14:15
20/8/2019

Największe polskie banki podkręcają zasady bezpieczeństwa. Klienci będą mogli logować się na swoje konta przez 2FA, a PIN możemy być zmuszeni podawać nawet przy niskokwotowych transakcjach zbliżeniowych. Wyjaśniamy powody tych zmian i robimy krótki przegląd praktyk poszczególnych banków związanych z dyrektywą PSD2.

Nasi Czytelnicy i uczestnicy naszych szkoleń wielokrotnie zadawali nam pewne pytania o bankowość. Przykładowo…

  • …dlaczego banki nie stosują 2FA przy logowaniu do serwisu?
  • …dlaczego złodzieje mogą dość długo i bezkarnie płacić kartami zbliżeniowymi bez podawania PIN-u?

Niepokoiły was również inne usługi finansowe. Słusznie pytaliście dlaczego niektóre z nich śmią prosić o login i hasło do banku. Inni pytali dlaczego banki nie udostępniają odpowiednich API dla takich usług.

Teraz na te pytania jest jedna odpowiedź.

Nadchodzi PSD2 i RTS

Banki muszą się mieścić w pewnych ramach prawnych. Niektóre zasady bezpieczeństwa wynikają z prawa, inne z wyboru. Te ramy w Polsce wyznaczała Ustawa o usługach płatniczych, a na poziomie Unii Europejskiej dyrektywa 2007/64/WE, bardziej znana jako Payment Services Directive albo PSD.

Zapewne już słyszeliście, że od 14 września banki będą musiały zacząć się stosować do nowej wersji tej dyrektywy, czyli PSD2 (2015/2366). Ten akt prawny kompleksowo reguluje świadczenie usług płatniczych, a zatem określa takie rzeczy jak wymogi stawiane podmiotom rynkowym, wymogi informacyjne stawiane usługom, prawa i obowiązki klientów i dostawców, zasady wykonywania transakcji, procedury skarg itd. Dodajmy, że polska Ustawa o usługach płatniczych również została znowelizowana aby uwzględnić wymagana PSD2.

Ważnym, choć znacznie mniej znanym dodatkiem do tej dyrektywy jest Rozporządzenie delegowane komisji 2018/389 dotyczące tzw. silnego uwierzytelniania i standardów komunikacji. Najczęściej określa się je skrótem RTS. Gwarantujemy wam, że lektura tego rozporządzenia będzie dla was o wiele ciekawsza niż lektura dyrektywy, o ile w ogóle chcecie czytać jakieś unijne dokumenty.

Trzy kluczowe sprawy

Gdybyśmy mieli wskazać najważniejsze naszym zdaniem zmiany wynikające z PSD2, wymienilibyśmy trzy mające znaczenie dla bezpieczeństwa.

1. Silne uwierzytelnianie klienta

Rozporządzenie RTS zobowiązuje dostawców usług płatniczych do częstszego stosowania uwierzytelniania dwuskładnikowego (w rozporządzeniu określonego jako “silne uwierzytelnianie”). Rozporządzenie dzieli elementy uwierzytelniania na trzy kategorie: wiedza (czyli np. login i hasło), posiadanie (czyli np. kod z urządzenia, które klient posiada) oraz cechy klienta (biometria). Trzeba będzie użyć dwóch elementów.

Banki stosujące “karty zdrapki” już doszły do wniosku, że nie spełniają one norm dyrektywy i znowelizowanej polskiej ustawy.

Nie wszystkie transakcje będą objęte obowiązkiem silnego uwierzytelniania. Nadal będziecie mogli zapłacić kartą zbliżeniową bez podawania PIN-u, choć będziecie do tego zmuszeni gdy np. wykonacie zbyt wiele transakcji bez żadnego silnego uwierzytelniania pomiędzy nimi, albo przekroczycie pewien licznik kwotowy.

2. Stosowanie API

W założeniach PSD2 ma umożliwić rozwój różnego rodzaju usług finansowych, które pobierają pewne dane z rachunku klienta. Dostawcami tych usług będą tzw. TPP (third party providers). Oferowane usługi mają obejmować m.in.

  • usługi dostępu do informacji o rachunku, pozwalające użytkownikowi usługi płatniczej w dowolnej chwili na wgląd w stan swoich finansów;
  • usługi inicjowania płatności, pozwalające konsumentowi dokonać zapłaty za zakupy w internecie przelewem, jednocześnie dając sprzedawcom gwarancję, że płatność została zainicjowana.

Powtarzamy, że niedopuszczalne byłoby tworzenie usług, które wymagają od klienta podawania loginu i hasła do banku (choć takie usługi powstawały i nawet powoływały się na PSD2). Rozporządzenie RTS wymaga, by dostawcy usług płatniczych prowadzący rachunek płatniczy udostępniali co najmniej jeden interfejs spełniający wymogi określone w art. 30 rozporządzenia RTS.

3. Analizowanie ryzyka transakcji wyłączonych spod obowiązku silnego uwierzytelniania.

Wspomnieliśmy już, że silne uwierzytelnianie nie będzie konieczne zawsze i wszędzie, jednak zrezygnowanie z niego będzie wymagało m.in. oszacowania wskaźnika oszustw dla transakcji danego rodzaju. Sposób obliczania tego wskaźnika określono w art. 19 rozporządzenia RTS.

Całkowity wskaźnik oszustw dla każdego rodzaju transakcji oblicza się jako całkowitą wartość nieautoryzowanych lub nielegalnych transakcji zdalnych – niezależnie od tego, czy środki odzyskano, czy też nie – podzieloną przez całkowitą wartość wszystkich transakcji zdalnych dla tego samego rodzaju transakcji – niezależnie od tego, czy uwierzytelniono je poprzez zastosowanie silnego uwierzytelniania klienta, czy przeprowadzono je w ramach któregokolwiek z wyłączeń, o których mowa w art. 13–18 – w ujęciu kwartalnym w trybie kroczącym (90 dni).

Wskaźniki oszustw będą na bieżąco monitorowane, a jeśli będą przekroczone przez dwa kolejne kwartały to  trzeba będzie zawiadomić o tym odpowiednie organy i wprowadzić działania naprawcze.

Obecnie RTS przewiduje wyłączenia silnego uwierzytelniania dla:

  • usług uzyskiwania informacji o rachunku;
  • płatności zbliżeniowych w punktach sprzedaży (pod warunkiem nieprzekroczenia kwoty 50 EUR oraz kwoty 150 EUR od czasu ostatniego silnego uwierzytelniania lub gdy liczba takich transakcji nie przekroczyła 5 od ostatniego silnego uwierzytelniania – zob. art. 11 RTS);
  • płatności w automatach za przejazd lub postój;
  • transakcji do zaufanych odbiorców (ale uwaga – zmiana listy zaufanych musi wymagać silnego uwierzytelniania);
  • transakcji cyklicznych;
  • transakcji niskokwotowych (tj. gdy kwota nie przekracza 30 EUR oraz łączna liczba transakcji od ostatniego silnego uwierzytelniania nie przekroczyła 100 euro lub nie było więcej niż 5 transakcji od ostatniego uwierzytelniania silnego);
  • w ramach bezpiecznych płatności korporacyjnych tj. wobec osób prawnych inicjujących elektroniczne transakcje płatnicze za pośrednictwem przeznaczonych do tego procesów lub protokołów, które udostępnia się wyłącznie płatnikom niebędącym konsumentami.

Co się zmieni dla zwykłego Kowalskiego?

Powiedzmy wprost, że PSD2 skłoniła banki do tego, aby wzmocnić procedury bezpieczeństwa wymagane od konsumentów, albo przynajmniej dać im możliwość wzmocnienia ich (logowanie 2FA w niektórych bankach będzie tylko opcją). Niektóre banki komunikowały te zmiany w ostatnich dniach czy tygodniach. Dokonaliśmy ich krótkiego przeglądu i już na wstępie widzimy jedno – banki w bardzo różny sposób podchodzą do wymogów dyrektywy.

Najczęściej zaobserwowane przez nas zmiany to:

  1. udostępnienie klientom dwuskładnikowego uwierzytelniania (2FA) przy logowaniu do serwisów (obowiązkowo lub jako opcja),
  2. wycofywanie z użycia kart “zdrapek” z kodami jednorazowymi,
  3. wdrażanie autoryzacji mobilnych lub aplikacji do tego celu,
  4. dodatkowe potwierdzanie transakcji mobilnych kodem jednorazowym lub dodatkowe potwierdzanie transakcji zbliżeniowych PIN-em,
  5. skracanie sesji w bankowości internetowej.

Ponadto:

  • Banki muszą skrócić czas odpowiedzi na reklamację (z 30 do 14-15 dni).
  • Banki powinny wziąć na siebie większą odpowiedzialnosć za nieautoryzowane transakcje (piszemy “powinny” bo obecnie się od tego migają)

To było tak ogólnie, a teraz przejdźmy do zmian, jakie w ostatnich dniach zakomunikowały konkretne banki.

PKO BP

  1. Będzie dwuetapowe logowanie z mobilną autoryzacją w IKO. Ta usługa była dostępna już wcześniej.
  2. Jeżeli zechcesz zobaczyć historię swojego konta starszą niż 90 dni, zostaniesz poproszony o potwierdzenie operacji narzędziem autoryzacji. W aplikacji IKO historię konta starszą niż 90 dni zobaczysz tylko w aplikacji w trybie aktywnym.
  3. Czasami bank poprosi o potwierdzenie PIN-em płatności zbliżeniowych, nawet dla kwot poniżej 50 zł.
  4. Będzie maskowanie haseł jednorazowych z narzędzi autoryzacji.
  5. Czas sesji w serwisie iPKO zostanie skrócony z 10 do 5 minut.

PEKAO SA

  1. Karty kodów jednorazowych zostaną wycofane. Będzie PekaoToken i token sprzętowy, jako metody autoryzacji.
  2. Bank proponuje przejście na bezpłatną autoryzację dzięki aplikacji mobilnej PeoPay albo kody SMS (płatne w wysokości 20 groszy za każdy SMS).
  3. Bank wprowadzi PekaoID. W założeniach to usługa jest “cyfrową tożsamością” działająca w oparciu o usługę mojeID świadczoną przez KIR (Krajową Izbę Rozliczeniową S.A.).

Santander

  1. Po wpisaniu loginu i hasła bank poprosi o dodatkową autoryzację. Może to być kod SMS, token lub podpis mobilny.
  2. Można będzie dodać swój komputer jako urządzenie zaufane. Wówczas nie będzie trzeba dodatkowo autoryzować każdego logowania.
  3. Bank będzie wymagał korzystania z zaufanego urządzenia mobilnego do obsługiwania aplikacji mobilnej. Konieczna będzie też aktualizacja aplikacji do najnowszej wersji.

mBank

  1. Bank poprosi o  dodatkowe potwierdzenie logowania hasłem SMS lub mobilną autoryzacją.
  2. Pojawi się aplikacja mBank Token, która będzie działać tak samo jak mobilna autoryzacja.
  3. Będzie można dodać swój komputer (telefon, tablet) do urządzeń zaufanych, aby szybciej się logować na swoje konto bez dodatkowej autoryzacji.
  4. Bank może wymagać np. kodu PIN do ostatnio zainstalowanej aplikacji mobilnej, lub hasła do serwisu transakcyjnego oraz wybranych cyfr z numeru karty płatniczej.
  5. Wycofane będą hasła jednorazowe gdyż nie spełniają one warunków dyrektywy PSD2. Bank zachęca do stosowania autoryzacji mobilnej lub haseł SMS. Zwróci opłatę listę haseł, której nie zdążyłeś wykorzystać.
  6. mBank może prosić o potwierdzenie również tych na kwotę poniżej 50 zł.
  7. Dla klientów Private Banking wycofane będą hasła i odezwy.

ING Bank Śląski

  1. W trakcie logowania do bankowości internetowej możesz być proszony o kod z SMS-a.
  2. Logowanie do aplikacji Moje ING mobile może przebiegać na 3 sposoby (tylko PIN, tylko identyfikator biometryczny albo PIN + identyfikator biometryczny).
  3. Przy zlecaniu przelewu w aplikacji również możesz być proszony o kod z wiadomości SMS.

Eurobank

  1. Eurobank wprowadzi konieczność użycia dodatkowej metody autoryzacji. Oprócz identyfikatora i hasła bank będzie wymagał podania hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji,
  2. Nastąpi ograniczenie usług dostępnych za pośrednictwem Automatycznego Serwisu Telefonicznego (IVR). Wycofana zostanie opcja odblokowania dostępu do Kanału Bankowości Internetowej, usługa uzyskania informacji o dostępnych środkach na koncie oraz opcja zmiany Telekodu,
  3. Nastąpi wycofanie możliwości zdalnego odblokowania dostępu do Bankowości Internetowej oraz usunięcie opcji przypomnienia identyfikatora i resetu hasła dla posiadaczy haseł SMS.
  4. Nastąpi zmiana sposobu aktywacji aplikacji eurobank mobile 2.0 polegająca na konieczności podania hasła z serwisu eurobank online zamiast numeru PESEL oraz wycofanie możliwości aktywacji aplikacji eurobank mobile 1.0 i aktywacji tokena GSM.
  5. Sesja w serwisie eurobank online oraz w aplikacjach mobilnych będzie skrócona do 5 minut
  6. Wprowadzone będą ostrzeżenia przed zablokowaniem dostępu do usług bankowości elektronicznej.

Tworząc powyższe zestawienie opieraliśmy się na zmianach komunikowanych oficjalnymi kanałami. Banki mają czas do 14 września na wdrożenie PSD2, zatem niektóre z nich mogą ogłosić zmiany po opublikowaniu tego tekstu. Chętnie go uzupełnimy.

Developers, developers, developers, developers…

Wspomnieliśmy już o obowiązku udostępnienia API. W związku z tym różne banki udostępniły swoje środowiska dla deweloperów, a niektóre nawet uruchomiły bankowe hackatony. Poniżej lista adresów, pod którymi znajdziecie informacje więcej informacji.

Niektóre banki mają ambicje stać się dostawcami innowacyjnych usług. Przykładowo Alior Bank na początku sierpnia ogłosił, że posiada zgodę KNF na działanie jako TPP.

Prawie jak RODO

Mielibyśmy ochotę napisać, że PSD2 to takie “RODO usług płatności”. Mówimy o bardzo ważnym unijnym akcie prawnym, które zmienił zasady wymyślone w roku 2007 na takie, które bardziej pasują do drugiej dekady XXI wieku. W czasach gdy powstawała pierwsza dyrektywa PSD nie było przecież płatności mobilnych czy powszechnych kart zbliżeniowych. E-bankowość też nie była tak powszechna. Porównywanie RODO i PSD2 byłoby o tyle uzasadnione, że oba akty prawne były elementem starań UE o stworzenie nowoczesnego unijnego prawa dla usług cyfrowych.

Na szczęście PSD2 nie wywołała takiej paniki jak RODO. Zapewne dlatego, że nie objęła tak wielu przedsiębiorców. Już wcześniej obserwowaliśmy jak banki przygotowują się na pełne wdrożenie dyrektywy. Teraz, na ostatniej prostej te zmiany stały się szczególnie widoczne.

Przeczytaj także:

140 komentarzy

Dodaj komentarz
  1. Pekao w zeszłym tygodniu zakończyło wsparcie zarówno PekaoTokena (osobna apka generująca challenge-response tokeny) jak i tokenów sprzętowych. Ponoć podyktowane to było podniesieniem poziomu bezpieczeństwa. Nie wydaje mi się, żeby bezpieczniejsza było jedno kliknięcie w tej samej aplikacji w której mogę wykonać przelew, na dowolnym urządzeniu na którym jest zainstalowana, niż osobne urządzenie lub osobna aplikacja (optymistycznie również na osobnym urządzeniu). A SMSy, niestety, płatne.

    • @Julia

      Teoretycznie masz rację. Ale w przypadku takich apek oraz tokenów sprzętowych istotne jest security dokładnie tego wdrożenia, które jest dostarczone klientom. Token tokenowi nierówny, ani apka apce. Jak wycofali, to być może, że coś muszą poprawić.

    • Z tego, co wiem to PekaoToken (tak jak token PKO, czyli odpowiednik w PKO BP) działał offline, przez co nie wyświetlał danych o transakcji, którą potwierdzasz. Aplikacja mobilna wyświetla te dane, dzięki czemu jest bezpieczniejsza.

  2. Pokusicie się może kiedyś o zaopiniowanie obecnych usług dostarczających API płatnicze? Np. PLAID

  3. > Banki stosujące “karty zdrapki” już doszły do wniosku, że nie spełniają one norm dyrektywy
    Ale to chyba dlatego, że dyrektywa wymaga, żeby informować użytkownika co dokładnie potwierdza kodem.
    Ogólnie zmiany na plus, aczkolwiek wycofania zdrapek nie mogę przeboleć. Nie posiadam telefonu, zostanie mi odpalenie aplikacji autoryzującej na BlueStacku albo innym emulatorze.

    • Mam podobnie. przydalby sie poradnik dla ludzi zyjacych bez nadajnika w reku.

    • Popieram, taki poradnik byłby w dechę.

    • Nokia 3310 + starter Orange za 5zł z włączonym “rok ważności konta”.
      No tak – to nadajnik. Ale możesz trzymać w domu i włączać tylko na czas korzystania z banku. Bo przecież w terenie nie chcesz korzystać – musiałbyś mieć ze sobą laptopa, a to też nadajnik. Chyba, że szukasz wszędzie gniazdka RJ45.

    • Również się pod tym podpisuję. Wg mBanku “Wycofane będą hasła jednorazowe gdyż nie spełniają one warunków dyrektywy PSD2. ”
      Ale hasło do konta to coś co wiem, a hasło jednorazowe to coś, co mam. Hasło SMS nie jest czymś, co mam, co najwyżej czymś, co wiem – bo tak naprawdę to ‘ma’ to mój dostawca usług telekomunikacyjnych, który może bez mojej zgody zrobić kopię karty SIM i komuś dać, dająć mu dostęp do moich SMSów.
      Hasła jednorazowe mogę zabezpieczyć fizycznie, hasła SMS nie. A jeśli bym jeszcze smartfona używał, hasła SMS dodatkowo byłyby narażone na rozmaite zdalne ataki na tegoż smartfona.

      mBank powinien albo z powrotem wprowadzić hasła jednorazowe, albo urządzenia generujące jednorazowe tokeny, nie oparte o smartfona.

    • @binbidawsdo: ale na 3310 nie pójdzie “apka” bankowa do autoryzacji.

      SMSy z kodami, owszem, działają – sam mam nadal starą N, ale inny model. Problem w tym, że bankowe ogłoszenia w sprawie 14/09 są nieprecyzyjne i w kilku przypadkach mogą sugerować, że bez “apki” nawet się nie zalogujesz. Wątpię, aby to faktycznie tak rozwiązali.

      Sam też cenię/ceniłem sobie listy/zdrapki bo nie potrzebują prądu i infrastruktury telekomunikacyjnej. To, czy są “niebezpieczne” zależy od specyfiki zagrożeń w danej sytuacji. Ja na przykład nieraz już zapodziałem telefon, ale o portfelu pamiętam. Bywam w miejscach, gdzie zasięg sieci komórkowej jest słaby, ale jest internet przewodowy.

      Chciałbym mieć wybór różnych mechanizmów autoryzacji, nawet płatny (ale w rozsądnej cenie). No ale bankowi się nie opłaca utrzymywać mechanizmów używanych przez jakichś tam geeków stanowiących 0.1% klienteli, więc kicha.

    • @Malgond Fakt, już z tekstu Niebezpiecznika wynika, że np. Pekao chce 20 gr za SMS, co zniechęca do SMS-ów. Ale całej reszcie te SMS-y wystarczą.
      Generalnie gdybym był użytkownikiem smartfona, to na pewno miałbym “sprzętowy token” w postaci drugiej SIM-karty tylko do bankowości, w osobnym telefonie. Ale mam stargo Sony Ericssona, więc nie muszę mieć osobnego :D

    • Zdrapki są bardzo dobrą metodą silniejszego uwierzytelnienia, ale nie działają gdy klient jest głupkiem który wpisze wszystko co mu na ekranie wyskoczy.

      Przyłączam się do prośby o rady dla nieposiadających telefonu komórkowego. Chcę korzystać z konta przez Internet ale bez używania czegokolwiek co ma kartę SIM.

    • @Malgond Bez prądu i infrastruktury zdrapka tez Ci się do niczego nie przyda.

    • Kompletnie nie rozumiem wycofania zdrapek. Co innego jeśli zdrapka zaginie, a co innego jeśli ma się ją cały czas. Jedyne co tu jest do zrobienia, to możliwość dezaktywacji aktualnie używanej zdrapki, albo zdrapki zamówionej która jest na liście.

      Np. mi przestała działać zdrapka w PKO. nie wiem czy to już zaczęli wdrażać czy to jakiś błąd. było podejrzane, więc ją dezaktywowałem.

      Najlepszy byłby token, ale on jest dosyć drogi. Zdrapka jest niemal jak token i jest b. tania, oraz nie do przechwycenia drogą elektroniczną.

      Zamiana zdrapki na SMS to jest obniżenie poziomu bezpieczeństwa. Dlaczego?
      No cóż. słuchawki są dziurawe jak sito. Więc jeśli zawleczemy sobie na słuchawkę trojana albo inną zarazę, to sms-y mogą być z automatu wysyłane do złodzieja, nawet jeśli używamy aplikacji czy dostępu przez web na komputerze.

      Niestety architektura współczesnych komputerów teoretycznie nie pozwala na utworzenie bezpiecznego kontenera, w którym dane by były przygotowywane przez użytkownika, odpowiednio zakodowane i opakowane, po czym wysłane do banku. to samo w drugą stronę. Idealna sytuacja która niestety nie ma u nas miejsca. Piszę teoretycznie niemożliwe, gdyż praktycznie jest to realizowalne ale nie ma implementacji. Można by takie coś wsadzić w jakiś kontener, ale póki co nie ma API które by umożliwiało przejęcie pewnych obszarów przeglądarki przez kontener, aby prezentowane pola były dla przeglądarki niewidocznie. Co najwyżej całą przeglądarkę możemy sobie odpalać przez np. dockera. Ale to niewiele da, bo nadal taka przeglądarka będzie używać urządzeń wprowadzania/wyprowadzania z komputera, co może być przejęte przez złośliwy program.

      Tak więc niestety słabo to widzę. Pakowanie w smartfona też jest słabe, bo smartfony nie doczekały się albo w ogóle, albo słabej implementacji bezpiecznej strefy przetwarzania.

  4. Marzę i tym, aby któryś z banków przestał kombinować z captcha I uruchomił u2F

    • W końcu Yubikey przydałby się w realnym zastosowaniu

    • To. Ja zaczynam żyć nadzieją, że może dożyje tego pięknego dnia.

  5. Ale że co? Jak nie posiadam smartfona, to się teraz do banku nie zaloguję…? :/

    • Właśnie o tym samym pomyślałam. Nawet w tym momencie mogę przypomnieć sobie kilka znanych mi osób które a) nie używają smartfonów tylko klasyczne “cegły” b) używają niszowych opensourcowych systemów na telefonie. To chyba zbliża się do dyskryminacji…

    • Zalogujesz. Kodem z SMS.

    • “które a) nie używają smartfonów tylko klasyczne “cegły” b) używają niszowych opensourcowych systemów na telefonie. To chyba zbliża się do dyskryminacji…”

      Polski przemysł paliwowy dyskryminuje właścicieli koni, bo na stacjach nie ma im gdzie podkowy wymienić czy dyszla od dorożki naprawić.

    • Jak ostatnio sprawdzałem to lista haseł jednorazowych (chyba nazywacie to zdrapkami), poprawnie zaimplementowana i poprawnie używana, jest nie do złamania. Ktoś zna jakiś atak matematyczny na listy jednorazowe? Nie chodzi mi o socjotechnikę, bo tak to można wszystko – najlepiej użyć solidnego klucza albo młotka za 10 złotych, sami wiecie…

      Polskie banki, zasłaniając się PSD2, przechodzą na SMSy i aplikacje. Telefon komórkowy, o ile ktoś posiada, można niepostrzeżenie stracić, bo operatorzy wydają wtórniki kart SIM na krzywy ryj, albo ładne oczy. Aplikacji ze strony banku nie zciągniesz, tylko trzeba jakiś sklep, o ile ktoś posiada. Słowem, nie wiadomo ilu pośredników trzeba włączyć w uwierzytelnianie i nie wiadomo gdzie ci pośrednicy są i ile na tym zarabiają. Ale mniejsza o to. W Niemczech banki zasłaniają się PSD2, żeby… zrezygnować z SMSów, bo uznały, że to mniej bezpieczne chyba. Fajnie, że z tego samego powodu można ludziom wciskać dwie przeciwne rzeczy – czarne jest białe. Albo czarne. zależy komu chcemy dowalić. W tym wypadku uprzykrzyć życie.

      A pani w okienku powtarza mantrę, że listy haseł jednorazowych nie są bezpieczne.
      Tak sobie myślę, który z szanownych kolegów Informatyków jej o tym powiedział? Może by tutaj też nam udowodnił/zademonstrował jak złamać hasła jednorazowe? Bez użycia przemocy, rzecz jasna. I nie używając socjotechniki, bo jak wszyscy wiemy karta SIM socjotechniką też może zmienić właściciela.

    • Zdrapki nie są powiązane z transakcja – nie pokazują Ci co potwierdzasz. SMS tak: masz opis do kodu.

      Niemcy słusznie podnoszą niebezpieczeństwo kanału SMS, brak szyfrowania e2e, dostęp od strony systemów operatora, dostęp od strony systemu operacyjnego ofiary (“można odpisywać i czytać smsy na komputerze”), ataki ss7 (maloprawdopodobne), hijack kart SIM (do zrobienia, kosztowne i nieskalowalne ale wiele przypadków także w Polsce).

      Aplikacja mobilna wygrywa. Choć sprzętowy token challenge (powiązany z transakcja) – response jest najbezpieczniejszy, choć dla wielu nie do ogarnięcia.

      PS. Koszty “socjotechniki” w wariancie phishing na kod zdrapki vs operatora GSM porównaj w obu przypadkach.

      I na koniec; pamiętaj, żeby te metody rozważyć nie na sobie – ekspercie IT – ale na milionach zwykłych osób które ledwie potrafią czytać ze zrozumieniem.

    • @juzek
      Ale na jakich stacjach? kowalskich czy benzynowych? Bo ja dorożką na stacje benzynowe nie wjeżdżam. A u kowala jakeśmy ostatnio popili, to tylko dzięki rumakom do domu wróciłem. Na szczęście szkapy drogę znają.

      A że piszę od czapy, to dlatego że komentarz porównujący banki do stacji jest tak samo od czapy. Stacja benzynowa to nie kowal, a bank to nie sprzedawca usług teleinformatycznych.

    • @juzek

      Zla analogia. Wyobraz sobie, ze kupujesz auto, ale mozesz je tankowac tylko w BP lub Orlenie, na innych stacjach auto nie bedzie przyjmowalo paliwa. Co bys zrobil?

    • “Polski przemysł paliwowy dyskryminuje właścicieli koni, bo na stacjach nie ma im gdzie podkowy wymienić czy dyszla od dorożki naprawić.”

      Polski przemysł paliwowy nie zmusza cię do używania dorożek konnych, aut, motorów, nie zmusza cię do niczego! A życie bez konta bankowego w dzisiejszym świecie właściwie prawie niemożliwe.

    • @Piotr: czy PSD2/RTS gdziekolwiek wymuszają, żeby metoda uwierzytelnienia była powiązana z transakcją? W artykule o tym nie wspominacie, a ponoć argument przeciwko hasłom jednorazowym/zdrapkom to niezgodność z PSD2.

    • @Piotr Konieczny
      w SMSie jest opis transakcji (jeśli jest w każdym przypadku; tego nie wiem, bo nigdy jeszcze nie korzystałem) – zgoda. To spory plus. Tyle, że ludzie tego nie czytają podobno ;)
      Bo skąd inaczej dodawanie zaufanego odbiorcy zamiast przelewu na złotówkę?

      Natomiast wydaje mi się, że zdrapkę dużo trudniej jest „stracić na korzyść złodzieja”.
      Oczywiście rozumiem, że są ludzie, którzy inaczej korzystają z platform bankowych niż ja, ale podejrzewam, że wtedy opierają się na platformie mobilnej (apka). Dla mnie – ze względu na OS – apka odpada (prawdopodobnie), a SMSy są gorszym rozwiązaniem (pomijając różne indywidualne ograniczenia, jak np. konieczność pootwierania okien żeby otrzymać SMSa – mówię całkowicie serio).

      Miło sobie gdybać, ale milej by było gdyby banki nie zasłaniały się półprawdami na temat bezpieczeństwa.
      Nasuwa się pytanie (@…): Czy PSD2 wymusza potwierdzenie charakteru transakcji? Wtedy opis musi być, np. w SMSie. Czy chodzi jedynie o potwierdzenie faktu/transakcji? Wtedy hasła jednorazowe są absolutnie wystarczające – przynajmniej prawnie.

    • – a ja nie mam telefonu …
      – ok, ok

    • @zdrapek
      I tu się kłania niezaradność banków, czy raczej pójście na łatwiznę.
      Zamiast kodu w SMS wystarczy wysłać nr pola zdrapki:
      -mamy informację bezpośrednio z banku jaka operacja ma być autoryzowana
      -mamy bezpieczeństwo haseł jednorazowych

    • https://eba.europa.eu/documents/10180/2622242/EBA+Opinion+on+SCA+elements+under+PSD2+.pdf

      29. The EBA is also of the view that printed matrix cards or printed OTP lists that are designed to authenticate the PSU are not a compliant possession element for approaches currently observed in the market, for similar reasons to those mentioned for card details above, namely that they are unlikely to comply with the requirements under Article 7 of the RTS.

    • @marcin „29. (…)”

      dzieki. Tylko kto to (do k. nędzy) napisał? Jak można porównywać „zdrapki” do karty?

      To tak jakby powiedzieć, że łodzie nie są bezpieczne na wodzie z tych samych powodów co samochody, które przecież na wodzie toną!

      @zkz
      ale przecież mbank właśnie tak robił: prosił o konkretny numer z listy. Ale przestępcę też by o to poprosił, a ten podstawiłby odpowiednie pytanie w ataku MiM.

      Ja jednak nie widzę różnicy między skradzioną listą „zdrapek” a skradzionym telefonem/nielegalnie uzyskanym wtórnikiem karty SIM. A powiedzmy sobie szczerze, że dla części przestępców lista OTP w dzisiejszych czasach po prostu stanowić wyzwanie nie warte zachodu. O ile w ogóle uda się im wejść w fizyczne posiadanie, co jest wątpliwe przy ataku niecelowanym.

    • @zdrapek
      Normalnie numer pola zdrapki dostawało się na stronie i tu faktycznie można zrobić atak MiM.
      Mi chodzi, żeby ten numer pola wraz z informacją o autoryzowanej operacji przychodził SMS-em.
      W takim przypadku atak jest utrudniony. Duplikat sim nic nie da, bo złodziej nie będzie miał zdrapki. Jak ma duplikat sim, to nie ma jak przekazać tego sms-a do ciebie, bo twoja karta nie jest aktywna.
      Jeżeli nie ma duplikatu, to dostaniesz z banku informację jaka operacja ma być autoryzowana i sprawdzisz, że coś nie pasuje.

      Tak to sobie wyobrażam:
      -logujesz się na stronie banku
      -robisz operację
      -system bankowy wysyła ci sms-a z informacją o operacji i numerem zdrapki do autoryzacji
      -na stronie wpisujesz kod ze zdrapki

      Na pewno da się obejść ale nie przychodzi mi na szybko pomysł jak.

  6. Pekao wycofuje PekaoToken (nie tylko karty kodów jednorazowych). Aplikacja była fajna przez to, że nie potrzebowała dostępu do internetu, wymagała znajomości PINu i sprawdzenia i przepisania części NRB odbiorcy. Nie rozumiem.

    • Też boleję nad wycofaniem PekaoTokena. Ktoś ma pomysł, co mogło być powodem?

    • I działał na starej Nokii (Symbian)

  7. Offtop: Sekcja “Aktywne ataki” zdechła? Ostatni wpis z 29 stycznia, już prawie 7 miesięcy trwa ten atak, czy Redakcja nie ma czasu? Rozumiem, że może inicjatywa nie wypaliła z braku czasu, ale wypadałoby przynajmniej usunąć te stare.

    • A po co usunąć? Tam są szczegóły techniczne. To ma zostać.

    • Bo to są “aktywne”. Nie sądzę, że takie kampanie trwają pół roku i dłużej. Zostać to mogłyby w sekcji “przeszłe ataki” czy coś. Po co straszyć atakiem, który już dawno się zdezaktualizował. Ewentualnie zmienić nagłówek na “Ataki w Polsce” i dać datę w nagłówku, wtedy jasno widać, czy czytać natychmiast, czy dopiero na końcu, po przeczytaniu wszystkich mądrych komentarzy pod artykułami i ułożeniu dziesięciu pasjansów ;-)

    • Czyli powinni przenosić do “ataki nieaktywne”?
      Mi starczy zerknięcie “aaa, to już czytałem” i nie wchodzę.

  8. 1. Czemu piszecie “Pekao SA”, a innym bankom nie, choć też są SA? W szczególności PKO BP SA.
    2. Millennium też rozesłało (dziś rano) rozpiskę co zmieniają. Generalnie to samo, co wszyscy :)

  9. To kiedy klucze U2F Fido? Nigdy? Tak myślałem. Bezpieczeństwo jest bezpieczniejsze jeśli po drodze jest milion uczciwych programistów chińskich smartfonów, popsuta aplikacja do autoryzacji pisana przez studentów, salony telefoniczne gdzie dają duplikaty kart na gębę z kawałkiem plastiku i tępe panienki w okienkach bredzące o najwyższych standardach czegośtam.

    Ciężko przeboleć usunięcie kodów jednorazowych. Przy wszystkich wadach mają również zaletę. *JA* mam władzę nad tym czy ktokolwiek dokona transakcji, zaciągnie kredyt itd itp.

  10. Jest żle. Beznadziejnie wręcz. Żaden bank nie zezwala na używanie standardowego TOTP, większośc próbuje ludzi zmusić do instalacji aplikacji mobilnej lub SMSów, a Pekao dodatkowo chce żeby mu płacić za SMSy.

    A co z ludźmi bez Androida i iOS? Cała nadzieja w tokenach sprzętowych…

  11. Mnie zastanawia jednak co że stabilnością sieci gdy wysyłane są SMS.
    Czasami nie przychodzą z winny banku va czasami z winny sieci

  12. Zdrapki to najgorsze zło jakie może być, wie ten kto brał udział w ich produkcji…

    • Bo produkować zdrapki powinni sobie sami klienci! A do banku te dane, w takiej czy innej zabezpieczonej/zaszyfrowanej wersji powinny dostać się do banku. Koniec, kropka.

      Jak? Może GPG? Może i certyfikat wystawionym przez jakiś urząd, tylko czemu nam ludziom wciska się zawsze rzeczy płatne? Czy we własnym kraju Polak musi płacić za wszystko!? Zresztą niech Banki wystawią wszystkim swoim klientom takie certyfikaty? Co to za problem!? Ja nie widzę żadnego! Certyfikat podpisany przez ten bank do użycia tylko do potwierdzania różnych operacji w tym banku! Wszystko się da tylko trzeba myśleć! A nie wykonywać głupie dyrektywy jak robocik…

  13. Osadzanie filmiku youtube wymaga javy, czy przegladarka Brave tylko tak to widzi?

    • Nie wina internetów, że przeglądarka nie trzyma standardów.

  14. Zastanawiam się, po co maskować hasła jednorazowe – no chyba że chodzi o hasła ze zdrapek?
    Hasło, które przychodzi SMS-em, i tak potwierdza tylko jedną, konkretną operację. Nawet modyfikacja parametrów tej operacji powoduje. że dostaje się kolejnego SMS-a (tak jest we wszystkich bankach, z których usług korzystam). Więc co komu innemu po znajomości takiego hasła?

    • To chyba kwestia terminologii. Cytat ze strony PKO “Maskowanie haseł jednorazowych z narzędzi autoryzacji– przykład: gdy wpiszesz w serwisie internetowym lub aplikacji mobilnej kod SMS, zamiast cyfr, zobaczysz gwiazdki”.

  15. W BOŚiu też niestety rezygnują z sprzętowych tokenów.

  16. Rozumiem, że żaden z banków nie zakłada możliwości wykorzystania Yubikey…?

  17. Token ma tę wadę dla banku że zniechęca ludzi do wyrzucania kasy w błoto, klient który musi poszukać w torebce tokena, albo wręćz wrócić do domu w celu wykonania przelewu za dużo ma czasu na zastanowienie sie czy dany zakup ma sens

    • Hej Magdalena, czy Ty masz chlopaka?

    • @Magdalena

      Zgadzam się z tą diagnozą. Dodam jeszcze, że dostarczenie klientowi przez bank osobnego urządzenia elektronicznego zawsze jest dla banku droższe, niż dostarczenie apki na cudze urządzenie lub wysłanie smsa.

      @Zaciekawiony

      A co to ma do meritum sprawy? Potem przez takie komentarze koleżanki się krępują odzywać i kontynuuje się głupi mit, że IT to same chłopy.

    • @stukot

      Gdybym zadal to pytanie na zywo, to tez bys sie za kolezanke odezwal?

      Przewilejem chlopa jest pytanie baby, czy jest zajeta/wolna. Zawsze i wszedzie. Od zarania dziejow.

    • @Magdalena
      Płacisz w sklepach, knajpach przelewami?
      @wszyscy
      macie jakieś źródła gdzie poczytać o formach płatności? sposobach używania konta bankowego do płacenia za towary, usługi? Gdzie np. wyjaśnione jest jak działa applepay i inne formy płacenia telefonem, aplikacjami itp? Oraz komu i dlaczego to się opłaca/ może opłacać?

      Ja IRL używam gotówki i karty płatniczej i uważam, że są to bardzo wygodne formy płacenia. W sieci używam głównie karty i czasami paypala (jak trzeba), ale byłem już zmuszony do jakiegoś flywire (?). Przeczytałem cały ich regulamin i wciąż nie wiem do czego i dlaczego jest to potrzebne? wygodne? dla kogo? Dla mnie było superupierdliwe.

    • @Zaciekawiony

      A gdyby Ciebie ktoś obcy publicznie podczas rozmowy merytorycznej, spotkania biznesowego, itp itd zapytał, czy masz partnerkę/partnera? Też byłoby fajnie?

  18. Czy wymuszenie silnego uwierzytelniania przy co 5 płatności zbliżeniowej (lub przy przekroczeniu kwoty) będzie dotyczyło również płatności telefonem poprzez aplikację Apple Pay/Google Pay?

    • W przypadku Apple Pay każda transakcja jest autoryzowana biometrycznie lub przez podanie PIN

  19. Czemu w trakcie czytania tego artykulu Opera usiluje uzyskac dostep do kamery?

  20. Będę pierwszy w kolejce do zmiany banku na taki, który wprowadzi U2F. Szkoda, że teraz żaden się tego nie podjął.

  21. A kto ponosi koszty wysyłania SMS’ow dodatkowej autoryzacji? Czy banki znowu przerzuca koszty na klientów?

  22. Odnośnie PKO:
    “Będzie dwuetapowe logowanie z mobilną autoryzacją w IKO.”
    A jak ktoś nie posiada smartfona (są nadal takie osoby) albo ma za starego i ze zbyt małą ilością pamięci żeby zainstalować aplikację banku to co wtedy? nie dostanie się na konto? Bo to jedyny bank który nie wspomina o innych możliwościach autoryzacji np. przez SMS.

    • Też mi to przeszkadzało. Napisałem do PKO w tej sprawie, dostałem odpowiedź, że nadal będzie możliwa autoryzacja kodami SMS.

    • Niestety nie jedyny – ToyotaBank wycofuje tokeny sprzętowe i wymusza apkę jako jedyny sposób autoryzacji. Wg. TB wynika to z “dogłębnej analizy stanu prawnego” :/

    • Na infolinii powiedzieli że autoryzacja w aplikacji będzie tylko dla tych którzy z niej korzystają, natomiast jak ktoś nie ma zainstalowanej aplikacji, albo korzysta ze zdrapek to dla nich ma pozostać wszystko po staremu. Także w PKO spoko do tego podeszli.

  23. Aplikacje, aplikacje, wszędzie chcą wciskać mobilne aplikacje.

  24. Osobiscie widze dosc spore pole do naduzyc. Na pewno pojawia sie nieuczciwi TPP ktorzy beda probowali oszukac klientow banku aby dodac ich jako trusted TPP albo omylkowo uzytkownicy sami to zrobia. Po wyciagnieciu pieniedzy standardowa odezwa bedzie ” to ten zly bank nie przypilnowal moich pieniedzy” .

    Druga ciekawa usluga ktora na pewno sie pojawi to sprawdzanie stanu kont. Przy pomocy Confirmation of Funds (funkcja ktora sprawdza czy mozna uzytkownik ma na koncie kwote X) wywolanego kilka razy mozna bardzo szybko okreslic kto i ile ma Eurodolarow na koncie. Na pewno sie pojawia chetni w darknecie ktorzy beda oferowac taka usluge dla innych chetnych oskubac klienta. Lepiej celowac w bogatego niz w kowalskiego ktory zyje na debecie cale zycie.

  25. PSD2 i obowiązkowe API banków to REWOLUCJA. Kto siedzi w tym temacie to wie co teraz będzie się dziać. Świat finansów zmieni się w niesamowity sposób, PSD2 wpłynie też mocno na rozwój kryptowalut, giełd, kantorów i powszechnego użycia kryptowalut. Zbliża się zupełnie inny świat.

    • Może przekaż dokładniej, co masz na myśli, bo to co napisałeś to ładny marketingowy bełkot.

    • Jakieś konkrety, czy to tylko przypuszczenia?

    • Tylko wcale nie tak łatwo jest dostać dostęp do tego API. Trzeba się zarejestrować jako TPP w Komisji Nadzoru Finansowego. Nie wczytywałem się w dokumentacje różnych banków, możliwe, że niektóre pozwalają na dostęp do sandboxa i zabawę bez tego. Sprawdzałem tylko mBanku i tam, żeby dostać się do sandboxa trzeba być już TPP albo być w trakcie starań o licencję.

    • tak wiem. koniec jest już blisko.

      a tak na serio, w serwisie by się przydała opcja łapkowania góra/dół, ale z osobnym wyświetleniem ilości łapek a nie sumą.

  26. PKO BP:
    “4. Będzie maskowanie haseł jednorazowych z narzędzi autoryzacji.
    5. Czas sesji w serwisie iPKO zostanie skrócony z 10 do 5 minut.”
    Nie za bardzo rozumiem, w jaki sposób te zmiany miałyby zwiększyć bezpieczeństwo (a nie: iluzję bezpieczeństwa). Z drugiej strony, te rozwiązania zmniejszą wygodę korzystania z serwisu.

  27. Powtórzę – co dla osób, które nie mają i nie mogą/chcą mieć telefonu?

    • Statystycznie tacy nie istnieją, w praktyce jakieś konto typu senior z dostępem tylko w oddziale na podstawie dowodu płatne grube dukaty miesięcznie…

    • “nie istnieją” – istnieją i niejednokrotnie w branży IT w konkretnych okolicznościach związanych z bezpieczeństwem.

  28. “Ciezko sie zyje o suchym chlebie,
    za to nikt grobow nam nie rozgrzebie.” :D

  29. A na Windowsa albo Linuksa banki nie mogą zrobić programu do obsługi kont (autoryzacji jak w przypadku aplikacji mobilnej)? Wszystkie przelewy i zarządzanie kontem wykonuję na komputerze z Windows i nie posiadam smartfona z Androidem lub Iphona i nie zamierzam go kupować. Czemu na stacjonarne sprzęty nie można stworzyć programu? Ciężko zgubić komputer stacjonarny, a w laptopach ludzie hasła raczej posiadają (jak w przypadku smartfonów). Ludzie klikają w linki z sms-ów i maili na smartfonach i logują się na “strony bankowe”, a na komputerach mogą tylko kliknąć w niebezpieczny link z maila (jak są naiwni). Na kompach można mieć problemy przez złośliwe oprogramowanie, ale ile osób instaluje złośliwe aplikacje (które odczytują różne dane) na smartfonach?

  30. Jedyną tyciutką nadzieję, jaką miałbym w związku z PSD2 to udostępnienie choćby przez część banków minimalnej apki (tj. apki o minimalnych uprawnieniach i bez zbędnego kodu – czego oczywiście nie da się sprawdzić) służącej _tylko_ do potwierdzania operacji zlecanych innym kanałem. Innymi słowy: taki “mądrzejszy” token soft-sprzętowy.
    Obecne aplikacje chyba już wszystkich banków służą do wszystkiego, a autoryzacja transakcji to w nich w sumie poboczna funkcjonalność. Efekt jest taki, że najbardziej wrażliwa apka w smartfonie jest też jedną z najobszerniejszych i potrzebuje w zasadzie niemal wszystkich uprawnień, jakie daje się wymyślić (co powoduje także, że mniej techniczni nie widzą potem problemu w instalowaniu apek, które potrzebują powiedzmy połowę tego co ta bankowa).
    Fajnie se tak czasem naiwnie pomarzyć… ;-)

    • mBank zapowiada wypuszczenie takiej właśnie apki – tylko do autoryzacji, zero innych usług. Od września, oczywiście, nie wiem czemu nie już teraz/dawno.

    • @Ryanbc
      … i teraz każdy z kilkudziesięciu twoich usługodawców wypusci sobie taką appkę.

  31. Dobrze jakby była możliwość dodania klucza YubiKey jako metody zalogowania najlepiej tak jak w ochronie zaawansowanej kont google czyli bez możliwosci obejscia innym drugim składnikiem. Login+hasło+klucz do zalogowania na urządzeniach niezaufanych a na zaufanym smartfonie logowanie odciskiem palca. Dziwi mnie że Google może a banki nie chcą.

  32. Pekao wycofuje PekaoToken!

  33. Najbezpieczniejsze jeśli chodzi o zabezpieczenie i tak pozostają stare poczciwe tokeny

  34. Ciekawe, że wszystkie banki wymagają posiadania przez klienta telefonu. Klient bez telefonu będzie wykluczony z obsługi bankowej? Żaden z banków doprawdy nie pokusił się na wdrożenie rozwiązań typu ChipTAN?

  35. Co gdy za granicą przy długim wyjeździe zgubisz albo zostanie ci ukradziony telefon?

    • Będzie przekichane. Nie będziesz miał dostępu do swojego konta, bez telefonu. Wystarczy że bank zablokuje ci kartę co się często zdarza przy którejś transakcji i mogiła. Nikogo jednak to z bankowców nie obchodzi że zostaniesz bez środków gdzieś daleko od domu.

    • @Robert
      Proste – banki chcą zarobić na preppersach i wyciąganiu przez nich gotówki, jej przewalutowaniu, opłacie manipulacyjnej za wpłacenie, bezużytecznym bilonie….

    • Chcą na pewno zarobić na wszystkim, ale powinny być granice tej paranoi. Jesteś na drugim końcu świata, znasz login i hasło i nie możesz dostać się do swoich pieniędzy. Nie ma też opcji aby odblokować niepotrzebnie zablokowaną kartę, czy przelać środki z innego konta. Bank nie przyjmie żadnego innego zapasowego telefonu, który mógłbyś mu wcześniej podać.

  36. Logowania poprzez sms czy aplikację mobilną nie uważam, za bezpieczne.
    Do mojego telefonu dostęp mają dzieci, a mój numer jest znany każdemu (branża usługowa)
    W ciągu 10 lat – 2 razy skradziono mi telefon, raz uległ zniszczeniu, a o mniejszych awariach nie wspomnę. Pracownik mojego banku (duży bank państwowy) namawiał mnie do zatwierdzania transakcji właśnie przez ten mój numer. Uznałem to za głupotę.

    Kupiłem drugi nr telefonu wyłącznie do zatwierdzania transakcji, nie znany nikomu nr.
    i … na mój stary nr telefonu dzwonią z propozycją udziału w pokazie garnków, po 10 min na mój nowy (nieznany nikomu nr tel) także dzwonią o ten pokaz. Ewidentnie przeciek z firmy telekomunikacyjnej.

    Nie podoba mi się także to, że nie mogę ustalić stałych dziennych i miesięcznych limitów które można byłoby zmienić tylko w banku a nie przez telefon.

    Wnioski. Większą kasę należy trzymać w banku bez usługi mobilnej, a w drugim banku trzymać min kasy aby starczyło na opłaty i przelewy. Niestety problem zaczyna się gdy robimy sporo przelewów i na duże kwoty.

    • > Do mojego telefonu dostęp mają dzieci
      Halo, profile użytkowników? Ewentualnie blokada aplikacji PINem różnym od tego do odblokowania telefonu czy konkretnym odciskiem palca? LineageOS to wszystko ma, z tego co się orientuję polska wersja MIUI też.

      > a mój numer jest znany każdemu
      To chyba nie jest problem. Ktoś kto bardzo chce się skontaktować, to się zawsze skontaktuje – po coś żyjemy w społeczeństwie :)

  37. Ja nie mogę przeboleć braku zdrapek – były takie fajne w używaniu!

  38. A pies jest pogrzebany gdzie indziej.

    Jest potrzebne zupełne nowe rozwiązanie. Bo teraz pędzimy w ślepą uliczkę – do zalogowania do banku będzie potrzebny login, hasło, smartfon, aplikacja, token i jeszcze jakaś dodatkowa aplikacja pokązująca dziwne cyferki, które w sposób maskowany trzeba będzie wklepać do specjalnego terminala. Za dużo tych cyferek, aplikacji i dyndajacych przy kluczach dziwnych dzyndzelków z napisem 2FA. Za trudne.

    Dlaczego 2FA jest ZŁEM? Oprócz oczywistych zalet ma jedną wadę która obecnie to całkowicie dyskwalifikuje. Miejmy taki 2FA przy kluczach albo jako aplikację w telefonie. I 2FA się gubi, psuje a telefon zgubiliśmy lub ktoś ukradł. I człowiek jest w czarnej pupie. Oczywiście, można mieć zapasowy 2FA, można mieć kody offline – ale tu znów wracamy do punktu startu, gdzie albo mamy kody wydrukowane na karteczce albo 6 tokenów w 5 miejscach i przynajmniej po dwa w każdej kieszeni.

    Osobiście stawiałbym na biometrię + globalny i darmowy internet wszędzie.

    • Biometria też ma swoje wady. Mogą nam podać narkotyki, upić czy zwyczajnie ogłuszyć i wtedy odcisk naszego palca (bez naszej zgody odblokowuje rachunek). Czy pobrać odcisk naszego palca z powierzchni którą dotykaliśmy.
      Należy pamiętać, że możemy palec skaleczyć czy oparzyć i wtedy rachunek zablokowany.

      To co czego najbardziej się obawiam to, że odcisk naszego palca zostanie gdzieś w sieci i służby czy przestępcy będą mogli z niego skorzystać.

      Przypomina mi się też scena z Terminatora gdzie urządzenie działo na odcisk palca, Arnold odciął palec i miał już klucz.

    • Cóż, zatem idea chipu wszczepianego pod skórę wydaje się najsensowniejsza… Nie wiadomo czy bać się, czy cieszyć.

      Kalkulując na chłodno – chyba cieszyć. Taki chip oraz PIN rozwiązuje wszystkie problemy

    • Tak super sensowna, zamiast odciąc palec odetną ręke.

    • Już to widzę jak ludziom ucinają rękę żeby mu ukraść 1000zł :-)

  39. Pamiętam jak będąc za granicą chciałem dostać się do swoich danych na dysku Google. Pomimo loginu i hasła (bez ustawionej podwójnej autoryzacji) Google nie chciał mi nadać dostępu. Nie miałem akurat przy sobie telefonu, który podałem w Google. Mail zapasowy zupełnie nie ma znaczenia. Dzięki tym świetnym zabezpieczaniom miałem duży problem nie mogąc dostać się do swoich danych. Nigdy już więcej nie polegałem na Googleu bo dla mnie najważniejsza jest dostępność. Co to za system, do którego nie może się dostać uprawniony właściciel.

    • To bezpieczny system.

    • A może wprowadzić zabezpieczenia biofizyczne? Każda transakcja wymagałaby wykonania jakiejś figury, typu krok taneczny czy fikołek. A wyspecjalizowana osoba by stwierdziła, czy fikołek wygląda jak fikołek zapisany w bazie danych tej osoby. Jak taki sam – autoryzacja. Jak nie – odmowa.

      Pd razu odpada problem z wyciąganiem kasy z bankomatu po pijaku – jak nie zrobisz salta w tył to jesteś za bardzo napruty i bankomat odmówi kasiorki na kolejną wódkę.

      I może zrobić limity – do 200 zł szpagat, do 1000zł piruet z telemarkiem a większe kwoty wymagałyby wykonania w banku potrójnego aksla. Bierzesz kredyt hipoteczny z małżonką – no to proszę w parze wykonać salsę do utworu “Jedna noc w Paryżu”.

      I pieniądze bądą bezpieczne, i ludzie wysportowani.

    • Mój portfel, który zostaje w domu także jest bardzo bezpieczny. Jest też dla mnie bezużyteczny.

    • @PK

      Czy 2FA by tutaj pomogl? Mnie tez wkurzaja ograniczenia geograficzne, bo duzo podrozuje po innych kontynentach. Czy firmy oferujace 2FA calkowicie ignoruja polozenie geograficzne uzytkownika podczas logowania?

    • Piotrek, bezpieczeństwo to nie tylko odmawianie dostępu nieuprawnionym, ale też przyznawanie go uprawnionym. W idealnym wypadku – zawsze i bezbłędnie.

  40. Zastanawiam się co z płatnościami google pay przy użyciu NFC? Od jakiegoś czasu nie muszę odblokowywac ekranu do małych płatności, wystarczy podświetlenie. Czy to też wynika z tej derektywy?

    • Zawsze możesz się przełączyć na obsługę NFC bez pośredników, bezpośrednio z aplikacji banku.

  41. Zawsze mnie bulwersowało, że głupi czat dla graczy ma znacznie lepsze zabezpieczenia niż konto bankowe. Najgorsze są dane karty kredytowej – jak raz komuś podasz, to może ci robić dowolne przelewy bez żadnej weryfikacji 2FA.

  42. Czyli komuna i hipstera bankowa uszczęśliwiają na siłę osoby starsze, mniej obyte, korzystające zbyt rzadko z usług aby wyrobić sobie nawyki. Izolacji takich osób ciąg dalszy oraz wymuszanie posiadania wzglednie drogich, szybko dekapitalizująćych się smartfonów przy jednoczenym braku uniwersalnej możliwości płacenia elektronicznie wszędzie. Zresztą, dramat będzie przy kilkudniowym, ba kilkugodzinnym braku zasilania…
    Komplikujcie dalej – będzie więcej żółtych karteczek.
    Coraz większa zalezność od kont Google/Microsoftu do których dostęp też jest coraz bardziej fortyfikowany.

    • Wiek nie jest usprawiedliwieniem braku dokształcania się. Człowiek powinien uczyć się przez całe życie :)

  43. mBank już jakiś czas temu poinformował mnie o zmianach. Między innymi że logowanie będzie wymagało podania poza loginem i hasłem kodu z SMS lub potwierdzenia w aplikacji.
    Trochę mnie to niepokoi bo do tej pory nawet jak ktoś ukradł mi dane do logowania to mógł tylko zobaczyć saldo mojego konta. Teraz zwykły Kowalski przekierowany na fake’owa stronę poza loginem i hasłem będzie podawał kod SMS. Jest wiec możliwe przy odpowiednim działaniu nie tylko uzyskanie dostępu do konta ale również uzyskania kodu do wykonania transakcji. Do tej pory gdybym przy logowaniu został poproszony o kod sms, od razy stał bym się podejrzliwy i pomyślał ze coś jest nie tak. Teraz przy chwili nieuwagi może być już za późno. Lepsze jest wrogiem dobrego.

  44. No i ja się pytam co z uwierzytelnieniem przez telefon i uwierzytelnieniem aplikacji mobilnej. Ostatnio w innym banku przy rozmowie telefonicznej byłem zapytany o imię, nazwisko, nazwisko panieńskie matki, pesel lub date urodzenia i sposób autoryzacji do przelewów. Wszystkie dane poza sposobem autoryzacji z pewnością zna mój życzliwy sąsiad, a tą ostatnią może zgadnąć bo zbyt wielkiego wyboru nie ma (token, zdrapka, sms lub aplikacja). 25% szansy na nadużycie za pierwszą próbą. Jak dla mnie to dużo.

  45. Pracownik banku i TPP – ciekawe, kto będzie pierwszy.

  46. Ode mnie ING żąda wysłania skanu dowodu osobistego/paszportu:

    Dzień Dobry,

    prawo zobowiązuje nas do rzetelnej aktualizacji danych naszych klientów. Tylko na podstawie dokumentu możemy uznać, że Twoje dane w naszym systemie są poprawne.
    Dostarcz nam zdjęcie Twojego ważnego dokumentu tożsamości (np. dowód osobisty polski, paszport, dowód osobisty zagraniczny, karta pobytu) najpóźniej do 12 września 2019 r.
    Pamiętaj żeby zdjęcie było wyraźne, a dane na nim czytelne.

    Jak to zrobić?

    Użyj opcji odpowiedź na tę wiadomość, dołącz zdjęcie dokumentu tożsamości (w przypadku dowodu osobistego przód i tył) i wyślij. Nie używaj opcji wiadomość wiążąca.

    Jeżeli napotkasz problem z dostarczeniem zdjęcia dokumentu tożsamości poprzez ING Business, możesz udać się do dowolnego oddziału banku i okazać go naszemu pracownikowi, który wykona jego skan.

    W razie pytań zadzwoń do nas pod numer telefonu 32 3570024.

    Z pozdrowieniami
    Zespół ING Banku Śląskiego

    Co na to RODO?
    Dane naszych klientów ? a co za tym idzie ich identyfikacja ? są niezbędne do spełnienia naszego obowiązku prawnego. Nasze działanie jest zgodne z rozporządzeniem o ochronie danych osobowych, ponieważ przetwarzamy tylko niezbędne dane. Dzięki temu klienci mogą swobodnie korzystać z naszych produktów.

    Podstawa prawna
    Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tj. Dz.U. z 12.04.2018 r. poz. 723 z późn. zm.), art. 34.ust 4 w związku z art. 2 ust. 1 pkt 1 oraz art. 112b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tj. Dz. U. z dnia 23.11.2018 poz. 2187 z późn. zm.)

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz.U. UE L.2016.119.1 z dnia 4 maja 2016 r., stosuje się od dnia 25 maja 2018 r.

    • Konta zakładane “na selfiacza” są właśnie tak czasem sprawdzane. Odpowiedzi szukaj właśnie w UoPPPFT, bo na nią się powołali :)

  47. Ekscytujecie sie zmianami w autentykacji, ale to kompletna zaslona dymna. Cala dyrektywa PSD2 jest skierowana zeby ulatwic kradziez danych dotyczacych waszego konta, a autentykacja to tylko tylko dodatek.
    Moze niebezpiecznik napisze cos wiecej o bezpieczenstwu api bankowego i jak zabezpieczyc sie przed facebookiem ktory niedlugo bedzie chcial wyciag z banku w celu “potwierdzenia autentycznosci konta”?

    • Żeby dostać koncesję w kraju na dostęp do API bankowych, musiałby najpierw przedstawić bardzo racjonalne wytłumaczenie w KNF :)

  48. Dobry artykuł, jak zwykle.
    Mam jednak kilka wątpliwości i pytań.

    1. Czy wprowadzanie wymagania silnego uwierzytelnienia przy transakcjach zbliżeniowych co x transakcjach lub po transakcjach na kwotę y nie przyniesie więcej szkody niż pożytku?

    W większości banków i tak stosuje się limit na dzienną kwotę transakcji zbliżeniowych i jest on dosyć niski (50-100 zł), więc teoretycznie przestępca, który ukradł/znalazł naszą kartę bez znajomości numeru PIN i tak nie przekroczy tej dziennej kwoty. Kradzież/zgubienie karty powinniśmy zgłosić natychmiast. Czy więc potencjalne straty związane z kradzieżą tak małej kwoty usprawiedliwiają wprowadzanie takiego rozwiązania? Moim zdaniem nie, ponieważ znacznie zmniejszy ono przepustowość np kas w marketach. Ponadto czy klient nie mógłby reklamować w banku lub u wystawcy karty (chargeback) operacji dokonanych przez złodzieja?

    2. Czy wymaganie opłat za obowiązkowe 2FA przy logowaniu realizowane przez kody SMS jest na pewno słuszne? Czy nie można wprowadzić jako opcję alternatywną (ale bezpłatną) dla osób niechcących instalować aplikacji banku możliwość 2FA przy logowaniu realizowane poprzez zwykłe programowe tokeU2F.TOTP (np. Google Authenticator), lub choćby klucze U2F. Zaznaczam, że chodzi mi o 2FA przy logowaniu, a nie potwierdzaniu operacji.

    3. Czy nakłanianie (lub wręcz pośrednie wymuszanie) do instalowania aplikacji banku (które mogą służyć nie tylko jako 2FA, lecz też do zlecania operacji) na telefonach, które od dawna nie dostają aktualizacji bezpieczeństwa jest rozsądną praktyką? Na ile (nie)bezpieczna jest aplikacją banku na zainfekowanym telefonie?

  49. Na razie wszyscy są za EuroBank, który wprowadził apke-taken lata temu.
    Co ważne, apka nie wymagala polaczenia z netem, wiec można było mieć stary telefon bez karty SIM i bez Wifi tylko na potrzeby autoryzacji.

    Apka podawała co się autoryzuje (podobny komunikat jak w SMSie), była konieczna do zalogowania się na koncie oraz była zabezpieczona hasłem (zle hasło = żle kody, więc nie dało się jej złamać).

    • Tylko po co nosić duży szybko rozładowujący się stary telefon? Dlaczego nie mały, długo wytrzymujący poręczny token sprzętowy, który zawsze jest offline.

    • OK, dopytam bo nie do końca nadążam – aplikacja za air gapem (brak WiFi, brak połączenia z internetem), a pokazywała co autoryzujesz. Magia czy magia?

    • Tak, na osobnym kompie podłączonym pod sieć przewodowo.

  50. Mam pytanie w przypadku jednego banku > Mbanku
    “Będzie można dodać swój komputer (telefon, tablet) do urządzeń zaufanych, aby szybciej się logować na swoje konto bez dodatkowej autoryzacji.”

    W jaki sposób jest identyfikowany konkretny komputer? Czy to chodzi o to jaki system operacyjny serwis transakcyjny wykrywa u klienta? Super ciasteczka? Mac karty?

    • Na podstawie przechowywanego na komputerze certyfikatu z kluczem prywatnym i publicznym. Niestety przechowywany jest na komputerze, przy którym nie zawsze jesteśmy i w wielu przypadkach na stałe jest podłączony do internetu.

  51. Na podstawie omawianych przepisów niektóre banki argumentują też wycofanie sprzętowego tokena. Dlaczego? Przecież jest to jedna bezpieczniejszych form logowania i autoryzacji spełniająca wymagania przedmiotowych przepisów.
    Okazuje się, że w Polsce żaden bank obecnie nie oferuje sprzętowego tokena użytkownikowi indywidualnemu (w tym artykule widnieje, że PKO SA oferuje, ale infolinia zaprzecza temu – tzn. sprzętowy token zastępowany jest aplikacjami na telefon generującymi token). Niejeden z nas czasem przebywa w miejscu gdzie jest dostęp do internetu ale nie wolno wnosić telefonów komórkowych. Czasem jest konieczność wykonania w takich warunkach transakcji bankowej. Okazuje się, że w Polsce nie ma już banku, który to umożliwi. Inny przypadek, to sytuacja gdzie np. dostęp do internetu jest przez usługę satelitarną, a zasięgu GSM, nie ma. Zadziwia mnie nie uwzględnianie takich przypadków.

  52. No super. Ale dlaczego np. mBank usunął możliwość ustawienie miesięcznego limitu płatności kartą ? Czy chodzi o to, by ludzie wydali więcej niż chcą ?

  53. Piszecie, że Pekao SA będzię żądało 20gr od SMSa, a na ich stronie jest info, że smsy będą darmowe i tylko jeśli minęło 90 dni od ostatniego logowania.

  54. Szkoda, że niemieckie banki nie są tak ambitne.
    Zabezpieczenie tokenem może i nie jest takim złym pomysłem, ale aplikacja, która samoistnie się nie wylogowuje, błędy logowania i masa innych atrakcji to jakiś żart

  55. Całkiem sporo tu ziomków bez telefonów komórkowych.

    Niestety – jak możecie przeczytać w artykule, który komentujecie – “Mówimy o bardzo ważnym unijnym akcie prawnym, które zmienił zasady wymyślone w roku 2007 na takie, które bardziej pasują do drugiej dekady XXI wieku.”.

    Więc z dostosowaniem prawa do ludzi bez smartfonów Unia Europejska zajmie się dopiero po Apokalipsie (jądrowej, zombie, Św. Jana, younameit).

    &

    • Większość to nie wszyscy. Telefony mamy, ale nie zawsze przy sobie.

  56. Dzisiejsza ciekawostka z Inteligo (PKO BP) – taki mały wtręt na temat zmian w interfejsach webowych związanych z PSD2

    Ze względu na zmiany postanowiłem posprawdzać co się zmieniło.
    Jakie było moje zdziwienie gdy po zalogowaniu się na swoje konto w sekcji dane osobowe zobaczyłem nie znane mi numery telefonów !
    Jeden – podstawowy (komórkowy się zgadzał) . Pozostałe 3 numery (do miejsca pracy, miejsca zamieszkania i zameldowania były obce.
    Jedyny telefon jaki podawałem to właśnie tel. komórkowy
    Po wylogowaniu się i ponownym zalogowaniu zestaw 3 dodatkowych numerów za każdym razem był inny :)
    Ponieważ ja nie podawałem tych numerów (i Pani na infolinii potwierdziła mi, iż przy moim koncie nie widzi innego numeru niż komórkowy) wygląda to na błąd w skryptach i podstawianie numerów z zupełnie innych kont :)

    • Też dzisiaj sprawdziłem i nie ma żadnego kodu sms przy logowaniu. Jak ktoś nie używa aplikacji to loguje się bez dodatkowej autoryzacji.

  57. mBank Token wymaga, przy aktywacji, podania “numeru dowolnej aktywnej karty mBanku”. Której to – dla oszczędności – nie mam.
    Infolinia mówi “o, mamy dla pana promocję zatem…” – i masz, płać co miesiąc.
    Tyle o darmowości tegoż.

  58. To ja też powiem jak u mnie wygląda:

    1) mBank

    – Przy logowaniu się do serwisu transakcyjnego przez WWW -jest dodatkowe uwierzytelnienie kodem SMS lub dodanie urządzenia do zaufanych

    – Przy płaceniu poprzez Allegro, Payu czy innych operatorów (zdaje się mTransfer) – > dodatkowego uwierzytelnienie BRAK !

    – Przy logowaniu się to mLinii – dodatkowego uwierzytelnieina BRAK

    – Aplikacja – nie korzystam

    2) Millenium
    – przy logowaniu się przez internet – dodatkowy kod SMS
    innych opcji nie sprawdzałem

    3) Bank Pocztowy
    – przy logowaniu się przez internet – dodatkowy kod SMS
    z innych opcji nie korzystam

  59. Jak zwykle dużym iść na rękę (TPP zaklepane przez KNF) a malutnim nie dane będzie ujrzeć api do swojego wlasnego konta jeszcze przez kilka wieków. Teraz jeszcze zostaje im zablokowana możliwośc automatyzacji przy pomocy robota http (przez sms-owe hasła przy logowaniu). Dziękujmy unii jak zwykle na kolanach.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: