Korzystanie z usług e-bankowości jest wygodne, dzięki czemu zyskuje coraz większą rzeszę fanów. Prawie każdy bank ma już w swojej ofercie dostęp do konta on-line, co umożliwia np. robienie przelewów o dowolnej porze dnia i nocy, z własnego komputera, w domu bądź gdziekolwiek indziej.
Jeśli jednak decydujemy się na taką formę dostępu do konta, warto wiedzieć więcej o zabezpieczeniach oferowanych przez banki. Na polskim rynku bankowym stosownych jest kilka form zabezpieczenia dostępu do kont przez internet. Która będzie odpowiednie dla nas?
Zabezpieczenie hasłem
Standardowym rozwiązaniem we wszystkich bankach jest login i hasło, które każdy użytkownik otrzymuje przy nadawaniu dostępu do bankowości internetowej. Tych danych użytkownik nie powinien udostępniać osobom trzecim. Może się jednak zdarzyć, że login i hasło będą w dosyć prosty sposób przejęte przez osoby niepowołane, czy to poprzez podejrzenie podczas wpisywania przez użytkownika na klawiaturze, czy po prostu poprzez ich odczytanie, jeśli, co niestety jest czasem praktykowane, zapiszemy swój login i hasło w łatwo dostępnym miejscu.
Oprócz takich prostych form przechwycenia loginu i hasła możliwe są jeszcze „bardziej wyrafinowane” metody, jak phising (wyłudzenie poufnych informacji poprzez podszycie się pod bank, np. poprzez stworzenie fałszywej strony banku) czy oprogramowanie rejestrujące wpisywane na klawiaturze znaki (keylogger). Niektóre banki podnoszą trochę bezpieczeństwo podawania hasła poprzez wprowadzenie klawiatury ekranowej lub konieczność wpisywania wyłącznie wybranych znaków z hasła.
Powyższe rozwiązanie nie zapewnia jednak wystarczającego bezpieczeństwa korzystania z bankowości internetowej, dlatego banki często mocno ograniczają zakres operacji możliwych do wykonania wyłącznie po podaniu loginu i hasła. Z wykorzystaniem tej formy zabezpieczenia można zazwyczaj podejrzeć aktualne saldo czy historię konta, sprawdzić listę transakcji dokonanych kartą kredytową, czy choćby aktualny harmonogram spłacanego kredytu. Aby umożliwić użytkownikom bezpieczne wykonywanie większej liczby transakcji poprzez internet, banki wprowadzają dodatkowe metody autoryzacji transakcji, o których piszę poniżej.
Karta kodów jednorazowych
Niegdyś dosyć powszechne rozwiązanie, które pozwoliło upowszechnić bankowość internetową w Polsce, jest obecnie coraz częściej zastępowane przez inne formy zabezpieczeń. Karta kodów może mieć różne formy:
- małej karteczki, na której wpisane są kolejno ponumerowane kody,
- małej plastikowej karty, wielkości karty płatniczej, na której podane kody są opisane odpowiednio oznaczonymi wierszami i kolumnami, czasem również zabezpieczone zdrapką.
Przy dokonywaniu transakcji użytkownik jest proszony o podanie określonego (kolejnego) kodu z karty kodów.
Takie rozwiązanie jest łatwe w użytkowaniu, gdyż ze względu na rozmiar karty łatwo ją przechowywać np. w portfelu. Osoby korzystające z karty kodów są jednak narażone na phishing, gdyż niestety zdarza się, że użytkownik – nieświadomy zasad bezpiecznego korzystania z tej formy zabezpieczenia – podaje kod jednorazowy (a nawet kilka kodów) na fałszywej stronie banku.
Hasła sms
To aktualnie najbardziej powszechne zabezpieczenie w polskiej bankowości, wypierające karty kodów jednorazowych. Rozwiązanie jest bardzo przyjazne użytkownikowi, gdyż prawie każdy z nas posiada telefon komórkowy i potrafi odbierać SMSy.
Użytkownik otrzymuje SMSem kod transakcji z dodatkowym opisem. Przed wpisaniem kodu, przy potwierdzeniu transakcji, użytkownik powinien sprawdzić, czy opis transakcji przysłany wraz z kodem SMS odpowiada wykonywanej transakcji.
Takie rozwiązanie jest bardzo bezpieczne, bo jest odporne na różne formy elektronicznego przejęcia kodu potwierdzającego transakcję. Zresztą, nawet samo przejęcie określonego kodu nie pozwalana na zatwierdzenie przy jego wykorzystaniu innej operacji, gdyż dla tej innej operacji wymagany byłby inny kod potwierdzający.
Wadą opisanego rozwiązania jest konieczność pozostawania w zasięgu sieci GSM, aby móc otrzymać kod za pomocą SMSa. Jednak w Polsce jest coraz mniej miejsc, gdzie brakuje zasięgu sieci telefonii komórkowej.
Token sprzętowy
Jako dodatkowe zabezpieczenie autoryzacji transakcji (a czasem również logowania) wykorzystywany jest też token. To specjalne urządzenie elektroniczne, które generuje kody. Niektóre modele są dodatkowo zabezpieczone PINem, co dodatkowo utrudnia możliwość wykorzystania tokena przez osoby niepowołane.
Czas ważności kodu wygenerowanego przez token jest zazwyczaj ograniczony czasowo (np. aktualne wskazanie tokena jest wyświetlane tylko przez 1 minutę).
Wadą tego sposobu zabezpieczenia transakcji jest konieczność używania osobnego urządzenia do autoryzacji. Zazwyczaj jest ono małe, ale na pewno nie zmieści się w portfelu (w przeciwieństwie do np. karty kodów jednorazowych). Ponadto banki często pobierają dodatkową miesięczną opłatę za korzystanie ze sprzętu..
Token GSM
To rozwiązanie na razie mało popularne w naszym kraju, jednak jest uważane aktualnie za najbardziej bezpieczne. W telefonie instalowana jest niewielka aplikacja, której uruchomienie wymaga podania PINu. Aplikacja ta generuje odpowiednie hasła na podstawie opisu transakcji. Opis transakcji wpisywany jest do telefonu w formie kodu (wyświetlonego podczas transakcji w systemie bankowości internetowej). Jeżeli opis transakcji wyświetlony w telefonie (na podstawie wpisanego kodu) odpowiada wykonywanej transakcji, użytkownik akceptuje go i otrzymuje hasło.
Ponieważ hasło nie jest w żaden sposób przesyłane siecią telekomunikacyjną, rozwiązanie to może być stosowane zawsze i wszędzie. Jedyny warunek to włączony aparat telefoniczny.