Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Sprzętowe zabezpieczenia bankowości internetowej.

W Polsce banki stosują różne zabezpieczenia bankowości elektronicznej i są to głównie zabezpieczenia programowe takie, jak na przykład maskowanie haseł lub klawiatura ekranowa, które mają chronić klienta przed ewentualnymi keyloggerami. Innym przykładem może być wyświetlanie specjalnych znaków, ustalonych przez użytkownika bankowości elektronicznej, które pojawiają się na stronie logowania do banku, aby klient miał pewność, że jest na stronie banku, w skrócie, zabezpieczenie takie chroni użytkownika przed phishingiem.

Na dzień dzisiejszy, osobiście nie spotkałem się jeszcze z zabezpieczeniami sprzętowymi stosowanymi przez banki w Polsce, a miałem okazję korzystać z tego typu zabezpieczenia w Holandii, gdzie miałem konto w jednym z banków.

Bankowość w Holandii wygląda zupełnie inaczej, niż u nas w Polsce. W bankach nie ma w ogóle kas, pieniądze można tylko przelewać z konta na konto lub wypłacać z bankomatu. Rachunki można płacić przelewem również przy pomocy bankomatu ale specjalnie do tego przeznaczonego. Gotówką w banku można płacić ale nie w kasie, no bo przecież ich nie ma, tylko przez specjalny bankomat, a dokładniej przez... wpłatomat ;) Jest to bardzo wygodne rozwiązanie, przynajmniej w bankach nie ma dużych kolejek.

Wracając do tematu. Przy zakładaniu konta, można zamówić sobie tak, jak i u nas, usługę bankowości elektronicznej, klient dostaje specjalne urządzonko, które wygląda dosłownie jak kalkulator kieszonkowy, urządzenie po angielsku nazywa się random reader. Urządzenie jest na tyle małe, że spokojnie mieści się w kieszeni spodni, kurtki czy bluzy. Służy ono do odczytu danych z karty bankomatowej.

Garfika: www.frankwatching.com

Logowanie do bankowoście eletroniczej.

Czytnik działa niezależnie od systemu, nie jest nawet podłączany przez żaden kabel do komputera. Po włożeniu karty do czytnika, należy wcisnąć odpowiedni klawisz w zależności od tego, co chce się zrobić (zalogować do konta lub potwierdzić transakcję), użytkownik zostanie poproszony o kod PIN do karty, po podaniu prawidłowego PINu, zostanie wylosowane 8-cyfrowe hasło potrzebne do zalogowania się na stronie banku. Żeby się zalogować, na stronie logowania trzeba podać numer konta, który jest wybity na karcie (numery kont są krótkie, czytnik dodatkowo wyświetla numer konta), numer karty, który również wybity jest na karcie i kod wygenerowany przez random reader.

Potwierdzenie transakcji.

Gdy użytkownik wykona już przelew, musi jeszcze potwierdzić transakcję, u nas najczęściej użytkownik dostaje sms z kodem, natomiast w przypadku zabezpieczenia sprzętowego wygląda to podobnie, jak przy logowaniu do konta. Należy ponownie włożyć kartę do czytnika, wcisnąć odpowiedni klawisz (potwierdzenie transakcji), użytkownik znowu zostanie poproszony o kod PIN, po podaniu prawidłowego PINu należy podać czytnikowi karty kod wygenerowany przez stronę internetową banku, jeśli kwota przewyższa 500 euro, jako drugi kod należy podać kwotę przelewu i zatwierdzić. Jeśli wszystko się zgadza, tym razem czytnik wygeneruje kod potrzebny do zrealizowania przelewu, kod ten należy podać na stronie banku i jeśli wszystko się zgadza, przelew zostanie zrealizowany.

Wady i zalety.

Po co w ogóle o tym piszę? Ponieważ jest to dość ciekawe rozwiązanie i cieszyłoby mnie, gdyby było w przyszłości stosowane również w Polsce, a z drugiej strony jako ciekawostkę. Zabezpieczenia programowe stosowane w polskich bankach zapewne są dostatecznie bezpiecznie i wystarczające ale... no właśnie są wystarczające, za to zabezpieczenia sprzętowe oferowane przez banki holenderskie są zarówno bezpieczne, jak i wygodne, ponieważ:

- nie trzeba wymyślać, a tym bardziej pamiętać żadnych haseł, ponieważ jest ono losowane przy każdym logowaniu i osobno losowane przy transakcjach;
- bez obaw można korzystać z bankowości internetowej na dowolnym komputerze, zarówno na komputerze znajomego, który może mieć zainstalowane wirusy w systemie, jak i w kafejce internetowej bez obaw, że ktoś pozna hasło do mojego konta;
- nawet jeśli jakiś złodziej pozna numer mojego konta i numer karty, nadal pozostaje bez hasła, które jest losowe;
- żeby wygenerować hasło, złodziej musi być w posiadaniu karty i znać kod PIN, dlatego kod powinien być strzeżony.

Jedyne wady tego rozwiązanie jakie można wymienić:

- kartę i czytnik trzeba mieć zawsze przy sobie, aby się zalogować do banku lub wykonać transakcję. Jednak urządzenie jest na tyle małe, że można spokojnie nosić je w kieszeni lub saszetce ale dla niektórych osób może to być uciążliwe;
- trzeba strzec karty i kodu PIN.

Pomimo tych wad, jest to bardzo dobre rozwiązanie i mam nadzieję, że kiedyś zostanie wprowadzone również i u nas. 

sprzęt bezpieczeństwo inne

Komentarze

0 nowych
Piterson79   2 #1 19.01.2011 13:26

Takie same zabezpieczenia masz w Barclays w UK. Przede wszystkim większy komfort użytkowania konta on-line. Super sprawa.
Też mam nadzieję, że tego typu patenty zostaną wprowadzone (w najbliższym czasie) w polskich bankach.

  #2 19.01.2011 13:32

Gorzej, gdy zgubisz kartę.

Pigmej   5 #3 19.01.2011 14:28

Lukas Bank rozdaje 'tokeny' sa to takie male smieszne breloczki, ktore wyswietlaja 'kod' ktory jest tym samym co kody jednorazowe via sms.

Dimatheus   21 #4 19.01.2011 15:06

Hej,

Jakiś zaczątek użycia podobnego sprzętu w polskiej bankowości już mamy za sobą - na przykład Kredyt Bank do niektórych kont zamiast klasycznych kart kodów jednorazowych dodaje właśnie tokena. Oczywiście to jeszcze nie ten poziom, bo samo logowanie do serwisu jest dokonywane za pomocą hasła.

Samo korzystanie z takich rozwiązań faktycznie jest wygodniejsze i bezpieczniejsze - czasami tylko nieco bardziej uciążliwe. Sam w pracy zawodowej przy połączeniach VPN'owych do sieci firmowej używam tokena. Nie muszę pamiętać dodatkowych haseł, tylko przeklepuję je z urządzenia. Cały problem pojawia się, gdy się go zapomni. :) No ale to to już inna historia. :)

Pozdrawiam,
Dimatheus

dmag   7 #5 19.01.2011 15:31

Rzeczywiście, wpłatomat to bardzo wygodne urządzenie, często z niego korzystam, dosłownie wpłacając pieniądze na konto stojąc na ulicy. ;)

skandyn   9 #6 19.01.2011 18:25

Jeśli już o bankach mowa to niedawno założyłem sobie konto na poczcie (?Bank Pocztowy). Piszę dlatego o tym, bo wszystko załatwiłem przez internet, bez wychodzenia z domu i to mi się najbardziej podoba. Żadnych kolejek, marnowania czasu, nerwów czyli szybko, sprawnie. Za pomocą mojego komputerka wypełniłem wniosek online i wysłałem. Co więcej, wszystko jest tip-top i wszystko za friko (otwarcie, prowadzenie konta, bankowość internetowa, itp.)

Trochę nie na temat, ale też coś chciałem dorzucić z mojej strony.

Pozdrawiam.

roobal   14 #7 19.01.2011 18:29

@zxt

Jak zgubisz kartę, to pół biedy, bo zaraz można ją zablokować w banku i wyrobić nową, gorzej jak ktoś pozna PIN ;)

Pozdrawiam!

  #8 19.01.2011 18:45

Ja trochę nie czaje jak takie urządzenie działa, może mi ktoś wyjaśni...

Skąd bank wie, jakie hasełko wygenerowało urządzenie? Komunikuje się ono w jakiś sposób z bankiem? Bo jeżeli nie i urządzenie generuje hasło na podstawie karty/pinu, to algorytm można rozpracować analizując wiele haseł...

Karach   3 #9 19.01.2011 18:54

W Holandii chyba już całkowicie wyeliminowali obrót gotówkowy. Zwolennicy teorii spiskowych zaraz by krzyknęli, że tym z NWO (nowy porządek świata) o to właśnie chodzi.
Cóż, niewykluczone...
Transakcje bezgotówkowe bardzo łatwo namierzać, kontrolować i podatkować. A zbuntuj się przeciwko systemowi, to ci zablokują tę śmieszną kartę i nic sobie nie kupisz. :P

roobal   14 #10 19.01.2011 19:07

@Karach

Tak całkowicie to nie, ponieważ starsze osoby, pomimo, że większość i tak płaci w sklepach kartą (swoją drogą mają lepsze terminale płatnicze niż u nas, transakcja trawa 2 - 5s po podaniu PINu, a nie jak u nas do 2 minut, do tego trzeba mieć kartę na oku co robi z nią kasjer/kasjerka, a tam czegoś takiego nie ma, sprzedawca nie ma prawa tknąć twojej karty, wszystko robisz sam), to jednak sporo osób płaci wciąż gotówką i nie tylko te starsze osoby ale i osoby, które albo nie mają konta albo młodzież.

Pozdrawiam!

  #11 19.01.2011 20:57

@serious-sam
Dwa te same algorytmy wykonują się na tokenie i na serwerze AAA. A każde poprawnie wpisanie kodu - synchronizuje rozbieżności czasowe, które mogą z jakiś powodów czasem wynosi kilka milisekund.

dethloe123   5 #12 19.01.2011 21:14

@skandyn
A dodatkowo musisz iść do urzędu pocztowego, by dokończyć otwieranie konta. W Inteligo dosłownie nie musisz się ruszać z domu. Otwierasz konto przez internet, czekasz na telefon od konsultanta (ok. kilka godzin, w moim przypadku 30 min) i czekasz do 10 dni na kuriera z przesyłką (czas wyprodukowania karty płatniczej, karty TAN i innych) i przy nim podpisujesz umowę.

smaky   3 #13 19.01.2011 22:13

W Polsce 40% ludzi nie ma jakiegokolwiek konta, nie mówiąc już o internetowym. To jest dopiero temat.

roobal   14 #14 19.01.2011 22:54

@smaky

Tak samo, jak nie każdy ma domu komputer ;) Niejeden nie potrzebuje konta, inny nie potrzebuje komputera ;)

Pozdrawiam!

oprych   12 #15 20.01.2011 08:30

@Roobal
Ja tam preferuje rozwiązanie BZWBK :)
W Twoim przypadku urządzenie to musisz mieć zawsze przy sobie, co jest niestety sporym minusem.

W dzisiejszych czasach zdarzało mi się robić przelew w pracy/wakacjach/lesie itp. Czasami mam tak, że wychodzę z domu na chwilę, a wracam po kilku dniach - szczególnie czasy studenckie się kłaniają :P

A dzięki rozwiązaniu BZWBK wystarczy mieć swój telefon.
W zależności od własnych upodobań zarówno logowanie/przelewy/itp. wymagają ode mnie podania zarówno NIKa, PINu a dodatkowo jednorazowego hasła otrzymanego smsem :)

Jak dla mnie jest to najwygodniejsze rozwiązanie, komórkę niestety mam zazwyczaj cały czas przy sobie.

ktośtam   5 #16 20.01.2011 08:52

ABN Amro ma teraz "e.dentifier2" - instalujesz oprogramowanie, podłączasz przez USB i już nie musisz wpisywać żadnych kodów, poza kodem PIN, żeby autoryzować transakcje.
Dodatkowo umożliwia sprawdzenie salda Chipknip.

Orlando   3 #17 20.01.2011 09:38

Dla mnie wygląda to owszem bezpiecznie, ale wcale nie prosto. Takie sprzętowe rozwiązania stosował (a może dalej stosuje) Volkswagen Bank. Nie do końca identyczne, ale podobne. Ja jednakowoż chciałbym zapytać, jak rozwiązany jest problem korzystania z takiej bankowości przez osoby niewidzące? Przecież nie przeczytają ze sprzętowego wyświetlacza numeru.

roobal   14 #18 20.01.2011 12:46

@Oprych

Dlatego napisałem, że wadą jest to, że trzeba mieć czytnik i kartę zawsze przy sobie ale kartę przeważnie i tak ma się przy sobie, a czytnik można schować w kieszeń, nawet razem z telefonem no ale dla wielu osób to może być jednak minus ;)

Co do rozwiązań WBK, to zgadzam się, są dobre, jednak to rozwiązanie mi pasuje głównie z tego względu, że nie muszę wymyślać, pamiętać i regularnie zmieniać hasła do konta ;)

@ktośtam

A czy pracuje oprócz tego bez kabla? Bo widzisz, jest podłączane przez USB, mój znajomy ma konto AIG chyba i też ma podłączane przez USB ale gdy się go pytałem o szczegóły to mówił, że nie wie jeszcze o co chodzi i raczej z tego nie korzysta i taki czytnik prawdopodobnie współpracuje tylko z Windowsami, więc mi bardziej odpowiada urządzenie, o którym ja piszę, ponieważ nie muszę go podłączać żadnymi kablami i działa niezależnie od systemu operacyjnego, więc tu nie robi różnicy czy masz Windowsa, Linuksa, Maca czy BSD albo jeszcze inny system, chociażby mobilny ale jak to się mówi, zawsze coś za coś ;)

@Orlando

Niestety nie sprawdzałem tego, nie przyszło mi to na myśl, konto w Holandii już zamknąłem, urządzenie i kartę musiałem oddać, więc nawet nie mam teraz tego jak sprawdzić ale czytnik raczej nie wydaje żadnych dźwięków, zresztą nie zauważyłem, aby był tam jakiś głośniczek.

Na pocieszenie dodam tylko, że w Holandii bardzo dba się zarówno o osoby w starszym wieku, jak i o osoby niepełnosprawne, więc nie zdziwiłbym się, gdyby dla osób niewidomych było osobne, specjalne rozwiązanie ;)

Pozdrawiam!

  #19 23.01.2011 19:43

A ja napisze dlaczego to rozwiązanie w cale nie jest lepsze od polskich bo widzę że nikt nie poruszył tego tematu.

1. Noszenie nawet mini kalkulatora jest całkowicie bez sensu. Piszesz że w kieszeni spodni czy bluzy, już widzę jak urządzenie zostaje w innych spodniach i nie mogę zrobić przelewu. Co gorsza żona, mama czy babcia lub nawet ja sam(pod wpływem pomroczności chwilowej) wrzuca ubrania do prania.

2. W cale nie lepsze od maskowanych i smswych haseł w każdej chwili ci ktoś to może ukraść, a że wszystko masz przy sobie nie będzie problemu. Ja np nie zawsze mam kartę przy sobie więc jeśli zgubie telefon to co najwyżej złodziej dostanie się do bankowości elektronicznej, ale w sklepie czy bankomacie już nie skorzysta. A przelew bankowy łatwiej wyśledzić do kogo poszedł, albo nawet i cofnąć jeśli nie jest to jakiś szybki przelew. A w przypadku "kalkulatora" wszystko masz przy sobie.

3. Wszelkiego rodzaju uszkodzenia mechaniczne. W przypadku zniszczenia znowu do banku, albo trzeba jescze czekac na przesyłkę.

4. Jedno hasło(PIN) do wszystkiego bankowość elektroniczna i płatności kartą.

5. Od razu wszyscy pewnie krzykną ale musi znać PIN. W przypadku bankowości też trzeba znać hasło więc w tym wypadku jakby poziom zabezpieczeń jest na tym samym poziomie. Poza tym śmiem twierdzić że bezpieczeństwo PIN'u jest mniejsze częściej wpisywana ta sama kombinacja = więcej możliwości podejrzenia. Poza tym klawisze się wycierają i mamy tylko kilkanaście kombinacji do sprawdzenia.

Jak dla mnie to dużo gorsze bezpieczeństwo i wygoda niż w przypadku "naszych" rozwiązań.

roobal   14 #20 27.01.2011 15:00

@fugi

Nie obraź się, bo nie mam na celu obrażać ani Ciebie, ani nikogo innego ale jak ktoś jest nierozgarnięty i nie sprawdza kieszeni przed praniem, to już jest jego osobista sprawa. Ja np. zawsze sprawdzam kieszenie przed praniem jakichkolwiek ubrań, a dodatkowo mam taki nawyk, że zawsze portfel, telefon, klucze itp. rzeczy wyciągam z kieszeni spodni i kurtki, kiedy przychodzę do domu, natomiast gdy wychodzę z domu i czegoś nie wezmę, zawsze mam uczucie, że czegoś nie zabrałem ze sobą. Nawet jak w samochodzie telefon umieszczę w uchwycie (telefon służy mi również jako nawigacja), to czuje się nieswojo mając pustkę w kieszeni.

Co do wycierania się przycisków, w moim przypadku przez ok. 2 lata żaden przycisk się nie wytarł. Poza tym na urządzeniu wpisuje się nie tylko kod PIN ale również kody realizacji przelewu bankowego, który jest zawsze losowy, więc nawet jeśli przyciski by się wycierały, to na pewno nie tylko te od kodu PIN. Najpierw miej to urządzenie w ręku i z niego skorzystaj, a dopiero później komentuj ;)

Każdy z nas ma swoje zdanie i swoje racje, każdy z nas ma swoje potrzeby i woli coś innego i oczywiście ja tego nie neguję. Wolisz obecne zabezpieczenia, ja nie mam nic przeciwko temu, ja też korzystam z tych zabezpieczeń w polskich bankach i mi odpowiadają ale mi bardziej odpowiada zabezpieczenie holenderskich banków, o którym tu piszę, są dla mnie po prostu wygodniejsze, dla Ciebie wygodniejsze i bezpieczniejsze jest to co oferują w Polsce i w porządku ;)

Pozdrawiam!

Ryan   15 #21 01.02.2011 13:13

Inteligo miało tokeny już w 2001 roku (jeśli nie wcześniej), więc sprzętowe zabezpieczenia nie są w Polsce niczym nowym. :) Wydaje mi się, że sposób zabezpieczeń jest wypadkową nie tylko jakości rozwiązań ale i preferencji oraz specyfiki rynku.

Przykładowo w Amerykańskiej bankowości jednym z pilniej strzeżonych tajemnic są numery kont, bo stają się one bardzo niebezpieczne przy powszechności czeków. W moim banku na przykład przelew z konta na konta wymaga każdorazowej osobistej (w placówce) autoryzacji, albo obustronnej, zrywalnej w każdej chwili zgody na wymianę numerów kont. Wydaje się to abstrakcją, ale... taka specyfika rynku właśnie. :]

  #22 26.11.2013 13:41

skąd mogę wziąść komputerek jeżeli go zgubiłem - mam się zgłosic do banku czy mozna go gdzieś kupić

  #23 02.01.2014 15:12

Owszem łatwo założyć konto internetowe, wystarczy wypełnić formurarz ,poczekać i gotowe.Zdobywam numer twojego dowodu(w dzisiejszych czasach nie ma z tym problemu),wypełniam formularz, czekam na kuriera który sprawadza podrobiony dowód (inne zdjęcie,reszta jak w orginale, podpis można podrobić i to dobrze).Kożystam z konta 6 miesięcy,biorę kredyt łatwo dostępny.Wycofuję pieniądze i niech się frajer męczy z płatą długu. W banku nie ma nawet zdjęcia osoby zakładającej konto.Pierw bank zwinie mu pieniądze-nie będzie miał za co wynając dobrego adwokata,a zanim sprawa się wyjaśni co jest mało prawdopodobne (bankowi zależy na odzyskaniu pieniędzy bez względu od kogo- było o tym kilka programów w telewizji) naciągam inne osoby.

  #24 22.04.2014 09:04

A można wysłać przelew z barclays na polskie konto bez użycia tego czytnika?

  #25 22.04.2014 09:39

A można wysłać przelew z barclays na polskie konto bez użycia tego czytnika?

  #26 02.01.2015 18:26

witam mam problem z random reader rabobank nl taki kalkulatorek do przelewow jestem teraz w pl wyskakuje mi blad karty mysle ze z karta jest ok skoro moge nia placic na tym kalkulatorku wyskakuje info ze bateria pusta dlatego moze ztad ten blad karty czy mozna w tym urzadzeniu wymienic baterie czy dostane nowe te urzadzenie?prosze o podpowiedz z gory dziekuje

roobal   14 #27 02.01.2015 22:58

@benus1100 (niezalogowany): Niestety ja krótko korzystałem z tego rozwiązania (już mieszkam w Polsce) i nie miałem problemu z baterią. Podejdź do oddziału banku, wyjaśnij o co chodzi i albo wymienią Ci baterię, albo dadzą nowe urządzenie. Takie sprawy załatwia się bez problemu. Te urządzenie jak i karta to własność banku, więc ja bym samodzielnie nie próbował wymieniać baterii.

Autor edytował komentarz.
  #28 03.01.2015 14:22

@roobal: tu jest problem bo jestem w PL do konca marca a jest mi ten kalkulatorek potrzebny moze ty masz i nie jest Ci potrzebny to bym go odkupil.

roobal   14 #29 03.01.2015 18:19

@benus1100 (niezalogowany): jak pisałem, to jest własność banku, więc przy zamykaniu konta musiałem go oddać.

  #30 09.02.2015 16:55

witam mam problem zgubilam karte z abn amro w pl i teraz mam problem i mysle czy jest mozliwosc odebrania moich pieniedzy w Pl