PekaoToken – nowoczesna, bezpieczna metoda autoryzacji

Praktycznie wszystkie polskie banki stosują dwustopniowy poziom zabezpieczeń. Nie inaczej jest w przypadku Pekao24 – aby zalogować się do rachunku, należy podać hasło, żeby natomiast potwierdzić transakcję, użytkownik może posłużyć się 6-cyfrowym „hasłem” z karty kodów jednorazowych, kodem SMS albo kodem wygenerowanym przez PekaoToken. Bez wątpienia najbezpieczniejszą metodą autoryzacji jest użycie PekaoTokena, aplikacji typu challenge-response (pytanie-odpowiedź) instalowanej w telefonie komórkowym. Pekao24 stosuje ją od połowy lutego br. ( http://di.com.pl/news/30356.html ).

W przypadku nowych klientów jest to domyślnie oferowana metoda potwierdzania operacji. Dotychczasowi klienci, którzy nie korzystają z PekaoTokena, w każdej chwili mogą zmienić sposób autoryzacji w serwisie PekaoInternet (w sekcji „Ustawienia”), u konsultanta TelePekao lub w dowolnym oddziale banku. Strona http://pekao.com.pl/indywidualni/bankowosc_elektroniczna/pekaotoken umożliwia sprawdzenie, czy używany przez nas model telefonu komórkowego obsługuje aplikację PekaoToken. Warto wiedzieć, że ma ona niewielkie wymagania techniczne – wystarczy telefon z obsługą aplikacji napisanych w języku Java oraz dostępem do internetu (generowanie kodów odbywa się w trybie offline, połączenie z siecią jest potrzebne do pobrania PekaoTokena na telefon). Aplikacja zajmuje zaledwie 300 kB pamięci.

Warto z niej korzystać przede wszystkim ze względów bezpieczeństwa – każdy kod wygenerowany przez PekaoToken jest unikalny i powiązany tylko z jedną transakcją zleconą w PekaoInternet, a dostęp do aplikacji chroniony jest indywidualnym kodem PIN. Rozwiązanie jest odporne na takie metody nieuprawnionego zdobywania poufnych danych, jak phishing i pharming. Phisherzy starają się, by rozsyłane przez nich e-maile wyglądały jak korespondencja z banku. Użytkownik, który da się zwieść i kliknie w podany przez nich link, zostanie skierowany na fałszywą stronę imitującą prawdziwą witrynę banku (http://di.com.pl/news/28161.html). W przypadku osób korzystających z PekaoTokena prośba o podanie wygenerowanego kodu nic nie da – potwierdzenie konkretnego przelewu wiąże się bowiem z wprowadzeniem do aplikacji wezwania ( 4 ostatnich cyfr z numeru rachunku odbiorcy i 4 cyfr wyświetlonych w serwisie PekaoInternet). Przeprowadzenie ataku uwzględniającego ten fakt nie jest łatwe.

Pharming różni się od phishingu właściwie tylko tym, że przekierowanie użytkownika na fałszywą stronę odbywa się automatycznie. Jeśli oszustowi uda się zamienić na komputerze użytkownika wpisy dotyczące serwerów DNS, to konieczność kliknięcia przez niego w link zostanie wyeliminowana. Wystarczy, że użytkownik wpisze adres banku w pasku przeglądarki, a DNS „przetłumaczy” go na IP, który wskaże serwer atakującego, gdzie umieszczona będzie sfałszowana strona. Korzystanie z PekaoTokena również ten atak czyni niegroźnym.

Rozwiązanie oferowane przez Pekao24 chroni także przed bardziej zaawansowanymi atakami, do których należą man-in-the-middle oraz man-in-the-browser. Pierwszy z wymienionych ataków polega na podsłuchu i modyfikacji danych przesyłanych pomiędzy użytkownikiem a bankiem bez wiedzy którejkolwiek ze stron. Natomiast do ataku man-in-the-browser wykorzystuje się szkodliwe oprogramowanie aktywowane w momencie wejścia użytkownika na stronę banku. Aplikacja przejmuje wprowadzane przez niego poufne dane i przesyła je cyberprzestępcy. Użytkownicy PekaoTokena mogą się nie obawiać takich ataków.

Aplikacja zasługuje na polecenie również ze względu na prostotę instalacji i obsługi. Po wybraniu PekaoTokena jako metody autoryzacji na numer telefonu wskazany przez użytkownika zostaje wysłana wiadomość z linkiem do pobrania aplikacji (WAP Push). Podczas pierwszego uruchomienia PekaoTokena użytkownik będzie musiał wprowadzić kod aktywacyjny, który znajdzie w serwisie PekaoInternet (w sekcji „Ustawienia”). Na końcu trzeba utworzyć swój własny kod PIN chroniący aplikację przed nieautoryzowanym dostępem i już można z niej korzystać. W skrócie wygląda to tak, że użytkownik wprowadza do aplikacji wezwanie wygenerowane w systemie bankowości internetowej, a PekaoToken generuje kod, który należy wpisać w serwisie PekaoInternet, aby autoryzować konkretną transakcję.

Na uwagę zasługuje jeszcze to, że za korzystanie z PekaoTokena nie jest pobierana żadna opłata. Używanie aplikacji nie wymaga nawiązywania połączenia internetowego z bankiem. Połączenie z siecią konieczne jest tylko w przypadku pobierania i aktywacji PekaoTokena, a także zmiany ustanowionego wcześniej PIN-u (opłata za przesyłanie danych będzie wówczas zgodna z cennikiem operatora, z którego usług korzysta użytkownik).