|
Blog > Komentarze do wpisu
W Pekao nowa autoryzacja przelewów. Sztuka dla sztuki? Ekstra-innowacja?Oj, rozkręcił się nam sezon na bankowe innowacje. Kilka dni temu pisałem o tym, że BGŻ jako pierwszy rezygnuje z wysyłania PIN-ów do kart płatniczych zwykłą pocztą i będzie je przekazywał klientom SMS-em. Wcześniej pasjonowałem się słynnym pay-passem (może trochę na wyrost, przeczytacie o tym w jednej z najbliższych notek), tudzież biometrią. Dziś kolejny pomysł bankowców na unowocześnienie naszych kontaktów z nimi oraz uczynienie tych kontaktów bezpieczniejszymi. Bank Pekao, drugi największy gracz na rynku, obsługujący 3,5 miliona klientów, wprowadza dziś nowy sposób autoryzowania przelewów o nazwie PekaoToken. Podobno to najnowocześniejszy tego typu system dzialający w polskich bankach. Od środy bank z żubrem w logo będzie standardowo proponował tę nowinkę każdemu nowemu klientowi. Dla dotychczasowych klientów będzie to jedna z opcji do wyboru, obok haseł jednorazowych na papierze i kodów SMS-owych. Czym różni się PekaoToken od kodów SMS? W przypadku tych ostatnich klient, który chce nadać przelew, zgłasza żądanie przesłania mu na telefon komórkowy indywidualnego kodu transakcji. Bank przesyła ów kilkucyfrowy kod, który klient przepisuje z ekranu telefonu do okienka przelewu w komputerze. A PekaoToken? Pekaowska nowinka działa na podobnej zasadzie, co hasła SMS-owe, ale jest bardziej zaawansowany. Klient, chcąc wysłać przelew przez internet, musi uruchomić w telefonie specjalny program (będzie on zainstalowany tam, gdzie inne aplikacje, np. gry - link do programu bank prześle zainteresowanemu klientowi SMS-em). I wpisać do niego dwie dane: pierwszą są cztery ostatnie cyfry numeru konta zleceniobiorcy, zaś drugą - kod podany w na ekranie komputera (pojawi się po wypełnieniu danych do przelewu). Dopiero wtedy program w komórce (czyli token) wytwarza hasło, które - wpisane na ekranie komputera, zatwierdza przelew. Jak to dokładnie działa od strony technicznej? Nie pytajcie, bo nie wiem. Zresztą to chyba sekrety technologiczne, których bank nie za bardzo ma ochotę ujawnić. Token ma działać na wszystkich popularnych komórkach, w trybie off-line (czyli nie trzeba łączyć komórki z internetem, by wygenerować hasło). W Pekao twierdzą, że to bezpieczniejsze, niż hasła SMS-owe, bo wśród danych, które służą do wygenerowania hasła z tokenu, jest również końcówka numeru rachunku odbiorcy przelewu. Ma to wykluczyć możliwość podłożenia przez hakera innych danych przelewu „pod” dany zestaw haseł wymienianych między bankiem, a klientem. Podobno w przypadku systemu autoryzacji hasłami SMS-owymi takie działanie internetowych złodziei jest teoretycznie możliwe. Nie znam żadnego przykładu, by ktoś taką lukę wykorzystał w praktyce, ale rozmawiałem z pewnym informatykiem, który mętnie tłumaczył, że jest coś na rzeczy :-). Zresztą po tym, jak złamany został system zabezpieczeń kart, oparty na PIN-ach instalowanych w czipie (no dobra, może nie złamany, ale mocno nadwerężony), chyba nic już nie jest stuprocentowo bezpieczne. Nie jestem w stanie sobie wyobrazić milionów klientów Pekao, którzy instalują na swoich komórkach programu-tokena i z radością zamieniają na nowy sposób autoryzacji swoje ukochane listy haseł jednorazowych lub megawygodne hasła SMS-owe. Nie da się ukryć, że ten nowy sposób jest ciut bardziej skomplikowany z punktu widzenia klienta. A wygoda i prostota to najbardziej potrzebne cechy każdej bankowości elektronicznej... Przez jakiś czas będzie to rozwiązanie tylko dla fanów, choć Pekao chce je proponować domyślnie każdemu nowemu klientowi, by usługę jak najszybciej upowszechnić. A jak już się to uda, to... ruszy lawina. Taka jak ta z tego klipu. :-). Filmik jest na czasie, bo temat lawin śniegowych, spadających z dachów, jest ostatnio tematem z pierwszych stron gazet :-)
środa, 17 lutego 2010, maciek.samcik
TrackBack
Komentarze
villamos
2010/02/17 09:06:31
To nie jest nowość, podobny system ma od dawna Eurobank. Tam dostęp do aplikacji zabezpieczony jest 6-cyfrowym hasłem (co ciekawe, po wstukaniu złego hasła aplikacja zachowuje się jakby nigdy nic, tylko generuje złe hasła potwierdzające, co po 3 próbach blokuje dostęp netowy). Aplikacja generuje też hasło niezbędne do zalogowania się, co może bywa nużące, ale w moich oczach czyni cały system chyba najbezpieczniejszym z mi znanych. Drobna różnica techniczna - nie wpisuje się końcówki przelewu, tylko kod z systemu, a komórka "pyta", czy na pewno chcemy zrobić przelew na rachunek o danej końcówce - widocznie końcówka jest zaszyta w kodzie. Podsumowując - na pewno nie jest to system dla każdego klienta Pekao :D ale jak dla mnie całkiem wygodny - nie trzeba nosić żadnych haseł jednorazowych - i sporo bezpieczniejszy od haseł smsowych (tu do dokonania czegokolwiek na koncie wystarczy po chamsku podejrzeć login, hasło i na chwilę skorzystać z komórki właściciela :)
2010/02/17 10:15:09
Takie rozwiązanie jest bardzo korzystne dla banku - nie trzeba wysyłać klientom SMSów, a więc bank zyskuje te kilka groszy od każdego przelewu.
Takie rozwiązanie może być korzystne dla klienta chyba tylko w przypadku, gdy jesteśmy za granicą - kilka razy miałem problem z otrzymaniem kodu SMSem, a dzięki takiej aplikacji, która działa offline problemu nie ma. 2010/02/17 10:18:00
A co z telefonami bez obsługi Javy? W użyciu jest jeszcze sporo takich. Chyba jednak Pekao poszedł za bardzo do przodu - zwykły token RSA SecurID w zupełności by wystarczył.
2010/02/17 11:40:08
Przecież to właśnie jest "zwykły token RSA SecurID". Tyle że zamiast hardwarowego generatora (którego dostarczenie paru milionów sztuk a potem jego sukcesywna wymiana kiedy wyekspiruje byłaby zabójczym kosztem) jest softwarowy w postaci aplikacji w komórce. Bardzo prosty i sensowny system, gdybym był ich klientem zrezygnowałbym z kodów SMS natychmiast.
Choć nie ukrywam że zdecydowanie wolę metody autentykacji jakie mam w BPH - jako podstawową metodę plik z kluczem, zabezpieczony mocnym hasłem, a dodatkowe kody sms tylko w najbardziej potencjalnie niebezpiecznych sytuacjach. System Pekao jak jeszcze byłem ich klientem mnie nieustannie wkurzał - permanentnie i namolnie chciał kodów SMS nawet przy niegroźnych operacjach, po czym co jakiś czas zaliczało się opad szczęki robiąc coś równie potencjalnie niebezpiecznego co przechodziło bez żadnej dodatkowej autentykacji. Mam nadzieję że już to popoprawiali. 2010/02/17 11:43:19
A co do javy - nawet moja ponad czteroletnia nokia którą trzymam jako zapas na wypadek awarii miała javę, nie sądzę by było wiele osób które korzystają z bankowości internetowej i mają aż tak stare telefony. Myślę że problem jest zaniedbywalny.
2010/02/17 12:21:33
Aplikację JavaToken oferowałem bankom spółdzielczym i do Eurobanku, oraz w Asseco już w roku 2005, kiedy BS w Poddębicach otrzymał ode mnie SMS-Token, którym mógł się szczycić jeszcze przez wiele miesięcy, jako jedyny w Polsce, zanim splagiatował to Multibank i mBank z mojego łódzkiego podwórka - nie mówiąc nawet dziękuję.
Niestety nikt nie był wówczas zainteresowany aplikacją tokenu na komórkę, więc nie widziałem sensu do kosztownego zgłoszenia patentu, zresztą może też już gdzieś było wcześniej, tak jak SMS-Token u azjatów. Jako pionier obu rozwiązań SMS i Java powiem tak: komórka to nic innego jak miniaturowy laptopik z dostępem do Internetu ze wszystkimi zagrożeniami, jakie znane są ze standardowego laptopa, na którym nie ma antywirusa, a na telefonie zwykle nie ma :) Aplikację Java dość łatwo pokona hacker, który dał sobie radę z dużo bardziej ambitnymi aplikacjami na PC. Brak telefonu - to nie tylko problem, ale i stres, tym większy, że po aplikacji łatwo też dojść, do którego banku i konta/klienta należy. Jave nie obsługują również telefony nowiuteńkie, mające TV i radio - przykład myPhone. www.unibank.org sp. z o.o. 2010/02/17 14:07:54
PS. Mimo, że w obu przypadkach byłem pionierem na rynku polskim - to nikt wtedy nie chciał tego ode mnie, mimo że oferowaliśmy w cenie za "co łaska". Koledzy z łódzkiego Asseco i paru BS mogą to potwierdzić.
Niemniej jednak, jeśli faktycznie teraz miałaby nastąpić jakaś lawina powodzenia takiej aplikacji - to jako pionier bedący zawsze przed plagiatującą konkurencją oferuję oficjalnie aplikację JavaToken, która po kliknięciu Generuj Token, sama wpisuje cały token do formularza otwartego w e-banku, oczywiście nie korzystając z sieci. Klientowi odpada wtedy żmudne wklepywanie tokena. Tylko poco wogóle jakikolwiek rekwizyt? Nie jest taniej i wygodniej wykorzystać podpis topograficzny www.toposign.com Polecam też lbogatą ekturę n.t. złamania zabezpieczeń kart bezstykowych w Google wpisać 2 słowa: mifare złamane www.google.pl/#hl=pl&source=hp&q=mifare+z%C5%82amane&lr=&aq=f&oq=mifare+z%C5%82amane&fp=b12854b4f38581a5 2010/02/17 21:36:57
Po co sobie aż tak utrudniać życie? Mnie jak i zapewne wielu innym użytkownikom wystarczy zwykły sms z banku z kodem, który przepiszę bądź nie do systemu i potwierdzę nim chęć wykonania transakcji.
2010/02/18 10:08:00
do cool-mother-fucker
Za każdy kod SMS płacisz ok. 10 groszy, tylko tego nie widzisz, bo bank sobie kompensuje te koszta w inny "niewidoczny" sposób. Poza tym bezbłędne przeklepywanie wielocyfrowego kodu też jest żmudne. Dlatego aplikacja TeleToken wg UNIBANK generuje w telefonie taki token, a następnie przepisuje go automatycznie z telefonu do formularza e-banku. Sposób transamitowania (nie przez sieć) jest chroniony naszym patentem. Jest to bardzo wygodne, gdy trzeba autoryzować wiele operacji. Zainteresowanych proszę o kontakt z www.unibank.org sp. z o.o. 2010/03/22 12:59:20
Dzień dobry, chciałbym się z Państwem skontaktować w sprawie emisji reklam z sieci Adkontekst na Państwa serwisie, ale nigdzie na stronie nie widzę danych kontekstowych. Będę wdzięczny za maila na adres lc@adkontekst.pl
|
Ostatnie wpisy
  
Od 1997 r. dziennikarz ekonomiczny „Gazety Wyborczej”.
Specjalizuje się w tematyce finansowej. Pisze o bankach, giełdzie, funduszach inwestycyjnych oraz finansach osobistych. Autor i współautor poradników o oszczędzaniu, rankingów i konkursów giełdowych. Subiektywnie o finansach na Facebooku! -----------------------------------------
|
