Rachunek w banku ma 78 procent Polaków. 41 procent z nich płaci rachunki przez internet - wynika z raportu _ Postawy Polaków wobec obrotu bezgotówkowego _ przygotowanego na zlecenie NBP. Czy to jest bezpieczne? Banki stosują różne metody zabezpieczeń, od systemu haseł jednorazowych po specjalne urządzenia zwane tokenami.
Podstawowym zabezpieczeniem jest szyfrowanie połączenia internetowego pomiędzy komputerem klienta a serwerem banku. Odbywa się to za pośrednictwem tzw. protokołu szyfrującego SSL. Uniemożliwia on odczytanie przesyłanych informacji osobom postronnym.
Każdy użytkownik internetu może sprawdzić, czy nawiązane przez niego połączenie zostało zabezpieczone - w przeglądarce będzie widoczna mała kłódka.
_ - Logując się na strony banków należy zwrócić szczególną uwagę na wygląd strony, a także sam certyfikat bezpieczeństwa. Złodzieje często kopiują strony banków w taki sposób, aby na pierwszy rzut oka klient się nie zorientował, że wpisując hasła i login przekazuje dostęp do rachunku złodziejom - mówi Maciej Sobienek, specjalista ds. bezpieczeństwa sieci Panda Security . _
Najmniejsze zmiany na stronie, błędy, literówki itp. są już sygnałem, który powinien wzbudzić w nas czujność.
_ - Dobrym nawykiem jest sprawdzanie certyfikatu bezpieczeństwa. Klikając na symbol kłódki uzyskamy informację o tym, kto i dla kogo wystawił certyfikat oraz czy jest on ważny _ - radzi Sobienek.
Z prognoz Związku Banków Polskich wynika, że pod koniec 2010 r. liczba aktywnych klientów bankowości elektronicznej przekroczy 10 mln, na koniec zeszłego roku wyniosła 8,4 mln.
Aby uzyskać dostęp do elektronicznego rachunku, klient - podobnie jak w tradycyjnym banku - musi posiadać odpowiednie uwierzytelniania. Dowodem tożsamości osoby starającej się o dostęp do konta jest indywidualny login i hasło. Tymczasowe hasło najczęściej nadaje bank, jednak zastrzega, by przy pierwszym logowaniu zmienić je na własne składające się z ciągu cyfr lub kombinacji cyfr, liter i znaków.
Niektóre banki zabezpieczają dodatkowo dostęp do konta dodatkowym hasłem potwierdzającym tożsamość klienta, a prawie wszystkie wymuszają potwierdzanie każdej transakcji jednorazowym kodem.
Dodatkowe uwierzytelnianie stosowane jest w różnej formie. Mogą to być zdrapki, karty kodów, token lub hasła wysyłane SMS-em.
Hasła jednorazowe
Lista haseł jednorazowych przekazana jest klientowi przez bank pocztą. Najczęściej jest to karta w formie zdrapki. Gdy kod ukryty na karcie wpisany do odpowiedniego okna na internetowej stronie banku będzie zgodny z kodem generowanym przez system bankowy, rachunek zostaje udostępniony klientowi.
Z reguły karta z 40 lub 100 kodami wydawana jest przez banki za darmo. Tego typu rozwiązanie posiadają m.in. bank Pocztowy czy Deutsche Bank. Czasami jednak, jak w przypadku Mutibanku, za wydanie karty należy zapłacić 5 złotych.
Jednak z raportu Money.pl wynika, że banki wyraźnie odchodzą od list haseł jednorazowych, większość z nich przechodzi na bezpieczniejsze formy zabezpieczenia jak hasła SMS-owe lub tokeny.
_ - Proste zabezpieczania związane z dodatkowym hasłem, nawet w formie list haseł, często są bardzo skuteczne. Konieczność wpisania dodatkowego hasła zawsze ogranicza możliwość ataku cyberprzestępców. Karty z listą kodów o tyle są bardziej zawodne, że łatwiej je zgubić - uważa Sobienek z Panda Security . - Zdecydowanie bezpieczniejsze są kody SMS-owe i generatory haseł na komórkach. Brak telefonu znacznie szybciej zauważymy niż brak karty. Poza tym zawsze możemy go szybko zablokować _.
Hasła SMS-owe
Najpopularniejszą formą zabezpieczenia są hasła wysyłane SMS-em na komórkę klienta.Z pośród 33 przeanalizowanych przez *Money.pl *banków, 14 ma w swojej ofercie taki system zabezpieczenia. Hasło jest generowane przez system bankowy i w momencie, gdy dokonujemy transakcji bankowej wysyłane na podany w banku numer telefonu komórkowego.
Jeżeli dane zlecenia wysłanego SMS-em przez bank są zgodne z tymi, które mamy na ekranie komputera, wpisujemy zawarty w SMS-ie kod potwierdzający transakcję. Banki najczęściej oferują 5 darmowych SMS-ów z kodem w ciągu miesiąca, za każdy kolejny trzeba zapłacić na ogół od 20 do 50 groszy.
Hasła generowane
Coraz więcej banków przekonuje się do wydawania tokenów, czyli urządzeń generujących bezpieczne kody do potwierdzania transakcji. Są wielkości małych kalkulatorów lub breloczków do kluczy.
Ich działanie jest ściśle powiązane z użytkownikiem lub jego kontem, co oznacza, że dany token może być użyty jedynie do konta, dla którego został wydany. Urządzenie generuje kod, który ważny jest jedynie przez krótki czas, najczęściej około minuty.
Wydanie przez bank tokena łączy się najczęściej z jednorazową opłatą. Ceny są zależne od banku. Średnio koszt tokena wynosi 50 złotych, ale w różnych bankach może być ona o 30 złotych wyższa lub niższa. Najdroższy jest w BZ WBK, a najmniej zapłacimy w Kredyt Banku. W Lukas Banku za wydanie tokena nie zapłacimy, ale opłaty zostaną przeniesione na koszty prowadzenia konta.
Token w komórce
Na rynku dostępne są dwa rodzaje tokenów: w postaci urządzeń elektronicznych, czyli hardware'owe oraz w postaci programów, czyli tzw. software'owe. Te ostatnie są nowością na rynku. Token w komórce o nazwie TokenGSM wprowadził już Eurobank. W tej chwili na rynek wchodzi nowa aplikacja na komórki - mToken.
Jest to program, który instaluje się w telefonie komórkowym. Takie rozwiązanie pozwala na ograniczenie liczby urządzeń, które trzeba ze sobą nosić, gdyż wykorzystuje się swoją komórkę jako token.
Aplikacja ta współpracuje z popularnym w niemal wszystkich aparatach oprogramowanie Java. Instalowana jest nie na karcie sim, ale w telefonie, dzięki czemu klient jest chroniony nawet przed ewentualną próbą kopiowania karty i wykorzystania jej w celu uzyskania dostępu do konta.
Urządzenie zabezpieczone jest hasłem znanym tylko użytkownikowi. Program szyfrujący współdziała z kontem internetowym, generując jednorazowe kody dostępu do rachunku bankowego.
Użytkownik tokenu w komórce nie płaci za generowane hasła i kody, a jest to rozwiązanie uważane za tak samo bezpieczne, jak standardowy token lub kod SMS-owy.
Nad wprowadzenie tokenu w komórce zastanawia się również BZ WBK. -_ Bardzo poważnie myślimy o wprowadzeniu takiej usługi do naszej oferty. W tej chwili jesteśmy na etapie rozpoznawania rynku _ - mówi Grzegorz Adamski z biura prasowego BZ WBK.
Żadne zabezpieczenie nie jest idealne
_ - Najsłabszym ogniwem w systemie zabezpieczeń bankowości elektronicznej jest przede wszystkim sam użytkownik. Przestępcom internetowym łatwiej jest oszukać człowieka niż złamać systemy zabezpieczeń banku _- mówi młodszy aspirant Agnieszka Hamelusz z Komendy Głównej Policji.
To klienci banków, podając w fałszywych e-mailach swoje dane i hasła, logując się przez wyszukiwarki na podrobionych stronach internetowych, niewłaściwie zabezpieczając swoje hasła dostępu, umożliwiają dostęp złodziejom do własnych kont bankowych.
Korzystasz z konta internetowego? Sprawdź, czy bank dobrze zabezpiecza pieniądze.