Hasło do banku w komórce
Około 1,3 mln użytkowników bankowości internetowej w Polsce korzysta już z haseł jednorazowych wysyłanych sms’em.
Stały login i stałe hasło to za mało, by zapewnić bezpieczeństwo klientowi obsługującemu rachunek przez Internet.
Dlatego w bankach, które nie stosują podpisu cyfrowego, potencjalnie niebezpieczne operacje autoryzuje się dodatkowym hasłem, wykorzystywanym tylko raz.
Na rynku długo dominowały dwa rozwiązania – listy haseł jednorazowych, np. w postaci kart zdrapek, oraz znacznie droższe tokeny, czyli miniaturowe urządzenia elektroniczne generujące ciągi znaków.
Obecnie coraz większą popularność zdobywa trzecia możliwość – przesyłanie tych haseł esemesem na wskazany przez klienta numer telefonu.
Banki decydujące się na takie zabezpieczenie argumentują to na dwa sposoby.
Po pierwsze, ich zdaniem zwiększa to wygodę użytkownika. Komórkę klient ma zawsze przy sobie, przesłanie kodu trwa najwyżej kilka sekund.
Odpada też problem pilnowania listy z hasłami czy oczekiwania na dostarczenie nowej, gdy poprzednia zostanie wykorzystana. Drugim plusem jest większe bezpieczeństwo klientów.
– Lista haseł jednorazowych jest predefiniowana, natomiast kod wysyłany w wiadomości esemesowej jest generowany dla konkretnej transakcji – na konkretny rachunek do określonego odbiorcy.
Gdyby nawet został przechwycony, próba wykorzystania go do potwierdzenia innej operacji nie powiedzie się – wyjaśnia Damian Zozula, dyrektor biura marketingu internetowego w Citibanku Handlowym.
W popularyzacji usługi pomógł też rachunek kosztów. Zdaniem bankowców wysyłanie haseł może być tańsze niż przygotowywanie papierowych list.
– Stworzenie centrum SMS to jednorazowy wydatek, do tego dochodzą opłaty na rzecz operatorów GSM.
Jednak przygotowanie papierowych list z hasłami, ich druk i wysyłka również oznacza koszty ponoszone przez bank.
Centrum SMS, które rozsyła nie tylko hasła do bankowości internetowej, ale także powiadomienia o operacjach na koncie czy transakcjach kartami płatniczymi, wbrew pozorom jest dla banku tańsze – przekonuje Bartłomiej Nocoń, dyrektor ds. platformy internetowej Banku BPH.
Zakres stosowania kodów esemesowych różni się w zależności od rozwiązań przyjętych przez poszczególne banki.
BPH wymaga potwierdzania wybranych transakcji kodami tylko wtedy, gdy klient przechowuje swój klucz prywatny na serwerze banku (robi tak 80 proc. użytkowników bankowości internetowej).
W mBanku i MultiBanku kody są alternatywą dla listy haseł jednorazowych, w BZ WBK zaś – dla tokena.
Citibank przy definiowaniu nowego odbiorcy wymaga potwierdzenia operacji hasłem otrzymanym w wiadomości esemesowej lub telefonicznie.
Natomiast w ING kody są wymagane tylko przy transakcjach, których wartość przekracza określony przez bank dzienny limit.
Wkrótce lista banków stosujących hasła esemesowe wydłuży się o kilka pozycji. Ich wprowadzenie w przyszłym roku zapowiadają m.in. Fortis Bank, Invest Bank i Raiffeisen Bank.
Autor: Piotr Ceregra
Źródło: Rzeczpospolita