Klucz zabezpieczeń lekiem na całe zło? Takie zabezpieczenie konta tylko w trzech bankach

Twoje hasło i login do bankowości internetowej wyciekły? A może zostały ujawnione oszustowi przy próbie logowania na fałszywej stronie? O dziwo nie musisz panikować, jeśli masz wdrożoną dwustopniową weryfikację z użyciem klucza zabezpieczającego. Takie rozwiązanie nie jest jednak jeszcze popularne w bankach.

Dostęp do konta osobistego (i innych produktów finansowych) przez internet to niewątpliwie duża wygoda. Jednocześnie jest to również szansa dla oszustów, którzy nie ustępują w próbach kradzieży danych. Po przejęciu loginu i hasła zmieniają numer telefonu do autoryzacji transakcji, a prawdziwemu właścicielowi konta nie pozostaje nic innego jak kontrakt z bankiem na infolinii lub w placówce. Inną metodą jest przejęcie numeru karty płatniczej oraz numeru CVC. Również i w tym scenariuszu konieczne będzie zastąpienie numeru telefonu właściciela na inny – ten w posiadaniu oszustów.

Skala oszustw nie słabnie

Na czyhających na nasze oszczędności natrafić nie jest trudno. Czasami wysyłają SMS-y z prośbą o dopłatę do paczki, podszywają się pod pracowników banków lub udają zainteresowanych sprzedawanym przedmiotem na jednym z serwisów ogłoszeniowych bądź aukcyjnych. O nowych metodach informują często same banki na swoich stronach internetowych. Jednym z przykładów jest np. PKO Bank Polski, który ostatnio ostrzegał przed plikami dołączanymi do e-maili z potwierdzeniem wykonania przelewu.

Dzięki takim ostrzeżeniom klienci mają szansę nauczyć się jak walczyć z popularnymi metodami oszustw w sieci. Przestępcy stosują jednak coraz bardziej wyrafinowane „sztuczki” i bezwzględnie drenują konta swoich ofiar. Zgodnie z danymi Narodowego Banku Polskiego w ciągu pierwszych trzech kwartałów ubiegłego roku oszuści wyprowadzili z kont blisko 300 mln zł. Według statystyk przytaczanych przez prawników na stronie Stowarzyszenia Stop Bankowemu Bezprawiu w całym 2024 roku straty klientów sięgały prawie 500 mln zł.

Jak chronić się przed utratą pieniędzy?

Łatwo powiedzieć, że należy być czujnym, aby nie stracić swoich oszczędności. Jest w tym trochę prawdy, bo często sami potwierdzamy transakcję zainicjowaną przez przestępców, oczekując, że jest to np. potwierdzenie zleconej przez nas płatności. Może się okazać, że właśnie w tym momencie zgodziliśmy się na zmianę numeru telefonu do autoryzacji.

Często wystarczy się tylko zastanowić, czy faktycznie powinniśmy wpisywać takie dane jak np. login i hasło, jeśli czekamy na przelew od kogoś innego. Szybkie tempo życia i wykonywanie czynności „na pamięć” grają tutaj niestety na korzyść oszustów.

Jedną z podstawowych metod zabezpieczenia konta jest zastosowanie weryfikacji dwuetapowej. Banki wysyłają zazwyczaj SMS-a z kodem potwierdzającym, aby upewnić się, czy to faktycznie właściciel konta chce się na nie zalogować lub wysłać pieniądze na inny rachunek. Inną opcją jest także wysyłanie powiadomień w aplikacji mobilnej, w której konieczne jest wpisanie numeru PIN.

Do relatywnie nowych metod należy również zastosowanie klucza zabezpieczającego. Taką alternatywę oferują, póki co tylko trzy banki.

Klucz – fizyczne zabezpieczenie

Czym jest klucz zabezpieczeń? To fizyczne urządzenie przypominające wyglądem pendrive’a. Można go zastosować jako dodatkowe zabezpieczenie konta w banku, ale nie tylko. W zależności od obsługiwanych protokołów uwierzytelniania, można nim autoryzować logowanie w banku, ale też ochronić skrzynkę mailową, sejfy haseł czy nawet logowanie na swoje konto na giełdach kryptowalut.

W największym skrócie – po wpisaniu loginu i hasła bank wysyła prośbę o zatwierdzenie logowania kluczem zabezpieczeń. W zależności od wyboru interfejsu (tj. USB-A, USB-C, złącza Lightning) podpinamy się fizycznie lub przez NFC bądź Bluetooth do komputera, lub telefonu i w ten sposób autoryzujemy transakcję. Brzmi to dość prosto, ale w rzeczywistości wykorzystana jest tutaj kryptografia asymetryczna.

Dzięki zastosowaniu fizycznego klucza przejęcie loginu i hasła do bankowości internetowej przez oszustów nie wystarczy im do grabieży. Bez klucza nie jest możliwe zalogowanie się na rachunek, ponieważ wymóg dwuetapowej weryfikacji nie zostanie spełniony. Jest to lepsze rozwiązanie niż potwierdzenie SMS-em, ponieważ w przypadku kodu wysyłanego na numer telefonu dane mogą zostać przejęte przez przestępców. W przypadku fizycznego klucza nie jest to możliwe. Co więcej, klucz może udaremnić zalogowanie się przez fałszywą stronę logowania, bowiem nie wykryje z nią połączenia, co zaalarmuje użytkownika. Jest to dobre zabezpieczenie przed phishingiem.

Z uwagi na brak możliwości zalogowania się na swoje konto po zgubieniu klucza z reguły poleca się posiadać co najmniej dwie aktywne sztuki przechowywane w różnych miejscach.

Klucz zabezpieczeń w trzech bankach

Obecnie tylko trzy banki oferują taką formę dwuskładnikowego uwierzytelnienia: Bank Pekao, ING Bank Śląski oraz PKO Bank Polski.

Jako pierwszy z nich taką metodę weryfikacji zastosował ING Bank Śląski w lipcu 2023 r., a pierwsze zapowiedzi pojawiły się w marcu 2023 r. Klucz można dodać do konta w bankowości elektronicznej, ale aby go aktywować konieczna będzie wizyta w oddziale banku. Kolejne klucze można dodawać już samodzielne po zalogowaniu się już z aktywnym kluczem. Klucz można zastosować zarówno do logowania w serwisie internetowym (desktop), jak i aplikacji mobilnej. Klucze muszą być zgodne ze standardem FIDO2 z dowolnym interfejsem, choć bank może w niektórych przypadkach dopuścić do wykorzystania konkretnego rodzaju klucza z uwagi na bezpieczeństwo. Bank nie wymaga posiadania dwóch kluczy, choć jest to rekomendowane. W przypadku zgubienia klucza dostęp do konta można odzyskać na infolinii.

Klucz sprzętowy jest wykorzystywany w PKO Banku Polskim od października 2024 r.  W przeciwieństwie do ING Banku Śląskiego klucz można samodzielnie dodać w bankowości elektronicznej i jest on od razy aktywny. Obecnie rozwiązanie obejmuje serwis internetowy iPKO dostępny na komputerach, smartfonach czy tabletach. Bank nie wyklucza jednak rozszerzenia o aplikację mobilną w przyszłości. PKO Bank Polski obsługuje klucze od największego producenta tego typu zabezpieczeń, czyli Yubico. Lista wspieranych urządzeń jest dostępna na stronie internetowej banku. Nie ma wymogu posiadania dwóch kluczy. W przyszłości bank będzie oferował wsparcie kilku kluczy bezpieczeństwa. W przypadku utraty jedynego klucza można zmienić narzędzie weryfikacji dwustopniowej na infolinii oraz usunąć klucz.

Niedługo później, bo w listopadzie 2024 r. takie rozwiązanie pojawiło się Banku Pekao. Aby klucz sprzętowy był aktywny, wystarczy dodać go w bankowości elektronicznej. Zabezpieczenie obejmuje serwis internetowy banku. Nie ma wymogu posiadania dwóch sztuk, jednak jest to rekomendowane. Jeśli klient utraci dostęp do konta przez zgubienie klucza, należy udać się do placówki banku, aby wyłączyć logowanie dwuskładnikowe. W przypadku posiadania dwóch kluczy, wystarczy zalogować się na konto i usunąć utracony egzemplarz.

Aby otworzyć konto w Banku Pekao kliknij tutaj »

Plany na przyszłość

Powyższe informacje uzyskałam bezpośrednio od banków, które wdrożyły już taką metodę zabezpieczeń. Pozostałe banki zapytałam o to, czy mają w planach zaproponowanie klientom takiej alternatywy. Odpowiedzi na maila otrzymałam łącznie od 10 instytucji. Spośród tych, którzy nie stosują kluczy sprzętowych, tylko nieliczni potwierdzili, że wzięli taką możliwość na tapet.

Credit Agricole rozważa wprowadzenie tego rozwiązania w 2026 r. Decyzja co do terminu nie została jeszcze podjęta. Bank przypomina jednak, że jako jeden z nielicznych ma możliwość autoryzacji w serwisie internetowym tokenem sprzętowym. Plany co do wprowadzenia tej metody autoryzacji ma również SGB-Bank. Uruchomienie tego rozwiązania w bankowości elektronicznej powinno mieć miejsce w pierwszej połowie 2026 r. Kolejnym bankiem, który bierze pod uwagę takie wdrożenie, jest Toyota Bank.

Publikacja zawiera linki afiliacyjne.

Źródło: