Zmiany w logowaniu do banków po 14 września

analityk Bankier.pl

Po 14 września 2019 r. zmieni się sposób logowania do systemów bankowości internetowej. Banki będą bowiem musiały dostosować swoje systemy do zaleceń dyrektywy PSD2, która wymaga tzw. silnego uwierzytelniania w procesie logowania. Sprawdziliśmy, jakie dokładnie zmiany czekają klientów PKO BP, Pekao, mBanku, Santander Banku, ING Banku Śląskiego, Alior Banku, Getin Banku, eurobanku i innych.

Zmiana przepisów w praktyce przekłada się na konieczność podania dodatkowego elementu zabezpieczającego dostęp do rachunku. W trakcie logowania klient będzie więc musiał podać nie tylko login i hasło, ale także kod z SMS-a lub potwierdzić dyspozycję za pomocą mobilnej autoryzacji.

Proces ten nie będzie jednak jednolity we wszystkich bankach. Niektóre instytucje pozwolą na przykład dodać komputer użytkownika do „zaufanych urządzeń”. Dzięki temu wymóg dodatkowego hasła pojawi się jedynie od czasu do czasu. Dodatkowe hasło natomiast wymagane także przy sprawdzaniu historii operacji na rachunku starszej niż 90 dni.

Zapytaliśmy banki o to, jak będzie wyglądało logowanie do systemu transakcyjnego po 14 września.

(fot. photobyphotoboy / YAY Foto)

PKO Bank Polski

W PKO BP klienci będą mogli korzystać z autoryzacji mobilnej w aplikacji IKO i funkcji dwuetapowego logowania do systemu bankowości elektronicznej iPKO i Inteligo. Po jej włączeniu, każdorazowo podczas logowania do bankowości elektronicznej, oprócz podania standardowo hasła do iPKO/Inteligo, klient będzie zatwierdzał logowanie także w aplikacji mobilnej. Tak jak do tej pory, w zależności od preferencji, klienci będą mogli korzystać z różnych form autoryzacji, np. z kodów SMS lub kodów jednorazowych z karty kodów.

Bank Pekao

W przypadku logowania do bankowości internetowej i mobilnej, Bank Pekao będzie wymagał nie rzadziej niż co 90 dni podania kodu SMS lub kodu wygenerowanego przez aplikację PeoPay. Klient będzie musiał podawać kod również w przypadku wejścia w historię operacji starszą niż 90 dni lub wykonując transakcję płatniczą. W przypadku konieczności silnego uwierzytelnienia podczas logowania w aplikacji mobilnej PeoPay, klient zostanie poproszony o podanie PIN-u nawet w przypadku ustawionego logowania biometrią. Dla transakcji płatniczych zastosowanie będzie miał szereg wyłączeń z silnej autoryzacji, np. przelewy między własnymi rachunkami lub przelewy do zdefiniowanych odbiorców.

Bank Pekao podjął decyzję o wycofaniu metod autoryzacji niezgodnych z zasadami silnego uwierzytelnienia (m.in. karta kodów jednorazowych oraz token) i pozostawieniu metod autoryzacji opartych o kody SMS oraz wiadomości push generowane przez aplikację PeoPay.

Santander Bank Polska

Santander Bank Polska będzie zawsze wymagać silnego uwierzytelnienia. Dodatkowym zabezpieczeniem (poza hasłem) będą token, smsKod lub mPodpis (w zależności od wyboru klienta). Nowością będzie możliwość zdefiniowania komputera jako urządzenia zaufanego (obrazek poniżej). Wówczas dodatkowe zabezpieczenie będzie wymagane jedynie co jakiś czas.

(Santander Bank Polska)

mBank

W trakcie logowania do bankowości internetowej mBank poprosi klientów o podanie hasła SMS lub potwierdzenie operacji mobilną autoryzacją. Wyjątkiem będzie sytuacja, w której klient doda komputer do zaufanych. Wówczas bank będzie go prosił tylko od czasu do czasu o dodatkowe potwierdzenie logowania.

ING Bank Śląski

W ING Banku system w trakcie logowania będzie mógł poprosić o wpisanie kodu autoryzacyjnego z SMS-a. Zatem nie będzie konieczności potwierdzania każdego logowania dwuetapowo - SMS będzie wymagany przy niektórych logowaniach. Za każdym razem gdy użytkownik będzie się logować, system bezpieczeństwa błyskawicznie przeanalizuje sytuację i oceni czy dodatkowa autoryzacja jest konieczna. Bank nie będzie używał do logowania na rachunek autoryzacji mobilnej. Dodatkowe potwierdzenie logowania może się też pojawić w aplikacji mobilnej. Wówczas bank poprosi nie tylko o odcisk palca lub PIN, ale równocześnie o oba zabezpieczenia.

Alior Bank

Alior Bank planuje wprowadzić silne uwierzytelnianie każdego logowania do bankowości internetowej w przeglądarce innej niż zaufana. Listą zaufanych urządzeń można zarządzać za pośrednictwem systemu bankowości internetowej. Logowanie do systemu będzie można potwierdzać kodem jednorazowym wysyłanym poprzez SMS lub poprzez aplikację mobilną.

Bank Millennium

Bank Millennium o szczegółach zamian w logowaniu poinformuje klientów wkrótce.

Getin Bank

Podczas logowania do bankowości internetowej  Getin Bank poprosi klienta o dodatkowe podanie kodu SMS lub zatwierdzenie logowania w aplikacji mobilnej (mobilna autoryzacja). Klient będzie mógł jednak dodać urządzenie do zaufanych, dzięki czemu kolejne logowanie z tego urządzenia nie będzie wymagało dodatkowego potwierdzenia.

Po 14 września różnicy nie zauważą natomiast użytkownicy bankowości mobilnej, do aplikacji Getin Mobile logować się będzie tak samo jak dotychczas.

Citi Handlowy

Najważniejszą zmianą będzie wprowadzenie nowego sposobu autoryzacji za pomocą aplikacji mobilnej Citi Mobile Token. Będzie ono drugim, obok jednorazowych kodów SMS, instrumentem umożliwiającym stosowanie tzw. silnego uwierzytelnienia.

Bank zapowiada, że Citi Mobile Token będzie służył do uwierzytelnienia transakcji kartą w internecie. Znajdzie też zastosowanie podczas logowania do bankowości elektronicznej. Po 14 września co 90 dni podczas wejścia do serwisu transakcyjnego bank będzie mógł poprosić o dodatkowe potwierdzenie tożsamości klienta – za pomocą kodu z SMS lub aplikacji. Dostęp do historii transakcji w bankowości internetowej i mobilnej również ulegnie zmianie. Podczas przeglądania transakcji starszych niż 90 dni klient zostanie poproszony o weryfikację z wykorzystaniem Citi Mobile Token lub jednorazowego kodu SMS.

Więcej informacji o zmianach w Citi Handlowym

eurobank

Eurobank będzie wymagał podania dodatkowego zabezpieczenia. Użytkownik będzie miał do wyboru – oprócz identyfikatora i hasła - hasła SMS, wskazania tokena GSM lub użycia mobilnej autoryzacji (w zależności od wyboru klienta).

Nest Bank

W bankowości internetowej sam sposób logowania nie ulegnie zmianie. Bank będzie wymagał loginu, hasła i awatara nadanego przez użytkownika. Jednak już po zalogowaniu do panelu klienta, przy próbie przejścia do niektórych elementów serwisu i historii starszej niż 90 dni system będzie wymagał podania kodu SMS wysłanego na telefon klienta (jednorazowo w ramach danej sesji).

T-Mobile Usługi Bankowe

Klienci T-Mobile Usługi Bankowe po 14 września muszą przygotować się na możliwość żądania dodatkowego potwierdzenia podczas logowania do bankowości internetowej. Narzędziem autoryzacji będzie jednorazowy kod SMS lub zatwierdzenie operacji w aplikacji mobilnej. Transakcje zlecane w aplikacji mobilnej potwierdzane będą za pomocą PIN, wzoru lub odcisku palca. Bank zapowiada także skrócenie czasu trwania sesji - po 5 minutach nieaktywności użytkownik bankowości elektronicznej zostanie wylogowany.

BOŚ Bank

Nowy system bankowości elektronicznej będzie umożliwiał korzystanie z nowej metody autoryzacji – autoryzacji mobilnej z wykorzystaniem tokena mobilnego. Funkcjonujące obecnie tokeny sprzętowe zostaną wycofane, a do dyspozycji klientów pozostanie również możliwość autoryzacji kodem SMS.

Klienci będą mogli równocześnie korzystać z dotychczasowej i nowej wersji systemu, tak aby mieć czas na zapoznanie się ze zmianami i migrację z tokenów sprzętowych na nowy sposób autoryzacji. Bank rozpoczął już aktywne działania zmierzające do migracji klientów na nowe urządzenia autoryzacyjne, które umożliwią prace w ramach ekosystemu nowej bankowości internetowej.

Zmiany w sposobie logowania do bankowości internetowej nie są jedyną nowością, która czeka klientów po 14 września. Nowe regulacje wprowadzają także istotną zmianę w obszarze kart płatniczych. Banki będą częściej wymagały od nas podania PIN-u przy płatnościach zbliżeniowych do kwoty 50 zł. Kod będzie wymagany co piątą transakcję zbliżeniową. Szerzej na ten temat pisaliśmy w artykule „Wraca konieczność podawania PIN-u przy płatnościach zbliżeniowych”.

Bank Pocztowy

Od 14 września podczas logowania do bankowości internetowej klient będzie otrzymywał dodatkowy kod SMS lub będzie proszony o hasło do certyfikatu do autoryzacji w bankowości

Toyota Bank

Toyota Bank będzie wymagał wprowadzenie hasła i loginu do bankowości internetowej oraz zatwierdzenia logowania w aplikacji token mobilny.

Wojciech Boczoń

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
1 12 kaitek

Czy ta wyizolowana kasta czyta te komentarze

! Odpowiedz
5 44 egeonel

No i co to ma niby dać, jak i tak nie można zrobić przelewu bez hasła jednorazowego SMS nie licząc zdefiniowanych, to po co to? Tylko strata czasu, bo będzie trzeba co 5 sekund smsy wpisywać. Siedzą, biorą dziesiątki tysięcy euro wynagrodzenia i wymyślają pierdoły jak utrudnić życie Europejczykom. RODO, Info o Cookies, które trzeba wyłącza przy wejściu na każdą stronę, proste banany, krzywe ogórki. Czasem mam wrażenie, że debile rządzą tym światem.

Pokaż cały komentarz ! Odpowiedz
2 13 blad

Toyota Bank przy logowaniu w polu hasło wymagał mojego hasła uzupełnionego o aktualne wskazanie tokena RSA - takie logowanie spełnia wymagania PSD2.
Niestety token sprzętowy znika tak jak w BOŚ-u - uzasadnienie Toyoty: Stosowane dotychczas przez Bank zasady logowania się do bankowości elektronicznej poprzez token spełniają wymogi SCA, niestety, rozwiązanie to nie spełnia wymogów dynamicznego powiązania (takich jak powiadamianie o kwocie transakcji oraz odbiorcy)
Od 14 września albo mi dadzą smartfona bo na komputer nie ma aplikacji generującej kod tokena, albo uciekam z tego banku.
Co do kodów SMS - nie wiem dlaczego inne banki je używają bo Toyota twierdzi:
Zgodnie przepisami oraz Dyrektywą PSD2 hasła SMS nie spełniają wymogów SCA (ang. strong customer authentication). Szczególnie w zakresie wymagania, by „wszelkie zmiany kwoty lub odbiorcy skutkowały unieważnieniem wygenerowanego kodu uwierzytelniającego” – z uwagi na zupełny brak kontroli nad raz wysłanym kodem SMS.

Pokaż cały komentarz ! Odpowiedz
11 4 heremita

Jak się nie podoba to zawsze można zmienić bank.

! Odpowiedz
4 28 szlachta-nie-pracuje

utrudniają tylko uczciwym ludziom życie a wystarczy pójść do operatora i wyrobić sobie duplikat sim i tyle z tych wszystkich zabezpieczeń

! Odpowiedz
4 75 czytacz

Niedługo nie dam rady zalogować sie do bankowości,bo będę miał albo za stary komputer,albo za stary smartfon.Nie udam się więc do oddziału,bo takich nie będzie=po prostu banki zaj...ą moje pieniądze i tyle!

! Odpowiedz
33 9 bha

A co będzie jak zastartują dla ogółu ceny prądu w Górę.....strach myśleć

! Odpowiedz
8 61 jaykob

A gdzie U2F w standardzie FIDO2? Kolejne idiotyczne pomysły bankowców, jak maskowanie haseł lub numeru PESEL, które w ogóle nie podnoszą bezpieczeństwa logowania.

! Odpowiedz
1 33 dziki_losos

Myślę, że po prostu nikt z managementu nie słyszał o U2F, a bankowość to taki specjalny sektor, gdzie ludzie techniczni są mocno oddzieleni od osób decyzyjnych, i te dwa zbiory osób są rozłączne.

! Odpowiedz
2 27 szymon_xyz

A token sprzętowy nie wystarczyłby? Technologia znana od lat, z której niestety banki się wycofały lub dały zaporowe ceny.

! Odpowiedz
Polecane
Najnowsze
Popularne