Bezpieczna bankowość elektroniczna. Jak zabezpieczane jest logowanie do banku przez Internet?

Zabezpieczenia w bankowości elektronicznej. Hasła jednorazowe, tokeny, aplikacje w telefonie. Jak działają i jaki stopień bezpieczeństwa zapewniają?

Bankowość elektroniczna jest już oczywistością dla większości z nas. Mało kto chodzi do placówki bankowej załatwiać tak podstawowe sprawy jak sprawdzenie salda konta, historii transakcji czy wykonanie przelewu. Wszystko to mamy dostępne łatwo i na wyciągnięcie ręki za pośrednictwem komputera lub urządzenia mobilnego.

Oczywiście zdalny dostęp do naszego konta musi być odpowiednio zabezpieczony. Nie chcielibyśmy, by ktoś niepowołany poznał tak szczegółowe informacje na temat naszych finansów, nie wspominając już nawet o możliwości wykonania nieautoryzowanego przelewu i kradzieży naszych pieniędzy.

Z tego powodu banki stosują szereg dodatkowych zabezpieczeń. Czasami wymagane są one dopiero podczas dokonywania jakiejś operacji (np. zlecania przelewu), czasami trzeba z nich korzystać już przy logowaniu.

Jakie są rodzaje zabezpieczeń, stosowanych przez banki, czym się różnią i które są najbardziej godne zaufania?

Hasła jednorazowe

Metoda nieco archaiczna, ale wciąż stosowana. Bank przekazuje w niej klientowi listę haseł, które ten wykorzystuje w określonej kolejności. Kody ukryte są pod “zdrapkami”, a podczas wykonywania przelewu czy innej operacji wymagającej dodatkowego potwierdzenia klient wpisuje w ramach potwierdzenie kolejny kod z arkusza.

Będzie to zabezpieczenie skuteczne, o ile lista nie wpadnie w niepowołane ręce. Choćby dlatego absolutnie nie należy na takiej liści zapisywać niczego, co związane jest z naszymi danymi logowania – w połączeniu z nimi lista umożliwiłaby złodziejowi na dokonanie dowolnej operacji.

W razie utraty listy należy ją niezwłocznie zastrzec w banku, co spowoduje, że znajdujące się na niej kody staną się nieważne.

Hasła SMS

Jedno z najpopularniejszych obecnie rozwiązań. Działa podobnie do listy haseł jednorazowych, z tym że kolejne kody są do nas wysyłane w razie potrzeby za pośrednictwem wiadomości SMS. Kod przez nas otrzymany przypisany jest do konkretnej, wykonywanej właśnie operacji – co stanowi dodatkową warstwę zabezpieczenia.

W teorii skradziona lista haseł jednorazowych może umożliwić wykonanie dowolnej operacji, bo niepowołana osoba jest na niej w stanie podejrzeć wszystkie “przyszłe” kody. W przypadku weryfikacji SMS konieczny jest dostęp do telefonu w momencie wykonywania operacji.

Token sprzętowy

Inną metodą zabezpieczenia jest tzw. token sprzętowy. Jest to niewielkie urządzenie, generujące kody automatycznie. Kod zmienia się na wyświetlaczu tokena co określony czas (np. co minutę) i przez ten czas jest ważny jako potwierdzenie dowolnych operacji.

Token ma tę przewagę nad hasłami SMS, że nie wymaga naładowanego telefonu ani kontaktu z siecią komórkową. Kody generowane są na podstawie znanego tylko bankowi algorytmu, który dzięki niemu wie w każdym momencie, jaka kombinacja cyfr jest właściwa.

Podobnie jak w przypadku listy haseł jednorazowych, utrata tokena może się wiązać ze sporym niebezpieczeństwem, jeżeli wraz z nim w niepowołane ręce wpadną nasze dane logowania.

Token w aplikacji

Chyba najbezpieczniejsze ze stosowanych obecnie powszechnie zabezpieczeń. Działa na tej samej zasadzie co token sprzętowy, ale kody generowane są nie na wyświetlaczu osobnego urządzenia, a w aplikacji, zainstalowanej w smartfonie klienta.

Jest to rozwiązanie o tyle lepsze, że sam telefon najczęściej jest dodatkowo zabezpieczony kodem albo odciskiem palca, podobnie sama aplikacja z tokenem. Dzięki temu nawet jak nasz telefon wpadnie w niepowołane ręce, będzie bardzo trudno wykorzystać go do zdobycia naszych danych lub kradzieży.

Zabezpieczenia w bankowości elektronicznej – które najskuteczniejsze?

Wszystkie z wymienionych rozwiązań zapewniają dostateczne bezpieczeństwo, jeżeli wykorzystywane są z należytą ostrożnością. Pewną przewagę ma z wymienionych powodów token w aplikacji na smartfona, ale w znakomitej większości przypadków równie skuteczne będzie dowolne z zabezpieczeń.

Absolutnie za to nie warto ograniczać się do samego hasła, nawet jeżeli chodzi tylko o logowanie. Stawką są tu nasze pieniądze, nie warto ich ryzykować.

Dominik Gąska

Dziennikarz i redaktor; konsekwentny i drążący w detalach ofert analityk zespołu PanWybierak. Wieloletni współpracownik serwisu Wirtualna Polska w dziale Technologie. W internecie – i o internecie – pisze od 2004 r. W przeszłości publicysta serwisów związanych ze środowiskiem gier – m.in. gram.pl, Polygamia.pl, Imperium Gier. Współtwórca podcastu Niezatapialni.