ich imieniu płatności online lub żądania logowania na konto”
– pisze ZDNet.com. Luki te nie pozostały niezauważone przez niemieckich „bezpieczniaków” informatycznych. W maju 2017 r. BSI, niemiecka agencja bezpieczeństwa cybernetycznego, ostrzegła, że cyberprzestępcy mogą używać luk w protokole SS7 do przechwytywania wiadomości SMS wykorzystywanych w bankowości internetowej.
Warto przeczytać też: Pamiętacie kradzieże pieniędzy z naszych kont bankowych „na duplikat karty SIM”? Są dwie wiadomości: dobra i zła
Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?
Przeczytaj też: Nawet dwa lata odsiadki za produkcję i sprzedaż tzw. dokumentów kolekcjonerskich. To cios w wyłudzających kredyty. Ale czy skuteczny?
Co zamiast SMS-ów? Niemieckie banki już wiedzą. A polskie?
Czego banki w Niemczech zamierzają użyć jako drugiego składnika autentykacji klienta? Według Handelsblatt większość zapytanych banków przejdzie na tokeny działające offline (jakiś czas temu wyszły z użycia jako zbyt drogie i niewygodne), aplikacji uwierzytelniających instalowanych w smartfonach lub aplikacji, które używają do potwierdzenia tożsamości klienta kodów QR wyświetlanych w smartfonach.
Co to ma wspólnego z nami, szarymi zjadaczami bułek nad Wisłą i klientami polskich banków? Ano powinno nas to interesować z kilku powodów. Po pierwsze: nadchodzi zmierzch autoryzowania transakcji i innych rzeczy w bankach hasłami SMS-owymi. Po drugie: większość banków będzie miała trudną jesień, zwłaszcza jeśli nie wdrożyła żadnej innej metody autoryzacji poza SMS-ami.
Tutaj: Porównanie różnych metod autoryzacji, znalezione w serwisie Niebezpiecznik.pl, który polecam
Bankowcy myśleli, że „opędzą” nową wersję PSD2 technologią SMS-ową, a tu kiszka. Okazuje się, że to, co w Polsce miało być „zwiększeniem bezpieczeństwa” w niemieckich bankach jest już wyrzucane do kosza jako zaprzeczenie tegoż zwiększenia bezpieczeństwa.
mBank na tym tle jest gwiazdą, bo jego klienci od wielu miesięcy mogą korzystać z autoryzacji mobilnej i pewnie do jej stosowania bank będzie teraz intensywnie namawiał. Ale na tym nie poprzestanie. Wczoraj mBank poinformował, że we wrześniu pojawi się nowa aplikacja o nazwie mBank Token.
Program ma działać tak samo, jak mobilna autoryzacja dostępna w aplikacji mBanku. Różnica polega na tym, że będzie to osobny program bez innych funkcji, które są dostępne w standardowej aplikacji mobilnej. Będzie dostępny na platformy iOS i Android, pozwalając korzystać z autoryzacji przez smartfona także osobom, które nie chcą lub nie mogą instalować w swoich smartfonach aplikacji mobilnej mBanku (która jest niezbędna do mobilnej autoryzacji).
Przeprosimy się z tokenami sprzętowymi, tymi okropnymi pudełkami?
Najpewniej tym sposobem będą musiały pójść inne banki, w ekspersowym tempie rezygnując z SMS-ów autoryzacyjnych na rzecz nowocześniejszych sposobów autoryzacji. Kłopot polega na tym, że czasu jest mało, klienci na wakacjach, informatycy zarobieni, rozwiązania pewnie niegotowe i jak tu nie pogubić się w tym bałaganie?
Dobra wiadomość jest taka, że na końcu będzie jednak bezpieczniejsza bankowość. Przynajmniej na jakiś czas, bo kiedyś wydawało się, że SMS-y to ultrabezpieczny, nie do złamania, sposób autoryzacji transakcji. Kto wie, czy niedługo nie przeprosimy się z tokenami sprzętowymi, czyli tymi nie podłączonymi do internetu małymi pudełkami z jeszcze mniejszym wyświetlaczem. Przeklinaliśmy to-to za niewygodę, ale kłopot w tym, że nic bezpieczniejszego nie wymyślono.
źródło zdjęcia: Pixabay
