Kiedy Kowalski udaje Nowaka

opublikowano: 24-10-2019, 22:00

Lepiej nie polegać na staroświeckich hasłach. Bezpieczniejsza jest identyfikacja na podstawie odcisków palców, rysów twarzy, a nawet nawyków

To przełomowy rok dla branży finansowej. W połowie września weszła w życie unijna dyrektywa PSD2. Od tego czasu inaczej logujemy się do internetowych kont i częściej wpisujemy kod PIN przy płaceniu kartą. Celem zmian jest lepsza ochrona konsumentów przed nadużyciami w obrocie bezgotówkowym.

BĄDŹ CZUJNY:
BĄDŹ CZUJNY:
Cyberprzestępcy zastawiają na nas w sieci wiele pułapek. Aby je ominąć, zazwyczaj wystarczy odrobina zdrowego rozsądku — mówi Paweł Łąka, szef działu rozwiązań dotyczących bezpieczeństwa w firmie e-point.
Fot. Marek Wiśniewski

— Wcześniej wystarczyło zalogować się do systemu banku, a jeśli mieliśmy słabe hasło, łatwo było je zgadnąć. Obecnie klient często dostaje SMS z dodatkowym hasłem, które musi wpisać, albo potwierdza swoją tożsamość za pomocą czytnika linii papilarnych — mówi Grzegorz Długosz, ekspert rynku płatności.

A co z powszechnym oczekiwaniem, aby operacje bankowe trwały jak najkrócej i były jak najbardziej intuicyjne? Sztuczna inteligencja analizuje zachowania poszczególnych osób. Jeżeli nie odstają one od normy, można założyć, że użytkownik jest tym, za kogo się podaje. Wtedy formalności ograniczone są do minimum. Co innego, kiedy konsument zmienia komputery lub smartfony jak rękawiczki albo korzysta z bankomatu w dalekim kraju, a wcześniejsze analizy nie wykazały, że jest obieżyświatem.

— Jeśli ktoś loguje się zawsze z tego samego urządzenia, bank za którymś razem nie wymaga już dodatkowego uwierzytelnienia. Chodzi o kompromis między bezpieczeństwem a kontrolą — wskazuje Grzegorz Długosz.

Lekkomyślność nie popłaca

Chwała bankom za to, że starają się nas chronić, ale to nie znaczy, że sami możemy zapomnieć o podstawowych środkach bezpieczeństwa.

— Nie powinniśmy używać haseł słabych, łatwo zgadywalnych i zawsze tych samych. W takiej sytuacji może dojść do efektu domina: wyciek w jednym serwisie daje dostęp do naszych finansów, transakcji i danych wszędzie tam, gdzie używaliśmy tego samego hasła — tłumaczy Paweł Łąka, szef działu rozwiązań związanych z bezpieczeństwem w firmie e-point.

Dodaje, że korzystając z bankowości internetowej, należy zwracać uwagę na kłódki znajdujące się przy adresie przeglądanej strony. Jeśli komunikacja nie jest szyfrowana albo źródło strony jest podejrzane, powiadomi nas o tym przeglądarka. Lepiej nie ignorować takich notyfikacji. Kolejna rada dotycząca aplikacji mobilnych, czyli oprogramowania działającego na telefonach komórkowych, tabletach i innym sprzęcie przenośnym: niektóre tylko udają aplikacje bankowe.

— Klikanie we wszystkie wiadomości push, zachęcające do interakcji bez czytania ich treści, raczej nie skończy się dobrze — uświadamia przedstawiciel spółki e-point.

Trzeba weryfikować wszystkie linki, które otrzymujemy. Nie ma znaczenia, jak do nas trafiły: SMS-em, mejlem czy w innej formie.

Stać cię na więcej
Newsletter autorski Mirosława Konkela
ZAPISZ MNIE
×
Stać cię na więcej
autor: Mirosław Konkel
Wysyłany raz w tygodniu
Mirosław Konkel
Jesteś lepszy, niż ci się wydaje, ale nie tak dobry, jak mógłbyś być. Zapisz się na newsletter - znajdź inspiracje i odpowiedzi na ważne pytania.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: rodo@bonnier.pl. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: iod@bonnier.pl. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

— Popularność zdobywa typosquatting, technika oszukiwania wykorzystująca błędy literowe. Przykładem jest konstrukcja „wwwnazwabanku” bez kropki albo zbitka „rn”, która pisana małą czcionką do złudzenia przypomina „m” — mówi Paweł Łąka.

Dlaczego Kowalscy nie stosują się do tych zasad? Zdaniem eksperta e-pointu większość ludzi nie zdaje sobie sprawy z pułapek, które zastawiane są na nich w sieci. To wielkie instytucje — twierdzi — powinny wziąć na swoje barki uświadamianie klientów i zabezpieczanie ich interesów przez wprowadzanie coraz lepszych procedur i technologii.

Czas na biometrię

Co tyczy się tej drugiej sprawy, dużo zostało już zrobione. Świadczy o tym związany z dyrektywą PSD2 nacisk na jeszcze mocniejsze uwierzytelnianie tożsamości konsumentów. Ale nie tylko. Banki przechodzą na doskonalsze systemy autoryzacji niż tradycyjne hasła. Chodzi głównie o biometrię, na którą postawiły również inne branże: telekomunikacja, e-commerce, biura obsługi klienta, nie wspominając o służbach bezpieczeństwa i administracji publicznej. Czytnik linii papilarnych w telefonie to tylko początek. Przyszłość należy do tak wyrafinowanych rozwiązań, jak rozpoznawanie głosu, obraz układu krwionośnego palca, skan siatkówki oka oraz badanie rytmu serca (u każdego bije ono inaczej). Czy te nowinki się przyjmą? Badanie Mastercard zdaje się to potwierdzać. Konsumenci postrzegają biometrię jako bezpieczniejszą metodę niż kody jednorazowe. W ten innowacyjny sposób chciałaby autoryzować swoje transakcje już niemal połowa ankietowanych (47 proc.). Dla klientów ważne również jest to, że w końcu nie będą musieli zapamiętywać dziesiątków kombinacji cyfr i liczb.

Byle tylko nie zrazić użytkownika, oferując mu technologie biometryczne, które raz po raz zawodzą. Nie ma gwarancji, że urządzenie zabezpieczone przez odcisk palca lub selfie rozpozna swojego użytkownika. Niektóre skanery nie są w stanie zweryfikować odcisku palca, jeśli jest brudny, oparzony lub zadrapany, a inne można oszukać, używając mokrego papieru z nadrukiem linii papilarnych. Czasem system nie odróżnia twarzy od fotografii. W przypadku Androida rozpoznawanie twarzy zawodzi w 30-40 proc. przypadków.Natomiast oprogramowanie rozpoznające głos daje się oszukać w 17 proc. przypadków. Zdarza się, że konsumenci ponawiają próby autoryzacji, ale po kilku razach smartfon odmawia możliwości zalogowania się. O tym wszystkim pisze Krzysztof Gawkowski w swojej książce „Cyberkolonializm. Poznaj świat cyfrowych przyjaciół i wrogów...”. To prawda, rozwiązania uwierzytelniające pozostawiają wiele do życzenia. Ale czy w najbliższej przyszłości wymyślimy coś lepszego?

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Mirosław Konkel

Polecane