W aplikacji mobilnej Banku
Pocztowego pojawiła się opcja mobilnego uwierzytelniania transakcji. Dzięki
niej użytkownik może zatwierdzać określone operacje bankowe bez konieczności
przepisywania kodów z SMS. To bezpieczniejsza forma autoryzacji niż kody SMS.
Mobilna autoryzacja to już w
zasadzie rynkowy standard – oferuje ją większość kluczowych banków na rynku.
Polega ona na zatwierdzaniu operacji w bankowości elektronicznej za pomocą
powiadomień push ze smartfona. Zastępuje ona klasyczne SMS-y z kodami, bo
zabezpieczeniem jest biometria (odcisk palca, skan twarzy) lub kod PIN do
aplikacji.
Dla tej usługi Bank Pocztowy
stosuje nomenklaturę „mobilne uwierzytelnianie”. Można ją aktywować w
bankowości elektronicznej, jako alternatywę dla SMS. Po zleceniu operacji użytkownik
aplikacji otrzyma powiadomienie informujące
o transakcji oczekującej na potwierdzenie. Kliknięcie powiadomienia powoduje
wyświetlenie szczegółów operacji. Po ich weryfikacji wystarczy kliknąć
„Potwierdzam” i uwierzytelnić operację w aplikacji mobilnej banku za pomocą
biometrii lub PIN-u,
Za pomocą mobilnego
uwierzytelnienia można zatwierdzać szeroki zakres operacji – zarówno
finansowych, takich jak przelewy zwykłe, natychmiastowe czy do Urzędu
Skarbowego, jak i niefinansowych, np. zmianę limitów, logowanie do bankowości
internetowej, dodawanie zaufanych odbiorców czy zlecenia stałego.
Mobilna autoryzacja ma już 8 lat
Pionierem mobilnej autoryzacji
był mBank, który wdrożył usługę w 2017 roku. Dziś usługę znajdziemy w
aplikacjach m.in. takich banków jak Alior Bank, Bank Millennium, Bank Pekao,
BNP Paribas, Citi Handlowy, Credit Agricole, ING, mBank, Nest Bank, PKO BP,
Santander Bank Polska czy VeloBank.
Eksperci zaznaczają, że mobilne
uwierzytelnianie transakcji jest bezpieczniejsze od stosowania kodów SMS. Ich
zdaniem SMS-y mogą zostać przechwycone, np. w wyniku ataków SIM swap (podszycie się pod klienta u operatora i
przejęcie numeru) lub przez złośliwe oprogramowanie. Mobilna autoryzacja działa
w obrębie zarejestrowanej aplikacji bankowej, z szyfrowaną komunikacją
end-to-end.
Usługa jest powiązana z
konkretnym urządzeniem – autoryzacja działa tylko na telefonie sparowanym z
kontem w banku, więc przejęcie hasła do bankowości internetowej nie wystarczy,
by potwierdzić transakcję. Dodatkowo aplikacja jest w stanie wyświetlić więcej
szczegółów operacji niż SMS. Pokazuje np. kwotę, numer konta odbiorcy czy
walutę, co pozwala łatwiej wychwycić próby oszustwa. Stosowana jest też w tym przypadku
dodatkowa warstwa uwierzytelnienia – potwierdzenie wymaga PIN-u do aplikacji
lub biometrii, więc sama kradzież telefonu nie będzie wystarczająca dla
złodzieja.
Bezpieczne, ale…
Z drugiej jednak strony, także i
to rozwiązanie może okazać się nieskuteczne, gdy użytkownik da się zmanipulować
oszustom. Wystarczy, że zainstaluje złośliwe oprogramowanie, które może
przechwytywać lub podmieniać dane wyświetlane w aplikacji.
Do najskuteczniejszych
zabezpieczeń systemów elektronicznych eksperci zaliczają tokeny i klucze
sprzętowe.
Mobilna autoryzacja coraz
częściej zastępuje kody SMS. Popularne przez lata kody zastąpiły z kolei karty-zdrapki
wydawane przez banki. W początkowym okresie bankowości elektronicznej użytkownicy
dostawali bowiem karty z kodami, na których cyfry były pokryte zasłaniającą je
warstwą (jak na zdrapkach w punktach Lotto). Aby wykonać przelew należało
odsłonić wskazany przez bank kod i przepisać go do okienka zatwierdzającego
przelew.
0 komentarzy