"Bezpieczeństwo naszych pieniędzy na koncie internetowym zależy od stosowanych przez bank systemów. Co bankowi spece od bezpieczeństwa zaoferują nam w najbliższym czasie? I czy te te sposoby spodobają się klientom?

Hasła statyczne i zapisywane jawnie listy haseł jednorazowych są cały czas wykorzystywane do zabezpieczenia naszych pieniędzy. Niestety są to metody narażające użytkowników na wiele niebezpieczeństw, z których najprostszym jest phishing, czyli podstępne wyłudzenie danych koniecznych do przelania pieniędzy. Popularne hasła wysyłane SMS-em i tokeny są bezpieczniejsze, ale również ich czas powoli przemija.

Palec zamiast karty


Jednym z najnowszych pomysłów jest stosowanie bankomatów biometrycznych, wyposażonych w skaner odcisków palca. W Polsce mają je wprowadzić BZ WBK i Euronet w ciągu najbliższych miesięcy. Czytniki mają być bardziej zaawansowane niż te stosowane w laptopach, które są możliwe do oszukania przez każdego. Oprócz linii papilarnych mają one skanować również cień rzucany przez naczynia krwionośne. Urządzenia mają ponadto nie wykrywać odciętych palców. Niestety może się okazać, że przestępcy postanowią sparaliżować lub odurzyć ofiarę i posłużyć się jej ręką. Mogłoby to zagrozić nie tylko pieniądzom, ale również zdrowiu okradanego.

Wadą takiego bankomatu – i całej biometrii - jest brak możliwości zmiany "hasła". Jeśli ktoś pozna nasz PIN możemy po prostu zablokować kartę i poprosić o nowy numer. Wymiana palców możliwa jest tylko dziesięciokrotnie, bo na tyle wystarczy nam palców. Należy przy tym pamiętać, że wraz z rozwojem biometryki będziemy z niej korzystali w wielu miejscach.
W związku z tym, jeśli ktoś przechwyci nasz odcisk przy korzystaniu z firmowego ekspresu do kawy, który nie musi być specjalnie zabezpieczony, będzie mógł użyć go również do wypłaty pieniędzy z bankomatu. To znacznie bardziej niebezpieczne niż podglądanie PIN-u przy pomocy kamery zamieszczonej nad bankomatem, bo "podsłuchu" będziemy mogli spodziewać się w dziesiątkach różnych miejsc.

Hasła maskowane

Biometryczne bankomaty to jednak tylko uzupełnienie tradycyjnej autoryzacji przy pomocy karty i PIN-u. Nawet w Japonii, w której wprowadzono je ze względu na częste ataki na PIN, stanowią tylko 30% wszystkich urządzeń.

Dużo ciekawiej wygląda sytuacja bankowości online i telefonicznej. Często stosowanym zabezpieczeniem jest wprowadzenie haseł maskowanych. W momencie logowania jesteśmy proszeni o podanie tylko kilku znaków zamiast całego hasła. Dzięki temu, jeśli ktoś podsłucha transmisję (np. podczas logowania przez telefon lub poprzez keyloggera), pozna tylko fragment - zwykle połowę – hasła. Na pierwszy rzut oka wygląda to bardzo bezpiecznie: jeśli stracimy trzy cyfry z sześciocyfrowego klucza, to włamywacz i tak ma małe na odgadnięcie pozostałych (1:1000). Symulacja ataku pokazuje jednak, że średnio już po 4 próbach podsłuchu otrzyma on całe hasło. W przypadku haseł o długości 10–30 znaków nie jest dużo lepiej – przy połowie ukrywanych znaków wystarczy 5–6 razy podsłuchać proces logowania, aby poznać całe hasło. Oczywiście wydłuża to proces zbierania danych, ale nie podnosi poziomu bezpieczeństwa tak bardzo jak mogłoby się wydawać."