Dvoufaktorové ověřování bankovních transakcí se dotklo především internetových plateb
- 16 Zář, 2019
- OdCentrum kyberbezpečnosti
Banky v Česku mají od 14. září ověřovat platby svých klientů minimálně dvěma různými způsoby. Vyžaduje to evropská směrnice zpřísňující pravidla elektronických plateb. Dvoufaktorové ověřování nyní musí být z různých kategorií, a to nejen pro přihlášení do účtu, ale i pro potvrzení platby.
Dvoufaktorové ověření znamená, že k ověření uživatele musí být použita kombinace alespoň dvou prvků ze tří možných kategorií, přičemž jde o kategorie znalost, držení a inherence. „Kategorie znalost je to, co ví pouze uživatel, tedy například heslo. Kategorie držení je to, co drží pouze uživatel, tedy například kód ze SMS zprávy, a kategorie inherence je to, čím uživatel je, tedy biometrika, sken obličeje, prstu,“ vysvětlila tisková mluvčí České národní banky Petra Vodstrčilová.
Zatímco pro přihlašování do internetového bankovnictví jsou podmínky většinou splněné, u internetových plateb to tak často není. „Příkladem je zadání platby na základě opsání čísla bankovní karty, doby platnosti a CVC kódu a následné potvrzení heslem zaslaným přes SMS. První údaje totiž nespadají do kategorie znalost, neboť jsou fyzicky vytištěny na plastové kartě. Navíc i samotné ověřování přes hesla zaslaná přes SMS nepatří k nejbezpečnějším způsobům. Prakticky všechny instituce, které chtějí podmínky splnit, počítají s využitím chytrých telefonů. Například pomocí vlastních aplikací, jako je KB klíč od Komerční banky, mohou využít i biometrické údaje, například otisk prstu,“ uvedl příklady Jiří Kocourek z Centra kybernetické bezpečnosti.
Právě nutnost vlastnit chytrý telefon ale znamená podle odborníků další omezení pro internetové platby. Banky proto hledají náhradní řešení, například v podobě nějakého dalšího hesla.
Přehled změn zabezpečení plateb u jednotlivých banky:
Air Bank | Změnu plánuje spustit letos na podzim, přesný termín zatím není znám. Klienti s mobilní aplikací My Air, kterých je už více než 60 procent, budou moci platby na internetu potvrzovat jednoduše otiskem prstu, skenem obličeje nebo heslem ve své mobilní aplikaci. Klienti bez mobilní aplikace budou tyto platby potvrzovat stejně jako dnes, tedy opsáním kódu ze SMS zprávy. Při přihlašování do internetového bankovnictví bude banka v některých situacích chtít ověření navíc, a to způsobem, jakým podepisuje platby v internetovém bankovnictví. |
Creditas | Internetové bankovnictví, mobilní bankovnictví i platforma Richee požadavky na dvoufaktorové ověření splňují. Klienti se tak nemusí obávat změn. Novinkou bude možnost nepoužít silné ověření pro specifické typy operací (transakce nízké hodnoty, převody mezi vlastními účty nebo převody na klientem zvolené účty). Pro potřeby bezpečného ověření karetních transakcí u internetových obchodníků banka připravuje novou mobilní autentizační aplikaci. Tu budou moci využít klient využívající chytré telefony s platformou iOS nebo Android. Pomocí této aplikace bude možné platby kartou na internetu podepisovat pomocí otisku prstu nebo skenu obličeje. Klienti bez mobilní aplikace obdrží jako doposud SMS zprávou kód, který přepíšou do příslušného pole. Současně bude nutné zadat do dalšího pole také ePIN. Tento ePIN si držitel karty zvolí sám v internetovém bankovnictví. |
Česká spořitelna | Digitální bankovnictví George vyhovuje podle banky nárokům na silné ověření, klienti jsou ověřováni pomocí hesla a SMS kódu jak při přihlášení do George, tak při potvrzení platby. Banka se bude snažit, aby co nejvíce klientů využívalo mobilní aplikaci George klíč. V tuto chvíli ho má 200 tisíc klientů ze 600 tisíc klientů, kteří využívají George. Podle banky není vyloučeno, že klienti, kteří nebudou využívat tento klíč, budou muset časem využívat další unikátní číselný kód. Na rozdíl od klientů bez George klíče, kteří si nyní pro přihlášení do digitálního bankovnictví musí pamatovat osmimístný kód a heslo a každé přihlášení i platbu musí potvrdit přepsáním číselného kódu z SMS, George klíč umožňuje přihlášení k účtu potvrdit pouze biometricky otiskem prstu nebo rozeznáním tváře a stejně tak platbu stačí jednoduše potvrdit biometricky. |
ČSOB | Banka zatím změny v ověřování nezavádí. V září ponechává současnou metodu ověřování internetových transakcí pomocí SMS jednorázového kódu. Zároveň pracuje na ověřování pomocí aplikace ČSOB Smart klíč, kterou však nasadí na začátku příštího roku. |
Equa bank | Při přihlášení do internetového bankovnictví budou klienti navíc kromě hesla zadávat autorizační SMS, pro aktivní operace, primárně platby a další nastavení, budou navíc kromě autorizační SMS zadávat heslo, které používali doteď pouze pro přihlášení. Při placení kartou budou muset platbu potvrdit ověřením přes mobilní aplikaci nebo pomocí E-PIN a autorizační SMS. E-PIN je nový kód, který se bude zadávat při aktivaci platební karty. E-PIN musí obsahovat čtyři až osm čísel a může být vyžadován platební bránou pro potvrzení platby vždy ještě s autorizačním SMS kódem. E-PIN je záložní varianta pro ty, kdo ještě nepoužívají mobilní aplikaci nebo nebudou v době ověření on-line. |
Fio banka | V případě plateb zadaných v internetovém či mobilním bankovnictví k žádným změnám nedochází. Již nyní se totiž klienti do svých aplikací přihlašují unikátním přihlašovacím jménem a heslem, přičemž pro potvrzení jednotlivých transakcí využívají buď kódy zaslané v SMS zprávě, nebo PIN či biometrickou autorizaci. Změna nastává v případě plateb u obchodníků na internetu. Zde budou muset klienti, kteří k autorizaci plateb využívají kódy zaslané v SMS zprávě, dodatečně u platby na internetu zadávat tzv. ePIN, který jim zobrazíme přímo v jejich aplikaci. |
Hello bank! | Zavádí pro klienty dvoufaktorové přihlášení do internetového bankovnictví či mobilní aplikace. Také potvrzování transakcí přes tyto platformy bude vyžadovat jeden krok navíc. Vždy bude potřeba použít heslo a autorizační SMS kód. |
Komerční banka | KB Klíč splňuje nové požadavky, klient vlastní telefon s aplikací, přihlásí se do aplikace pomocí PIN, otisku prstu nebo skenu obličeje. KB Klíč je aktuálně využíván pro oblast internetového bankovnictví KB, a to jak pro přihlášení, tak i pro potvrzování plateb a dalších operací. Klient, který nevyužívá KB Klíč nebo využívá jen tlačítkový telefon, bude nadále zadávat jednorázové heslo doručené v SMS a doplní jej bezpečnostním heslem pro internetové platby. |
mBank | Pro platby přes internetové bankovnictví se nic nemění. Ty budou autorizované standardně, tedy SMS kódem nebo mKlíčem, tedy mobilní autorizací. Klienti si mohou mKlíč aktivovat sami. Platby kartou na internetu banka zabezpečuje pomocí technologie 3D Secure 2.1, která vyhovuje parametrům silného ověření. Klienti, kteří nebudou využívat mobilní aplikaci či mobilní autorizaci, budou i nadále dostávat SMS s ověřovacím kódem, jejž bude nutné přepsat do internetového bankovnictví. |
Moneta Money Bank | Klienti budou v internetovém bankovnictví kromě zadání svého ID a hesla nyní povinně zadávat i kód ze SMS zprávy, tzv. mobilní klíč. Doposud mohli tuto ověřovací službu využít dobrovolně. V případech mobilního bankovnictví, kdy se naši klienti přihlašují prostřednictvím mobilního telefonu, bude touto kombinací otisk prstu společně s aplikací, nainstalovanou do konkrétního mobilního zařízení. U klientů, kteří „chytrý“ telefon nevlastní, pracuje banka na způsobech, jak docílit toho, aby byl proces ověřování internetových plateb bezpečný, ale zároveň také jednoduchý. Konkrétní možnosti nyní banka řeší s ČNB. |
Raiffeisenbank | Uživatel bude muset potvrzovat svou totožnost buď kombinací hesla, PIN nebo odpovědi na zvolenou otázku, nebo něčeho, co má u sebe (typicky mobilní telefon nebo token) a biometrického údaje, tedy otisku prstu, snímku obličeje, oční duhovky, rozpoznání hlasu. Na podzim banka zavede nový mobilní klíč, který bude splňovat požadavek na silnou autentizaci. Klient bude mít možnost si jako druhý faktor zvolit buď PIN, nebo biometrické ověření. |
Sberbank | Připravuje přechod stávajících karet na karty nové, které pro placení na internetu budou využívat i 3D Secure. V internetovém bankovnictví počítá s ověřováním, které bude využívat další ochranné prvky k ověření klientů. Jedná se o SMS, M-token či biometrické prvky. Klienti bez chytrého telefonu budou využívat ePIN v kombinaci s jednorázovým kódem zaslaným přes SMS, nicméně ještě přesnou podobu ověření řeší. |
Trinity | Provozuje sice internetové bankovnictví, platební karty ale zatím nenabízí. |
UniCredit Bank | V případě Smart klíče, který banka preferuje, je nově klientovi k dispozici možnost podepsání dvěma způsoby. Preferovaná varianta je „on-line“, kdy klientovi zasílá banka push notifikaci, kterou potvrdí zadáním PIN ve Smart klíči a tlačítkem OK v Online Bankingu. Klienti, kteří nemají chytrý telefon nebo nevyužívají mobilní aplikaci, mají k dispozici SMS klíč. V takovém případě nově zadávají statický bezpečnostní kód i pro vygenerování SMS klíče pro podpis. Při přihlašování k žádné změně nedošlo, klienti se dvoustupňovým zabezpečením (PIN a jednorázové heslo) již přihlašovali. |