Horyzonty Bankowości 2024 | Technologie – Secfense | Czy klienci banków są gotowi zrezygnować z haseł?
W maju media obiegła informacja, że cyberprzestępcy atakują klientów trzech największych polskich banków. Stworzyli fałszywe strony internetowe z formularzami logowania, z których dane spływały w ręce oszustów. Dlaczego ten tak prosty sposób przejmowania danych klientów banków wciąż działa?
– Przede wszystkim dlatego, że jedną z najpopularniejszych metod uwierzytelniania wciąż pozostają loginy i hasła. A te naprawdę łatwo jest wykraść lub zwyczajnie odgadnąć. Naturalnie większość instytucji finansowych daje użytkownikom możliwość skorzystania z dodatkowych opcji uwierzytelniania. Można więc stosować 2FA, czyli uwierzytelnianie dwuskładnikowe, dodając do loginu i hasła jeszcze choćby kod PIN czy kod SMS. Ale te kody także da się przejąć. Poza tym – co tu ukrywać – wszyscy jesteśmy wygodni i lubimy korzystać z rozwiązań, które znamy i które nie wymagają od nas dużego wysiłku. Dlatego tak chętnie wybieramy hasła.
Czy to oznacza, że nie ma możliwości bezpiecznego logowania do kont bankowych?
– Wręcz przeciwnie. Na rynku pojawiają się naprawdę skuteczne rozwiązania, eliminujące niebezpieczeństwo przejęcia naszych danych za pomocą phishingu. Mówię przede wszystkim o dwóch technologiach – kluczach sprzętowych opartych na standardzie U2F oraz passkeys. Chciałbym zwrócić szczególną uwagę na tę drugą technologię – pozwala ona całkowicie wyeliminować hasła i loginy z procesu uwierzytelniania, nie wymaga też stosowania dodatkowych sprzętów.
No właśnie, w 2023 r. bank ING wprowadził możliwość uwierzytelniania za pomocą kluczy sprzętowych. Mimo to klienci nie zaczęli masowo korzystać z tej technologii.
– Z kluczami sprzętowymi są dwa problemy. Przede wszystkim taki klucz trzeba kupić, a po drugie – trzeba go ze sobą nosić i wpinać do komputera przy każdym logowaniu. To jest doskonałe rozwiązanie dla osób obeznanych z technologią. Dla użytkownika domowego tego typu klucz jest często zbyt dużym wyzwaniem.
Czy w takim razie powinni oni rozważyć korzystanie z passkeys?
– Jak najbardziej! Passkeys zapewniają bardzo wysoki poziom bezpieczeństwa, upraszczają proces uwierzytelniania, chronią przed phishingiem. Opierają się na parze kluczy – prywatnym i publicznym. Klucz prywatny jest zawsze bezpiecznie przechowywany na urządzeniu użytkownika – jego smartfonie, komputerze czy tablecie. Co więcej – nie ma możliwości wytransferowania go poza urządzenie – tak jak jest w przypadku zwykłych haseł. Klucz nie jest w żaden sposób przesyłany czy wpisywany – dlatego nie można go przejść. Dodatkową warstwą ochrony, służącą do odblokowania urządzenia, na którym zapisany jest klucz, jest np. biometria. A używanie skanów odcisków palców czy faceID jest dziś coraz popularniejsze, więc też nie powoduje dyskomfortu klienta banku.
Czy passkeys to technologia przyszłości, czy raczej ciekawostka, o której szybko zapomnimy?
– Patrząc na to, jak szybko passkeys rozpowszechniają się na całym świecie, powiedziałbym, że to jest nasza przyszłość. Technologię tę zintegrowały ze swoimi usługami m.in. takie firmy, jak: Adobe, Amazon, Apple, Google, Microsoft, NTT DOCOMO, Nintendo, 1Password, PayPal, Shopify, TikTok. Co więcej, badania pokazują, że passkeys wyraźnie przyspieszają proces uwierzytelniania i minimalizują procent nieudanych logowań na konto.
Czyli to najwyższy czas na to, by i polskie banki zainteresowały się tą technologią?
– Zdecydowanie. Passkeys są bezpieczne, szybkie, łatwe w użyciu i wygodne dla użytkowników. Dodatkowo można je wdrożyć i zintegrować z usługami banku właściwie z dnia na dzień, bez żadnych prac programistycznych. Jak to zrobić, wyjaśniam w nagraniu z konferencji Semafor dostępnym na stronie https://secfense.com/pl/webinary/. Serdecznie zachęcam też do kontaktu z nami: https://secfense.com/pl/kontakt/