Banki w pośpiechu likwidują karty-zdrapki i... tokeny. Ale dlaczego tokeny?

Od 14 września klientów banków czekają zmiany w sposobie logowania do konta oraz zatwierdzania transakcji. W niektórych przypadkach będą to zmiany radykalne – bankowcy likwidują możliwość używania do autoryzacji nie tylko kart-zdrapek, ale czasem też SMS-ów, a nawet… tokenów, które wydawały się dotąd najbezpieczniejsze. Dlaczego tokeny nie spełniają już wymogów bezpieczeństwa?

Największe banki poinformowały już klientów o czekających ich zmianach. Wymusza je dyrektywa PSD2, a w zasadzie ta jej część, która mówi o tzw. silnym uwierzytelnianiu. Unia Europejska chce, by banki lepiej zabezpieczały klientów przed złodziejami pieniędzy i wyłudzaczami danych. Banki mają więc „podwoić krycie” i sprawdzać klientów co najmniej dwoma sposobami.

Ciekawe? Po przeczytaniu wróć tutaj, kliknij i odkryj sprawdzone patenty Samcika na ochronę przed inflacją

Tam, gdzie do tej pory wystarczał login i hasło (a więc coś, co klient wie), teraz będzie potrzebne też coś, co klient ma (smartfon, inne urządzenie) lub jakaś cecha klienta (czyli element biometrii).

Koniec kart-zdrapek i… tokenów

To jeszcze pikuś. Logowanie z SMS-em autoryzacyjnym, kodem z karty-zdrapki albo z tokenem w ręku już kiedyś było i można się do tego znów przyzwyczaić.

Kłopot w tym, że nie wszystkim bankom wystarczy taki „powrót do przeszłości”. Banki likwidują przy okazji wdrażania tzw. silnego uwierzytelnienia karty-zdrapki, a nawet… tokeny sprzętowe. A przecież oba te „narzędzia” wypełniają definicję „czegoś, co klient ma”.

Jednym z banków, który poszedł najdalej we wprowadzeniu tzw. silnego uwierzytelniania, jest Toyota Bank. Tam doszli do wniosku, że poza loginem i hasłem może zostać dopuszczona tylko tzw. mobilna autoryzacja. A więc klienci będą musieli ściągnąć na smartfony aplikację mobilną Toyota Banku, zarejestrować się w niej i potwierdzać logowanie oraz transakcje za jej pomocą.

Nie zostały dopuszczone ani SMS-y autoryzacyjne, ani zdrapki, ani tokeny sprzętowe (te ostatnie w Toyota Banku do tej pory były standardowo stosowane). Temu, że odpadły SMS-y można się dziwić, ale i próbować zrozumieć – to dość łatwy do przejęcia przez złodziei rodzaj hasła. Niemieckie banki się z SMS-ów wycofują. Polskie – w większości jeszcze nie. Ale Toyota Bank to nowoczesna instytucja finansowa, która specjalizuje się m.in. w pozyskiwaniu depozytów, więc stawia na bezpieczeństwo.

Czytaj też: Jak złodzieje kradną nam pieniądze z wykorzystaniem SMS-ów autoryzacyjnych?

Dlaczego tokeny już nie są bezpieczne?

SMS-y autoryzacyjne nie spełniają też wymagania, by „wszelkie zmiany kwoty lub odbiorcy skutkowały unieważnieniem wygenerowanego kodu uwierzytelniającego”. Ze względu na brak kontroli banku nad raz wysłanym kodem SMS nie da się unieważnić go, jeśli bank zorientuje się, że klient nie jest tym, za kogo się podaje.

Zdrapki? To archaiczny instrument, który jest kosztowny dla banku, więc też można banki zrozumieć, że tego nie kochają. Ale dlaczego banki – nie tylko Toyota, ale też największe na rynku PKO BP i Pekao – rezygnują z tokenów?

Przypomnę, że token to małe urządzenie z wyświetlaczem, które generuje hasła według pewnego algorytmu, a przy każdej kolejnej transakcji klient wpisuje te hasła na ekranie komputera lub smartfona (w zależności od tego w jaki sposób loguje się do konta). Token nie jest podłączony do internetu, nie można do zhakować, a żeby ukraść pieniądze klientowi nie wystarczy znać login i hasło do konta, ale też ukraść fizycznie klientowi token i znać do niego hasło (niektóre tokeny wymagają „zalogowania”).

Jest to bezpieczne, ale… widać niewystarczająco. W czym problem? Toyota Bank tłumaczy rezygnację ze wszystkich form uwierzytelniania poza aplikacją mobilną w smartfonie – a więc również z tokenów – w następujący sposób:

„Uprzejmie informujemy, że (…) wprowadzone zostały przepisy dotyczące m.in. weryfikacji klienta, obowiązku stosowania przez dostawców usług płatniczych (w tym banków) mechanizmów tzw. silnego uwierzytelniania użytkownika (ang. strong customer authentication – SCA) oraz mechanizmów dynamicznego powiązania (ang. dynamic linking). Silne uwierzytelnienie składa się z dwóch czynników (takich jak wiedza o czymś, posiadanie czegoś lub cechy osoby uwierzytelniającej), ma zapewniać wyższy poziom wiarygodności i odporności na wyłudzenia”

Padłeś powalony siłą uwierzytelniania? Zadzwoń do banku

O co chodzi z tym „dynamicznym powiązaniem”? Otóż musi istnieć związek między między elementami silnego uwierzytelnienia a określoną kwotą transakcji oraz określonym odbiorcą transakcji. A zatem bank, za którego pośrednictwem transakcja płatnicza jest zlecana, powinien przedstawić klientowi przed finalną decyzją o realizacji transakcji informację zarówno o kwocie, jak i odbiorcy.

Tutaj: więcej o tzw. sile uwierzytelniania

I tu jest pies pogrzebany. Ani papierowe karty kodów, ani tokeny (przynajmniej te dotychczas stosowane) nie podają kwoty transakcji, ani nazwy odbiorcy przed jej zatwierdzeniem. A zatem nie spełniają wymogów PSD2. Jeśli więc bank dojdzie do wniosku, że SMS-y autoryzacyjne nie są wystarczająco bezpiecznie (a europejski nadzór bankowy już ogłosił, że nie są), a karty kodów i tokeny nie spełniają warunku „powiązania”, to zostaje taka decyzja, jaką podjął Toyota Bank – „przymusowa” aplikacja mobilna.

Choć nie do końca jest ona taka przymusowa, bo te wszystkie restrykcje dotyczą tylko bankowości elektronicznej, a przecież jest jeszcze telefoniczna.

„Po 14 września 2019 r. Bank zapewni możliwość zdalnego przeprowadzania czynności, w tym zlecania transakcji płatniczych w dwóch formach: telefonicznie (poprzez kontakt z pracownikiem Banku lub obsługę automatyczną) oraz w formie elektronicznej (bankowość elektroniczna). W przypadku tradycyjnej komunikacji telefonicznej, Bank nie wprowadza żadnych zmian, w związku z czym klienci mają zapewniony dostęp do swoich środków na dotychczasowych zasadach, choć Bank zachęca do korzystania z nowoczesnych rozwiązań, zapewniających wysoki poziom bezpieczeństwa. Do dyspozycji klientów cały czas pozostają zatem automatyczny system telefoniczny (IVR) oraz infolinia, a po 13 września większość usług i dyspozycji możliwych będzie do zrealizowania również tymi kanałami”

Czas na nową autoryzację

Nikt nie lubi być zmuszany do stosowania jednego rozwiązania, zwłaszcza opartego na aplikacji mobilnej zainstalowanej w smartfonie (część klientów nie lubi „nosić banku przy sobie”). Ale – między Bogiem a prawdą – wybór jest bardzo ograniczony. W grę wchodzi jeszcze wprowadzenie jakiegoś bardziej rozbudowanego tokena sprzętowego (który wyświetlałby nie tylko kod, ale i dane transakcji) albo aplikacji na smartfony (ale nie służącej do bankowania, lecz wyłącznie do weryfikacji).

Odium całej sytuacji spada na banki, ale – jeśli chcą stosować w pełni wytyczne dyrektywy dotyczącej bezpieczeństwa transakcji – nie mają dużego pola manewru. Mogą jedynie zbudować skuteczną platformę komunikacji z klientami i wytłumaczyć im dlaczego to wszystko się dzieje. I że to wszystko „dla naszego dobra”.

43 komentarzy

Oldest

Newest Most Voted

Inline Feedbacks

Zobacz wszystkie komentarze

Aleksander

5 lat temu

Wszystko DLA nas, Unia taka opiekuńcza…

Odpowiedz

Krzysiek

Nikt nie wspomina o tym, że autoryzacja smartfonem wykorzystująca jakąś aplikację wymaga Internetu.
A co jeśli on jest po prostu niedostępny, bo np. jestesmy w „głuszy”?

Adam

Reply to Krzysiek

Skoro ktoś jest w głuszy bez internetu to w jaki sposób chce się połączyć z kontem bankowym żeby autoryzacja była potrzebna : )

Łukasz

Jak jesteś w głuszy to jak chcesz zrobić zrobić przelew przez internet? Nonsensowny argument. Ja uważam, że W KOŃCU wymuszone zostanie logowanie dwuetapowe. Naprawdę, to dla dobra wszystkich. Takie logowania wszystkim oszczędzają bólu głowy, bo lepiej wstukiwać dodatkowy kod z SMS, niźli płakać po utracie pieniędzy.

-4

Piotr

W jaki sposob chcesz sie zalogowac do bankowosci elektronicznej bedac w “głuszy”?

-1

Luke

Reply to Piotr

Nie zawsze masz internet w telefonie. Np. pojedź do USA – przelew zrobisz na komputerze np. rodziny, ale nie zatwierdzisz go przez telefon (tiaa, wiem, pewnie będzie WiFi, ale jak nie będzie?)

Jarek

Teoretycznie nie musi, aplikacja mogłaby skanować kod QR ze szczegółami transakcji z ekranu. Ale chyba żaden bank tego w ten sposób nie rozwiązał.

blad201

Reply to Jarek

Dziwne, że żaden bank tego nie wykorzystał. Przecież są tokeny challange-response i kiedyś BGŻ miał taki. Pokazuje transakcje i kod od niej zależny, kod można do tokena wklepać albo sczytać i token dawał odpowiedź. Odpowiedź pozwalała zaakceptować transakcję.
Dziś to samo byłoby łatwiejsze z kodem QR, który jest rozpoznawany przez smartfony – taka aplikacja mobilna mogłaby podawać lub od razu przesyłać do banku odpowiedź.
Na razie kody QR jako zapis całego przelewu są używane w aplikacjach BNP, PKO BP i Santandera – nie są stosowane do autoryzacji, a szkoda

Właśnie dziś znalazłem na PRnews informację, że Alior od 14 IX wprowadza taką opcję nawet jak smartfon nie ma zasięgu – aplikacja mobilna skanuje kod QR z ekranu laptopa i daje w odpowiedzi właściwy kod PIN.
Takie coś też chciałem i wreszcie to będzie !

Alior zapowiedział właśnie taką autoryzację nawet jak smartfon nie ma zasięgu. Wystarczy że zeskanuje kod QR i odpowie odpowiednim PINem – podał to właśnie PRnews.pl

Eza

Reply to blad201

Alior w aplikacji T-mobile Usługi Bankowe stosuje tę metodę od dłuższego czasu.

Tokeny faktycznie są przestarzałe. Przyszłość należy do kluczy U2F. Wprawdzie nie wyświetlają one szczegółów operacji (nic nie wyświetlają), ale zostały zaprojektowane tak aby uniemożliwić phishing i MITM.

https://www.yubico.com/2017/10/creating-unphishable-security-key/

Niestety żaden bank nie chce tego wspierać 🙁

U2F jest dobre do uwierzytelnienia, ale trochę mniej do autoryzacji transakcji, ponieważ tak jak i inne tokeny sprzętowe tokeny U2F nie wyświetlają szczegółów transakcji.

Nie muszą, bo przeglądarka nie pozwoli na uwierzytelnienie kluczem fałszywej stronie (opiera się to na weryfikacji adresu strony i sesji TLS). Oczywiście wszystko bierze w łeb, jeśli przejęta zostanie przeglądarka, ale to samo dotyczy telefonu (bardziej prawdopodobne zważywszy na ociąganie się producentów z wypuszczaniem aktualizacji), wtedy nawet autoryzacja w aplikacji nie pomoże.

Idealnie by było, gdyby w challenge’u U2F można było przemycić dowolny tekst (w naszym przypadku opis transakcji), który byłby wyświetlany przez klucz (gdyby miały wyświetlacze).

x y

4 lat temu

A U2F nie opiera się wyłącznie na komunikacji z serwerem? W sensie, że przeglądarka, jak i całe połączenie od banku aż do klucza może być skompromitowane?

sebastian

Jeden token jest doskonały bez jakichkolwiek stron słabych jest to token GSM, taki jaki miał eurobank jeszcze przed przejeciem przez inny bank. i nie chodzi mi absolutnie o token co co min genneruje kody. tylko token gsm.

Aster

Token sprzętowy jest i będzie po 14 września 2019 r. w dwóch bankach: w Credite Agricole i w Santanderze (dla dotychczasowych klientów). https://www.credit-agricole.pl/bezpieczenstwo/bezpieczenstwo-serwisu-internetowego-ca24#token https://bankmozliwosci.santander.pl/blog/mobilna-autoryzacja-czy-smskody-odejda-w-zapomnienie W Santanderze można do niego powrócić, gdy aplikacja mobilna nam nie odpowiada. Nie są może promowane jako forma autoryzacji (w Credite Agricole opłata comiesięczna 7 zł), ale pozostają. Może warto zorganizować spotkanie z przedstawicielami 2 w/w banków i Toyota Banku i porozmawiać o tokenie sprzętowym? Każdy z banków ma jak sądzę analizy. na ten temat.

Mag

Reply to Aster

W Santanderze jest platny bodajze 70 zl (jednorazowo)

Andrew

Jestem klientem CreditAgricole. Mam cyrk z wymianą starego tokena na nowy rozpoznajacy kody QR. Okazuje sie, że nowy token nie słuzy do uwierzytelniania przy logowaniu (logowanie na stały login i stałe hasło), czego zabrania dyrektywa UE. Bank proponuje mi logowanie SMS-em, czyli chce mnie wymiksować ze stosowania tokena. Czyli banki idą ręka w rękę ze złodziejami, bo w telekomach jest już „ryczałtowa” łapówka za wyrobienie na lewo duplikatu karty SIM o podanym przez zlodzieja numerze i za aktywację nielegalnego duplikatu, z równoczesnym „unieważnieniem” legalnej karty SIM, bo w systemie nie mogą byc dwie karty o tym samym n umerze.

maria

Nie jestem odporna na technologie i przysięgam próbowałam. W Toyota Bank. I wymiękłam. Najpierw dostajesz „pierdyliard”smsów (to są bezpieczne czy nie ?) a potem w 13 czy też 14 kroków musisz potwierdzić hasło smsem z kroku 2. Nie do zapamiętania – ciągle muszę wklepywać jakieś smsy. Trochę to chore.

Sosna

Reply to maria

Po wielu mękach udało mi się wreszcie aktywować aplikację i nawet zalogować do banku. Drugi raz już mi się nie udało, bo… aplikacja przestała rozpoznawać nadany pin i się zablokowała. Konieczne jest ponowne jej aktywowanie… którego nie da się zrobić, bo elektroniczna bankowość chyba nie przewidziała takiego scenariusza i nie generuje mi kodu aktywacyjnego…
Ciekawostka: automatyczna infolinia nie rozpoznaje tonowego wybierania ze starego telefonu. To znaczy rozpoznaje na etapie wybierania jednocyfrowego, ale kilkucyfrowego numeru klienta już nie rozpoznaje. Straciłam 10 minut na wiszeniu w kolejce do konsultanta, który poradził zmianę telefonu.
Załamka.
Dobrze, że mam tam tylko nieodnawialną lokatę…

Klientbanku

Reply to Sosna

https://www.toyotabank.pl/fileadmin/instrukcja_logowania.pdf To jest instrukcja logowania – proszę przeczytać. Pozostawię bez komentarza, ale nie dziwię się, że tak skomplikowania procedura nie działa.

P.S. Czy ktoś z Warszawy podjechał może do siedziby banku na ul. Postępu, aby mu tą aplikację pracownicy uruchomili skutecznie?

erdwa

Reply to Klientbanku

Dajmy spokój z Toyką. Ja nawet nie czytałem tej instrukcji bo przecież to jest historia z cyklu stań na głowie, puknij się w czoło 4 razy , klepnij nogą w ścianę a potem wpisz kod. A jak ładnie przy tym zaśpiewasz to aktywujemy ci apkę. Dobrze ze ja też mam tylko lokatę nieodnawialną bo to zwariować idzie z tyi aplikacjami w Toyocie. wkurzyli mnie na max. Rozumiem – można wymagać apki ale nie zmuszając ludzi do zmiany telefonu i piętrowych instrukcji aktywacji w których człowiek sie gubi – zwłaszcza starszy niekoniecznie oblatany w tym wszystkim

Sebastian

Dla mnie to jednak wylano dziecko z kąpielą. Token sprzętowy jest wg mnie bezpieczniejszy niż aplikacja w telefonie właście z racji braku połączenia z internetem. Telefon podatny jest na ataki z internetu, o czym regularnie się dowiadujemy. Do użycia aplikacji autoryzującej, z powodu konieczności powiązania kodu z transakcją, internet jest niezbędny, więc ta metoda już u podstawy będzie zawsze w pewien sposób zagrożona…

Jest jeszcze karta i czytnik – popularne także w bankach spółdzielczych.
https://plusbank.pl/oferta-dla-ciebie/bankowosc-elektroniczna/czytnik-i-karty-chipowe-do-metody-autoryzacji
https://plusbank.pl/files/komunikat%20prasowy/BANKOWOŚĆ%20ELEKTRONICZNA/certyfkiaty/instrukcja%20instalacji%20czytników%20kart.pdf?1566811771

Marcin

Gratuluję pomysłowości UE i bankowcom. Starsza osoba, z trudem przekonana do bankowości internetowej (jakoś to na szczęście ogarnia), bez smartfona i internetu mobilnego musi w Pekao albo kupić sobie smartfona z internetem lub router wifi do domu by autoryzować się bezpłatnie aplikacją albo też bank zacznie czesać za każdego SMS-a autoryzacyjnego skoro staruszek nie chce smartfona sobie kupić. Brawo wy! Skończy się na tym, że staruszkowie znów będą zawracać bankowcom d..ę w oddziałach.

mac

Reply to Marcin

Co wy za starsze osoby wszyscy znacie? Jakieś upośledzone umysłowo czy co? Bo znane mi osoby 60+ nie maja problemu z radzeniem sobie z bankowością internetową . Może to nie chodzi o wiek tylko o to że te osoby są zwyczajnie niezbyt lotne umysłowo niezależnie od wieku.

-13

Kat

Reply to mac

Wbrew pozorom dużo jest takich osób w podeszłym wieku, dla których świat nie kręci się wokół Internetu smartfonów.

Co więcej znam osoby młode, dla których telefon komorkowy służy wyłącznie do połączeń telefonicznych i SMS.

Rozumiem potrzebę podwojnego zabezpieczenia, ale nie kosztem klientów, których niejako zmusza się do posiadania smartfona czy aplikacji moblilnej

I placic wiecej za kazda transakcje….

oxo

Podziękowałem za aplikacje w ING, kiedy po pierdyrliardzie „autoryzacji” przy instalacji na komórce, następne uruchomienie aplikacji było zablokowane … 4 cyfrowym PIN-em. Jeżeli pełny dostęp do wszystkich moich kont w banku i super szyfrowana komunikacja jest warunkowane hasłem z 4 cyfr, to ja dziękuje za takie „bezpieczeństwo”. Z takimi aplikacjami to niech się w trąbkę pocałują.

Bartek

Poprawnie po polsku nie mówi się „między Bogiem a prawdą”. Mówi się „Bogiem a prawdą” 😉

Karty kodów jednorazowych to trochę wbrew intuicji nie „coś co masz”, a „coś co wiesz”. Różnica jest taka, że pierwszej kategorii nie można skopiować. Kartę kodów można, po czym można używać kodów bez dostępu do karty (czyli nie „coś co masz”). Trochę podobnie jak hasło zapisane na kartce wciąż pozostaje hasłem („coś co wiesz”).

-3

Paweł

PeKaO S.A. posiadało w swojej ofercie świetny token sprzętowy (Vasco DigiPass 370 Xpress), który wg mnie spełniał odpowiedni poziom bezpieczeństwa a jednak został wycofany!
Po pierwsze musiałeś podać do tokena PIN (6 cyfr) a po drugie 4 ostatnie cyfry rachunku odbiorcy i 4 cyfry generowane przez bank przy transakcji. Token za każdym razem generował hasło jednorazowe jednak tylko wtedy gdy wszystkie podawane przez nas wartości (włącznie z PINem) były prawidłowe hasło autoryzowało transakcję.
Gdzie tu problem z poziomem zabezpieczenia?
Niech ktoś mi powie, że SMS czy aplikacja na telefon są bezpieczniejsze…

Reply to Paweł

Cóż, wg UE Toje pieniadze w Banku to już nie Twoje pieniadze i trzeba je udostepnić złodziejom

Ja się poddałem. Kupiłem nowego smartfona bo Toya wymaga Androida od v6 wzwyż., ale w nagrodę jak skończy się premiowana lokata to wynoszę się z tego banku. Zmuszanie ludzi do kupowania nowych urządzeń tylko dlatego że komuś w banku wydaje się że każdy ma stosunkowo nowy telefon uważam za nie fair. Nie uważam żeby stosowanie sms było jakoś bardzo ryzykowne dla przeciętnego klienta banku. Ono jest niebezpieczna dla wyselekcjonowanych przez przestępców klientów bo nie jest możliwe aby przecietny klient został namierzony i złodziej specjalnie dla kilku tys stał pod BTS-em z dość specyficznym oprzyrządowaniem. No i oczywiście apka Toyki nie… Czytaj więcej »

Reply to erdwa

Możesz odejść z TB – ponieważ:
7.13 Wypowiedzenie, rozwiązanie lub odstąpienie od Umowy Konta lub Umowy Konta Wspólnego nie ma wpływu na warunki otwartych Lokat, chyba że Strony postanowią inaczej.
Ja się powołałem na pkt 15.30 i zgłosiłem sprzeciw wobec postanowień nowego Regulaminu.
Dzięki temu: „Z tytułu rozwiązania Umowy na skutek jej wypo- wiedzenia lub wygaśnięcia w przypadku zgłoszenia sprzeciwu, o których mowa w niniejszym postanowieniu, Klient nie ponosi żadnych opłat na rzecz Banku.”

Wczoraj dostałem mejla o podobnej treści z VWbank – rezygnują z SMS, przechodzą na aplikację. Porażka. Jak człowiek ma konta w kilku bankach, to będzie chyba potrzebował osobnego telefonu tylko na ich aplikacje

Reply to Sebastian

Jest różnica: VW-Bank oferuje konta wyłącznie przedsiębiorcom, Toyota Bank wprowadza wymóg aplikacji dla konsumentów.

Ryszard

Żadna różnica !!! Mam konta w kilku bankach i we wszystkich muszę robi jakieś operacje. A na dodatek nie znoszę smartfona, gdyż jest zbyt duży i ciągle go gdzieś zostawiam.

Senior

Panie Macieju, proszę to opisać – bo zmiana ta uderza w wielu seniorów i osoby niepełnosprawne. Mamy tylko 2 banki faktycznie internetowe: Toyota Bank i Inteligo. W innych konto da się założyć zdalnie, ale np. ustanowienie pełnomocnika – zapraszamy do oddziału. Zatem osoba np. na wózku ma do wyboru dwa banki, dwa z których jeden:

https://wiadomosci.onet.pl/tylko-w-onecie/list-do-redakcji-nie-chce-nawet-myslec-ilu-seniorow-zostalo-postawionych-w-podobnej/0sw6q4m

Wiem, że pisał Pan wcześniej o tym, ale o problemach z aplikacją, o procedurze jej uruchomienia – już nie. A warto.

Autor

Maciej Samcik

Reply to Senior

Jasne, dzięki za sygnał

Token GSM w eurobanku podawał kwotę transakcji. jednak od kilku dni przejety został przez inny bank i token znikł. Na dodatek dodam ze token GSM to jest doskonałe zabezpieczenie, nie mające żadnych wad, ani słabych stron.

Janusz

3 lat temu

Z perspektywy tylko roku i włamań na masową skalę
https://www.dobreprogramy.pl/Ukradli-miliony-z-internetowych-kont-bankowych.-W-pelni-automatycznie,News,112372.html
sprzętowe tokeny już nie są be.
Trzeba być idiotą by uważać, że da się napisać bezpieczny (całościowo) program na dziurawym systemie (android).