Od 14 września klientów banków czekają zmiany w sposobie logowania do konta oraz zatwierdzania transakcji. W niektórych przypadkach będą to zmiany radykalne – bankowcy likwidują możliwość używania do autoryzacji nie tylko kart-zdrapek, ale czasem też SMS-ów, a nawet… tokenów, które wydawały się dotąd najbezpieczniejsze. Dlaczego tokeny nie spełniają już wymogów bezpieczeństwa?
Największe banki poinformowały już klientów o czekających ich zmianach. Wymusza je dyrektywa PSD2, a w zasadzie ta jej część, która mówi o tzw. silnym uwierzytelnianiu. Unia Europejska chce, by banki lepiej zabezpieczały klientów przed złodziejami pieniędzy i wyłudzaczami danych. Banki mają więc „podwoić krycie” i sprawdzać klientów co najmniej dwoma sposobami.
- Bezpieczna szkoła i bezpieczne dziecko w sieci, czyli czego nie robić, by nie „sprzedawać” swoich dzieci w internecie? [POWERED BY BNP PARIBAS]
- Wybory w USA: branża krypto wstrzymała oddech. W świecie finansów to ona ma najwięcej do ugrania. Po wyborach nowe otwarcie? [POWERED BY QUARK]
- Pieniądze w rodzinie, jak o nich rozmawiać, żeby nie było niemiło? Natalia Tur i Maciej Samcik [POWERED BY BNP PARIBAS / MISJA OSZCZĘDZANIE]
Tam, gdzie do tej pory wystarczał login i hasło (a więc coś, co klient wie), teraz będzie potrzebne też coś, co klient ma (smartfon, inne urządzenie) lub jakaś cecha klienta (czyli element biometrii).
Koniec kart-zdrapek i… tokenów
To jeszcze pikuś. Logowanie z SMS-em autoryzacyjnym, kodem z karty-zdrapki albo z tokenem w ręku już kiedyś było i można się do tego znów przyzwyczaić.
Kłopot w tym, że nie wszystkim bankom wystarczy taki „powrót do przeszłości”. Banki likwidują przy okazji wdrażania tzw. silnego uwierzytelnienia karty-zdrapki, a nawet… tokeny sprzętowe. A przecież oba te „narzędzia” wypełniają definicję „czegoś, co klient ma”.
Jednym z banków, który poszedł najdalej we wprowadzeniu tzw. silnego uwierzytelniania, jest Toyota Bank. Tam doszli do wniosku, że poza loginem i hasłem może zostać dopuszczona tylko tzw. mobilna autoryzacja. A więc klienci będą musieli ściągnąć na smartfony aplikację mobilną Toyota Banku, zarejestrować się w niej i potwierdzać logowanie oraz transakcje za jej pomocą.
Nie zostały dopuszczone ani SMS-y autoryzacyjne, ani zdrapki, ani tokeny sprzętowe (te ostatnie w Toyota Banku do tej pory były standardowo stosowane). Temu, że odpadły SMS-y można się dziwić, ale i próbować zrozumieć – to dość łatwy do przejęcia przez złodziei rodzaj hasła. Niemieckie banki się z SMS-ów wycofują. Polskie – w większości jeszcze nie. Ale Toyota Bank to nowoczesna instytucja finansowa, która specjalizuje się m.in. w pozyskiwaniu depozytów, więc stawia na bezpieczeństwo.
Czytaj też: Jak złodzieje kradną nam pieniądze z wykorzystaniem SMS-ów autoryzacyjnych?
Dlaczego tokeny już nie są bezpieczne?
SMS-y autoryzacyjne nie spełniają też wymagania, by „wszelkie zmiany kwoty lub odbiorcy skutkowały unieważnieniem wygenerowanego kodu uwierzytelniającego”. Ze względu na brak kontroli banku nad raz wysłanym kodem SMS nie da się unieważnić go, jeśli bank zorientuje się, że klient nie jest tym, za kogo się podaje.
Zdrapki? To archaiczny instrument, który jest kosztowny dla banku, więc też można banki zrozumieć, że tego nie kochają. Ale dlaczego banki – nie tylko Toyota, ale też największe na rynku PKO BP i Pekao – rezygnują z tokenów?
Przypomnę, że token to małe urządzenie z wyświetlaczem, które generuje hasła według pewnego algorytmu, a przy każdej kolejnej transakcji klient wpisuje te hasła na ekranie komputera lub smartfona (w zależności od tego w jaki sposób loguje się do konta). Token nie jest podłączony do internetu, nie można do zhakować, a żeby ukraść pieniądze klientowi nie wystarczy znać login i hasło do konta, ale też ukraść fizycznie klientowi token i znać do niego hasło (niektóre tokeny wymagają „zalogowania”).
Jest to bezpieczne, ale… widać niewystarczająco. W czym problem? Toyota Bank tłumaczy rezygnację ze wszystkich form uwierzytelniania poza aplikacją mobilną w smartfonie – a więc również z tokenów – w następujący sposób:
„Uprzejmie informujemy, że (…) wprowadzone zostały przepisy dotyczące m.in. weryfikacji klienta, obowiązku stosowania przez dostawców usług płatniczych (w tym banków) mechanizmów tzw. silnego uwierzytelniania użytkownika (ang. strong customer authentication – SCA) oraz mechanizmów dynamicznego powiązania (ang. dynamic linking). Silne uwierzytelnienie składa się z dwóch czynników (takich jak wiedza o czymś, posiadanie czegoś lub cechy osoby uwierzytelniającej), ma zapewniać wyższy poziom wiarygodności i odporności na wyłudzenia”
Padłeś powalony siłą uwierzytelniania? Zadzwoń do banku
O co chodzi z tym „dynamicznym powiązaniem”? Otóż musi istnieć związek między między elementami silnego uwierzytelnienia a określoną kwotą transakcji oraz określonym odbiorcą transakcji. A zatem bank, za którego pośrednictwem transakcja płatnicza jest zlecana, powinien przedstawić klientowi przed finalną decyzją o realizacji transakcji informację zarówno o kwocie, jak i odbiorcy.
Tutaj: więcej o tzw. sile uwierzytelniania
I tu jest pies pogrzebany. Ani papierowe karty kodów, ani tokeny (przynajmniej te dotychczas stosowane) nie podają kwoty transakcji, ani nazwy odbiorcy przed jej zatwierdzeniem. A zatem nie spełniają wymogów PSD2. Jeśli więc bank dojdzie do wniosku, że SMS-y autoryzacyjne nie są wystarczająco bezpiecznie (a europejski nadzór bankowy już ogłosił, że nie są), a karty kodów i tokeny nie spełniają warunku „powiązania”, to zostaje taka decyzja, jaką podjął Toyota Bank – „przymusowa” aplikacja mobilna.
Choć nie do końca jest ona taka przymusowa, bo te wszystkie restrykcje dotyczą tylko bankowości elektronicznej, a przecież jest jeszcze telefoniczna.
„Po 14 września 2019 r. Bank zapewni możliwość zdalnego przeprowadzania czynności, w tym zlecania transakcji płatniczych w dwóch formach: telefonicznie (poprzez kontakt z pracownikiem Banku lub obsługę automatyczną) oraz w formie elektronicznej (bankowość elektroniczna). W przypadku tradycyjnej komunikacji telefonicznej, Bank nie wprowadza żadnych zmian, w związku z czym klienci mają zapewniony dostęp do swoich środków na dotychczasowych zasadach, choć Bank zachęca do korzystania z nowoczesnych rozwiązań, zapewniających wysoki poziom bezpieczeństwa. Do dyspozycji klientów cały czas pozostają zatem automatyczny system telefoniczny (IVR) oraz infolinia, a po 13 września większość usług i dyspozycji możliwych będzie do zrealizowania również tymi kanałami”
Czas na nową autoryzację
Nikt nie lubi być zmuszany do stosowania jednego rozwiązania, zwłaszcza opartego na aplikacji mobilnej zainstalowanej w smartfonie (część klientów nie lubi „nosić banku przy sobie”). Ale – między Bogiem a prawdą – wybór jest bardzo ograniczony. W grę wchodzi jeszcze wprowadzenie jakiegoś bardziej rozbudowanego tokena sprzętowego (który wyświetlałby nie tylko kod, ale i dane transakcji) albo aplikacji na smartfony (ale nie służącej do bankowania, lecz wyłącznie do weryfikacji).
Odium całej sytuacji spada na banki, ale – jeśli chcą stosować w pełni wytyczne dyrektywy dotyczącej bezpieczeństwa transakcji – nie mają dużego pola manewru. Mogą jedynie zbudować skuteczną platformę komunikacji z klientami i wytłumaczyć im dlaczego to wszystko się dzieje. I że to wszystko „dla naszego dobra”.