Przezorny zabezpieczony

  • aep,

Bezpieczeństwo bankowości internetowej to kluczowa sprawa zarówno dla banku, jak i dla klienta. Dlatego obie strony przywiązują do niej dużą wagę, bank - tworząc jak najpewniejsze systemy zabezpieczeń, klient - wybierając oddział internetowy dający mu największe poczucie bezpieczeństwa.

Bezpieczeństwo bankowości internetowej to kluczowa sprawa zarówno dla banku, jak i dla klienta. Dlatego obie strony przywiązują do niej dużą wagę, bank - tworząc jak najpewniejsze systemy zabezpieczeń, klient - wybierając oddział internetowy dający mu największe poczucie bezpieczeństwa.

Bezpieczeństwo transakcji bank gwarantuje rozwiązaniami sprzętowymi i programowymi, których zadaniem jest oddzielenie sieci wewnętrznej od Internetu i kontrola przesyłanych informacji. Dane zapisywane na serwerach banku są szyfrowane, co uniemożliwia nieuprawnionym dostęp do informacji o użytkownikach i ich kontach. Zabezpieczeniami sprzętowymi najczęściej bank się nie chwali. Informacja o zabezpieczeniach programowych (choć nie wszystkich) jest ogólnie dostępna.

Zabezpieczenie połączenia

Zabezpieczenie połączenia

Wszystkie przesyłane dane są szyfrowane - zarówno informacje od klienta do banku, jak i z banku do klienta. Przy połączeniach wykorzystywana jest technologia kryptografii niesymetrycznej (para klucz prywatny - publiczny o długości np. 1024 bity - wysoki poziom bezpieczeństwa; im dłuższy, tym lepiej). Natomiast bezpieczeństwo transmisji zapewnia zaawansowana technologia kryptografii symetrycznej z kluczem sesyjnym (jednorazowym dla każdej sesji) o długości - najczęściej - 128 bitów. Protokół SSL (Secure Sockets Layer) gwarantuje najwyższy poziom bezpieczeństwa. Dodatkowo serwer banku posiada certyfikat wydawany przez wyspecjalizowaną organizację zaufania publicznego, dający gwarancję, że połączyliśmy się z bankiem, a nie z kimś innym. Z kolei bank musi mieć pewność, że nikt nie podszyje się pod jego klienta. Podstawowym sposobem identyfikacji jest numer klienta i hasło. Czasami stosowany jest dodatkowo certyfikat wydawany przez bank i wgrywany do przeglądarki. Nie jest to jednak wygodne - praktycznie nie mamy dostępu do konta z różnych komputerów, szczególnie gdy podróżujemy. Dlatego często stosuje się hasło jednorazowe, generowane przez niewielkie urządzenie - token. Serwer banku podaje podczas logowania ciąg cyfr, które wpisujemy do tokena, wyświetloną odpowiedź - również ciąg cyfr - wpisujemy do przeglądarki. To najlepszy sposób zabezpieczenia. Zaletami urządzenia są: unikalność hasła, krótka ważność (kilka minut) i zabezpieczenie go dodatkowym numerem identyfikacyjnym (PIN). Oczywiście każdą operację musimy potwierdzić podpisem elektronicznym - hasłem stałym lub każdorazowo generowanym przez token. Dodatkowo niektóre banki wprowadzają limity operacji - pojedyncze lub dzienne oraz powiadamianie o każdej operacji przez e-mail czy SMS.

Oprócz tego system ma często tzw. timeout. Jeśli przez kilka minut nie zostanie wykonana żadna operacja, połączenie jest kończone i należy ponownie podać dane identyfikacyjne. Również trzykrotne (najczęściej) podanie złego identyfikatora lub/i hasła nierzadko blokuje system i wymaga kontaktu z tradycyjnym oddziałem banku, aby odblokować dostęp.

W ten sposób bank zwiększa bezpieczeństwo operacji, klienci też powinni przestrzegać pewnych reguł. Sprawdzajmy zawsze, czy transmisja jest bezpieczna (klikamy symbol kłódki na pasku przeglądarki i weryfikujemy ukazujące się dane). Nie zapisujmy numeru klienta i hasła. Zmieniajmy je co najmniej raz na pół roku. Wpisujmy hasło tak, by nikt tego nie widział. Skonfigurujmy tak przeglądarkę, by nie zapamiętywała na dysku ściąganych stron i informowała o nieważnych certyfikatach. Nie używajmy przeglądarek w wersji beta. Każdą sesję należy zakończyć wybraniem odpowiedniej opcji na stronie banku i zaczekać na potwierdzenie zakończenia korzystania z systemu. Jeśli nastąpi przerwanie połączenia, np. z winy TP S.A., należy ponownie wejść na stronę i sprawdzić, czy system zapamiętał nasze polecenia (np. przelewy). Regularnie sprawdzajmy dysk komputera programami antywirusowymi. Jeśli nie mamy tokena, operacji nie przeprowadzajmy z nieznanych komputerów (np. w kawiarni internetowej).


Zobacz również