Najnowsze wydanie Najnowsze wydanie Najnowsze wydanie miesięcznika BANK dostępne w sklepach i online Sprawdź szczegóły i zapisz się na prenumeratę roczną -20%
search Szukaj
zamknij wyszukiwarkę
  • Rejestracja
  • Logowanie
  • Newsletter
menu
logo BANK.pl
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
SafeBank 2025
9 grudnia 2025 r.
Pozostało:
3dni
10godzin
10minut
II Kongres Bankowości Zrównoważonego Rozwoju 2025
10 grudnia 2025 r.
Pozostało:
4dni
10godzin
10minut
Strategiczna Szkoła Polskiego Sektora Bankowości Spółdzielczej 2026
17-18 marca 2026 r.
Pozostało:
101dni
10godzin
10minut
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
zamknij menu
  • Aktualności
  • Konferencje
  • Multimedia
  • Bankowość spółdzielcza
  • Nieruchomości
  • Technologie
  • WIBOR
  • Miesięcznik
Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
PARTNER PORTALU
  • logo Blik
  • Partner Portalu BANK.pl - Związek Banków Polskich
Artykuły | Technologie i innowacje

MFA i zalety uwierzytelniania adaptacyjnego. Poszukiwanie równowagi między cybersecurity i user experience

13.06.2022 13:08 Natalia Karbowska | Comarch
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
MFA i zalety uwierzytelniania adaptacyjnego. Poszukiwanie równowagi między cybersecurity i user experience
Źródło: Comarch
Digitalizacja sektora finansowego otwiera nową furtkę dostępu do naszych portfeli. Niesie to ze sobą wiele korzyści, ale też wiele potencjalnych zagrożeń związanych z kradzieżą.

Stosowanie zaawansowanych zabezpieczeń w procesie autoryzacji transakcji i uwierzytelniania użytkowników jest nieodzowną częścią dzisiejszej rzeczywistości w świecie online ‒ istną plagą naszych czasów stały się próby przejęcia kont (Account Take Over, ATO), a cyberprzestępcy nieustannie wymyślają nowe formy oszustw w Internecie. W ostatnich latach liczba cyber przestępstw w sektorze finansowym zwiększyła się przeszło ośmiokrotnie, a zagrożenie objęło miliardowe sumy.

Istnieje wiele różnych form ATO. Wśród nich wyróżnić można ataki, które bazują na wyszukanych próbach wyłudzenia danych logowania (phishing), infekowaniu urządzeń oprogramowaniem malware oraz trojanami bankowymi, a także credential stuffing.

Jeśli weźmiemy pod uwagę, że ponad 60% ofiar ATO posługiwało się tym samym hasłem dostępu do wielu platform (w tym także do social mediów), oczywistym staje się, że samo hasło nie jest wystarczającym zabezpieczeniem dostępu i istnieje potrzeba stosowania dodatkowej formy uwierzytelniania.

klawiatura laptopa, ręka
Źródło: Comarch

Bezpieczeństwo aplikacji bez szkody dla UX

Problem pojawia się w momencie, gdy instytucje finansowe próbują implementować odpowiednie zabezpieczenia do swoich starannie zaprojektowanych aplikacji. Dobrym przykładem będą tu aplikacje bankowe, wealth managementowe lub płatnicze.

Obecnie, gdy zakres proponowanych usług nie jest już kluczowym czynnikiem konkurencyjności, bo większość podmiotów sektora finansowego proponuje podobne rozwiązania, szczególnie istotne stają się różnice w komforcie użytkowania (UX) aplikacji. Tymczasem, proponowane rozwiązania uwierzytelniania wielopoziomowego (MFA) często nie sprzyjają zachowaniu najwyższego poziomu wygody użytkownika.

UX nie jest jednak jedyną rzeczą, którą należy wziąć pod uwagę przy tworzeniu aplikacji. Dyrektorzy ds. bezpieczeństwa informacji (CISO) nie bez powodu przywiązują wielką wagę do stosowania odpowiedniej ochrony przed fraudami. Te dodatkowe środki bezpieczeństwa niejednokrotnie wymuszają na użytkownikach aplikacji podjęcie kolejnych kroków.

Przykładowo, zawsze gdy następuje zalogowanie z nowego urządzenia, przelew na kwotę przekraczającą zdefiniowane progi bezpieczeństwa czy próba zmiany danych zaufanych odbiorców, użytkownik proszony jest o dodatkowe potwierdzenie swojej tożsamości. Może to zrobić przez użycie hasła jednorazowego, otrzymanego za pomocą SMS-a, akceptując wiadomości push, albo wpisując kod PIN generowany za pomocą tokena sprzętowego.

W większości przypadków, po wykonaniu dodatkowych kroków, transakcja zostaje poprawnie uwierzytelniona i użytkownik może kontynuować swoje działania w aplikacji. Czasem próba uwierzytelnienia lub autoryzacji może zakończy się niepowodzeniem, na przykład kiedy zdarzy literówka przy próbie wpisania PIN-u czy hasła, albo sytuacja, w której użytkownik nie zdąży zaakceptować wiadomości push. Czasem jednak takie przypadki niepoprawnej autoryzacji mogą się okazać próbą przejęcia konta.

Najlepszy scenariusz z punktu widzenia UX zakłada, że jedyną grupą, która zostanie zmuszona do wykonania kolejnych kroków autoryzacyjnych, będą cyberprzestępcy, natomiast prawowici użytkownicy nie będą proszeni o podejmowanie żadnych dodatkowych działań.

kobieta ze smartfonem w dłoni, laptop
Źródło: Comarch

Adaptacyjne podejście do ryzyka transakcji

Tylko jak określić odpowiedni moment wdrożenia procedury MFA? Najbardziej zaawansowane zabezpieczenia przed cyber oszustwami opierają się na obliczaniu ryzyka poszczególnych transakcji, dzięki czemu nie ma potrzeby stosowania MFA w każdym przypadku. Użytkownik proszony jest o dodatkowe potwierdzenie tożsamości tylko wtedy, gdy zostaną przekroczone określone progi bezpieczeństwa. Taki sposób działania, kiedy metoda autoryzacji i uwierzytelniania jest dopasowywana do skalkulowanego ryzyka konkretnej transakcji, jest charakterystyczny dla uwierzytelniania adaptacyjnego.

W takim podejściu ryzyko transakcji jest obliczane na podstawie obszernego zestawu danych. Dotyczą one m.in. parametrów urządzenia, z którego korzysta użytkownik, zachowań typowych dla użytkownika czy danych geolokalizacji. Każdy element wskazujący na zachowanie odbiegające od normy traktowany jest jako podejrzany i wpływa na wyliczoną wartość ryzyka.

Inne czynniki, które mogą wskazywać na podwyższone ryzyko transakcji, to obecność złośliwego oprogramowania oraz wyniki analizy aplikacji zainstalowanych na urządzeniu. Aplikacje są analizowane pod kątem uprawnień, z których korzystają. Nadmierne uprawnienia aplikacji mogą narazić użytkownika na kradzież danych logowania, na przykład poprzez przechwytywanie znaków wpisywanych na klawiaturze.

Innowacja w służbie klienta

Aby sektor finansowy mógł w pełni i w sposób odpowiedzialny korzystać z digitalizacji usług, instytucje finansowe muszą zadbać o zapewnienie bezpieczeństwa urządzeń swoich klientów. Połączenie powszechnie uznanych procedur MFA z innowacyjnym uwierzytelnianiem adaptacyjnym, opartym na kalkulacji ryzyka transakcji, to sposób na ochronę przed cyber zagrożeniami bez negatywnego wpływu na UX.

To rozwiązanie pozwala w pełni pogodzić podejście biznesowe ze stosowaniem ścisłych standardów bezpieczeństwa, tym samym przyczyniając się do budowania przewagi konkurencyjnej, jednocześnie mając na uwadze zadowolenie i bezpieczeństwo klienta końcowego.

Natalia Karbowska,

Cyber Security Product Manager  Comarch.

Źródło: aleBank.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Tagi
Account Take Over / ATO / próby przejęcia kontAplikacje mobilneComarchCyberatakiCyberbezpieczeństwo / CyberprzestępczośćCyberzagrożeniamalwareNatalia KarbowskaPhishingUser Experience / UXUwierzytelnienie wieloskładnikowe / MFA
Autor Natalia Karbowska
Źródło Comarch
Partner działu
logo Systemy Wymiany Informacji

Polecamy

Spotkanie świąteczne środowiska bankowego – 4 grudnia ‘25. Tadeusz Białek. Źródło: ZBP
Wydarzenia
Spotkanie świąteczne środowiska bankowego, 4 grudnia ‘25
globus na tle tablicy wskaźników
Z rynku finansowego
Allianz Trade o polityce pieniężnej na rynkach wschodzących
budynek Sejmu, flaga, drzewa
Z rynku finansowego
Sejm za utworzeniem Funduszu Bezpieczeństwa i Obronności w ramach KPO
Świąteczny Portfel Polaków 2025
Z rynku finansowego
Świąteczny Portfel Polaków 2025: planujemy większe wydatki, choć realne koszty spadły

Najnowsze

TechEU, grafika
Gospodarka
KPK UE: TechEU to przełomowa inicjatywa, wzmocnienie dla innowacji w Unii Europejskiej
prezes Banku Pekao Cezary Stypułkowski
Gospodarka
125 mln euro kredytu dla Pekao Leasing na rozwój MMŚP od Banku Rozwoju Rady Europy
grafika, przelewy natychmiastowe w euro
Bezgotówkowo
PKO BP udostępnił przelewy natychmiastowe w euro dzięki Euro Express Elixir
Adam Glapiński, grudzień 2025
Z rynku finansowego
Prezes NBP: stopa na poziomie 4 proc. jest dobrym poziomem i może pozostać dłużej
ZPF: IV Kongres Instytucji Finansowych – 11 grudnia 2025
Z rynku finansowego
ZPF zaprasza na IV. Kongres Instytucji Finansowych – 11 grudnia 2025
napis OFE, tło banknoty
Z rynku finansowego
Aktywa OFE w listopadzie ’25 zmalały m/m o 0,1 proc. do 281,5 mld zł
Fitch Ratings napis na budynku
Gospodarka
Fitch utrzymał prognozę PKB Polski w 2026 roku na 3,2 proc., widzi jeszcze jedno cięcie stóp
wirtualny wykres na tle banknotów
Gospodarka
Wynik netto przedsiębiorstw niefinansowych wyniósł 153,2 mld zł w I-III kw. 2025 roku, dane GUS

Zobacz także

Artykuły
BANKOWOŚĆ POLSKA 2012–2022. Między tradycją i bankowością przyszłości
ESG
Okrągły Stół dla Sektora Bankowego z rekomendacjami dotyczącymi zielonego finansowania
Badanie InfoSenior 2023
Gospodarka
Co trzeci polski senior kupuje i płaci online
Zobacz wszystkie z tej kategorii
logo Bank
  • O nas
  • Reklama
  • Kontakt
  • Newsletter
logo Bank Ikona facebook Ikona LinkedIn Ikona twitter Ikona youtube
logo Miesięcznika Bank Ikona facebook Ikona LinkedIn Ikona twitter
© Copyright 2025 Centrum Procesów Bankowych i Informacji
  • Polityka prywatności
  • Pliki cookie
  • Bankiwpolsce.pl
Strona korzysta z plików cookie
Na stronie stosujemy pliki cookie w celu zapewnienie prawidłowego działania, ułatwienia korzystania, a także w celach statystycznych i marketingowych. Wybierając „Zaakceptuj wszystkie” wyrażasz zgodę na stosowanie wszystkich plików cookie. Jeśli chcesz wyrazić zgodę na stosowanie tylko niektórych plików cookie, wybierz „Ustawienia”, skonfiguruj preferencje i wybierz przycisk „Zapisz”. Pamiętaj, że możesz zmienić swoje ustawienia w każdym czasie klikając przycisk „Pliki cookie” w stopce portalu. Szczegółowe informacje o sposobie, w jaki  używamy plików cookie oraz przetwarzamy Twoje dane, a także o przysługujących Ci prawach, odnajdziesz w Polityce prywatności.

Niezbędne: Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.

Funkcjonalne: Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.

Analityczne: Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp.

Marketingowe: Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców
i reklamodawców strony trzeciej.
Niezbędne Zawsze aktywne
Pliki cookie niezbędne do prawidłowego działania strony internetowej, zapewniające podstawowe funkcje i zabezpieczenia strony umożliwiające, m.in. wykorzystywanie podstawowych funkcji takich jak nawigacja na stronie internetowej, czy tez dostęp do jej obszarów wymagających uwierzytelnienia.
Funkcjonalne
Pliki cookie, które pomagają w realizacji pewnych funkcji, takich jak udostępnianie zawartości strony internetowej na platformach mediów społecznościowych, zbieranie opinii i innych funkcji podmiotów trzecich.
Analityczne
Pliki cookie wspomagające zebranie anonimowych danych statystycznych i analitycznych związanych z aktywnością użytkowników na stronie internetowej. Pomagają nam analizować liczbowe aspekty ruchu użytkowników na stronie internetowej oraz służą do zrozumienia, w jaki sposób użytkownicy wchodzą w interakcje ze stroną internetową. Te pliki cookie pomagają uzyskać informacje na temat liczby odwiedzających, współczynnika odrzuceń, źródła ruchu itp. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketingowe
Pliki cookie stosowane do analizowania aktywności użytkowników, wyświetlania odpowiednich reklam i kampanii marketingowych. Celem jest wyświetlanie reklam, które są istotne i interesujące dla poszczególnych użytkowników i tym samym bardziej efektywne dla wydawców i reklamodawców strony trzeciej.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Ustawienia
{title} {title} {title}