Stosowanie haseł maskowanych i wysyłanych przez SMS zwiększa bezpieczeństwo transakcji bankowych

Fot. Arch.

Grzegorz Zalewski, ekspert technologii informacyjnych

- W celu zabezpieczenia transmisji danych pomiędzy komputerem klienta a serwerem banku stosuje się specjalny protokół szyfrujący SSL. Narzędzie to jest powszechnie stosowane przez dostawców usług internetowych, a także przez instytucje finansowe. Standard SSL jest obsługiwany przez wszystkie przeglądarki internetowe i nie wymaga instalowania dodatkowego oprogramowania, co czyni go skutecznym zabezpieczeniem, które uniemożliwia odczytanie operacji wykonywanych przez klienta w trakcie transmisji danych, a także gwarantuje bezpieczeństwo informacji znajdujących się na koncie klienta.

- Zalogowanie się na e-rachunku klienta wymaga pozytywnego przejścia procesu uwierzytelniania, czyli sprawdzenia prawa dostępu do rachunku. W procesie uwierzytelniania głównymi zabezpieczeniami jest login i hasło. Login to identyfikator, który pełni funkcję nazwy użytkownika. Może być nadawany przez bank (np. numer rachunku klienta) lub dowolnie wybrany przez użytkownika. Z loginem ściśle powiązane jest hasło. Najlepszym gwarantem bezpieczeństwa jest hasło złożone z kombinacji cyfr, znaków i liter różnej wielkości. W niektórych systemach wymagane jest, aby hasło posiadało minimalną, określoną liczbę znaków. Obecnie coraz częściej banki stosują hasła maskowane. W tym wypadku użytkownik nie podaje całego hasła, a tylko żądane w danej sesji znaki. Niektóre banki wprowadzają też dodatkowe uwierzytelnianie kodem SMS przy logowaniu.

- Aby zwiększyć bezpieczeństwo, banki stosują dodatkowe hasła podczas dokonywania poszczególnych czynności przez użytkownika. Oznacza to, że samo zalogowanie się nie umożliwia klientowi wykonywania wszystkich operacji. Popularną techniką jest stosowanie listy haseł jednorazowych do autoryzacji operacji wykonywanych w sieci. Nieliczne banki wymagają też oddzielnych kodów SMS do każdej przeprowadzanej operacji. Kod SMS wysyłany jest do użytkownika na numer telefonu komórkowego podany wcześniej pracownikowi banku. Wprowadzenie kodu autoryzacyjnego SMS przy logowaniu jest dodatkową ochroną, która uniemożliwia pozyskanie poufnych danych.

Stosuje się również automatyczne wylogowanie klienta, w przypadku gdy następuje kilkuminutowa przerwa w korzystaniu z rachunku internetowego. Cały ten szereg zabezpieczeń stosowanych przez banki ma na celu ochronę interesów i bezpieczeństwo właściciela rachunku. Należy jednak pamiętać, że zabezpieczenia te będą skuteczne, jeśli hasło i login będą dostatecznie chronione przed dostępem osób nieuprawnionych.

Wyższy poziom bezpieczeństwa jest możliwy dzięki narzędziom tzw. silnego uwierzytelniania, jak np. token (spersonalizowane urządzenie kryptograficzne generujące jednorazowe hasła wymagane do identyfikacji klienta i potwierdzania operacji internetowych). Do aktywacji tokena potrzebne jest podanie kodu - jest to zabezpieczenie na wypadek użycia tego urządzenia przez osoby trzecie. Dodatkowym zabezpieczeniem niektórych operacji z wykorzystaniem internetu jest kontakt telefoniczny pracownika banku z klientem. W ten sposób bank może sprawdzać operacje przekraczające limit kwotowy bądź używać kontaktu telefonicznego, aby sprawdzać losowo wybranych klientów.