Zaloguj się lub włącz wersję mobilną
StartDodaj artykułMoje artykułyMoje kontoSzukaj artykułówPomocKontakt

Kategorie

Strona PDFStrona HTML

Bankowość internetowa



ID artykułu: 86 / 37
URL: http://www.publikuj.org/86

Bankowość internetowa (internet banking) na świecie obecnie coraz częściej zastępuje lub uzupełnia dotychczas stosowane rozwiązania tak zwany bankowości domowej (home banking).

Home banking pozwala klientowi banku na dostęp do swojego konta bankowego przy użyciu modemu oraz dedykowanego oprogramowania, które łącząc się modemem bezpośrednio z serwerem banku (nie przez Internet) przesyła dane. Internet banking pozwala robić to samo bez użycia dedykowanego oprogramowania i potrzeby nawiązywania bezpośredniego połączenia z bankiem - dostęp do konta odbywa się poprzez Internet, za pomocą przeglądarki WWW. W Polsce mamy już kilka banków świadczące usługi z zakresu bankowości internetowej. Elektroniczna bankowość w Polsce rozwija się ostatnio bardzo dynamicznie, a na świecie stanowi już standard.

Jako pierwszy bank wirtualny zadebiutował w październiku 1998 roku Powszechny Bank Gospodarczy S.A. (od 1 stycznia 1999 włączony do banku Pekao S.A.). Przez ponad rok nie miał on żadnej konkurencji na rynku. Dopiero w listopadzie 1999 roku usługi internetowe zaoferował kolejny bank – BPH. O szybkość rozwoju tej dziedziny bankowości może świadczyć szybki wzrost ilości banków świadczących tego typu usługi. Już w listopadzie 2000 roku usługi bankowości internetowej świadczył mBank, będący częścią BRE Banku S.A. W kwietniu następnego roku podobne usługi zaoferował Volkswagen Bank Polska S.A., a miesiąc później dołączył Bankgesellschaft Berlin (Polska) S.A. z produktem pod nazwą Inteligo. Na polskim rynku działa jeszcze kilka tego typu banków, są to: PKO BP S.A., BZ WBK S.A., Fortis Bank Polska S.A., Lukas Bank S.A., Bank Handlowy S.A. – Citibank, Bank Śląski S.A. oraz powstały niedawno LG Petro Bank S.A. Oferta e-banków od samego początku wyróżniała się na tle konkurencji znacznie wyższym oprocentowaniem środków zgromadzonych na rachunku oraz zdecydowanie niższymi kosztami opłat, prowizji związanych z prowadzeniem rachunku i wykonywaniem na nich operacjami. W miarę upływu czasu banki wirtualne poszerzały zakres świadczonych usług o nowe produkty coraz bardziej zbliżając się pod tym względem do standardów wyznaczonych przez banki tradycyjne.

Chcąc zostać użytkownikiem systemu bankowości elektronicznej, trzeba oczywiście założyć sobie konto w wybranym banku. We wszystkich polskich e-bankach procedura założenia takiego konta wygląda podobnie, choć nie do końca. Typowy schemat polega na wypełnieniu formularza wniosku na stronie WWW, a następnie - po upływie określonego przez bank terminu, który może wynosić od kilku dni do kilku tygodni - udaniu się do wybranego przy składaniu wniosku oddziału banku dla podpisania umowy. Wraz z umową otrzymujemy wówczas wszelkie dane umożliwiające dostęp do konta, takie jak nazwa użytkownika, hasło i tym podobne Bank Pekao S.A. uruchomił specjalny oddział elektroniczny, w którym zakładane są „internetowe” rachunki. Tylko konta prowadzone w tym oddziale mogą być obsługiwane przez Internet. Tak samo sytuacja przedstawia się w największym polskim banku - PKO BP S.A. Przypadkiem skrajnym takiego rozwiązania jest niewątpliwie mBank. Bank ten w ogóle nie ma żadnych fizycznych oddziałów i prowadzone w nim rachunki obsługiwane są wyłącznie przez Internet oraz telefon. Inne podejście ma BPH S.A., traktuje on bankowość internetową jako dodatkowy, uzupełniający kanał dostępu do dotychczasowych rachunków, prowadzonych w dowolnych oddziałach banku, na równi z osobistą wizytą w oddziale czy zleceniami telefonicznymi.

Chyba nieodłącznym elementem kojarzącym się z naszymi pieniędzmi jest ich bezpieczeństwo. W przypadku banków wirtualnych najpowszechniejszą jest metoda autoryzacji, sprowadzającą się do podania loginu i hasła. Połączenie przeglądarki z serwerem banku jest szyfrowane protokołem SSL z 128-bitowym kluczem, tak więc podsłuchanie hasła w sieci jest niemożliwe. Można je jednak poznać na przykład przy użyciu konia trojańskiego zainstalowanego na komputerze użytkownika. Czasami można nawet odgadnąć hasło, gdyż wielu użytkowników stosuje je zbyt proste (na przykład z imionami członków rodziny, numery telefonów, i tym podobne). Konieczne jest więc zatem uzupełnienie systemu o jeszcze jakiś dodatkowy element pozwalający zweryfikować tożsamość użytkownika (wyjątkiem jest tu Handlobank, gdzie do autoryzacji używany jest tylko login i hasło). Bardzo często takim dodatkowym elementem jest token. Przeważnie urządzenia takie podobne są do małego kalkulatora lub breloczka. Urządzenia te, mogą działać na dwa sposoby. Prostsze tokeny generują tak zwane hasła jednorazowe - zmieniające się co kilkadziesiąt sekund ciągi cyfr, które wyświetlane są na wbudowanym w token wyświetlaczu. Cyfry te generuje generator pseudolosowy, zsynchronizowany z analogicznym generatorem znajdującym się w serwerze banku. Tylko wówczas, gdy na ekranie logowania wpiszemy prawidłowy dla danej chwili ciąg cyfr z tokena, zostaniemy wpuszczeni do systemu. Tokeny tego typu stosuje Lukas Bank. Bardziej skomplikowane tokeny wykorzystują tak zwaną metodę challenge-response, czyli „hasło-odzew”. Na klawiaturze takiego tokena musimy wpisać cyfry odczytane z ekranu monitora, a wyświetlacz tokena pokaże nam wówczas inny ciąg ośmiu cyfr, który musimy przepisać w odpowiednie pole strony WWW. Dopiero wtedy zostaniemy „wpuszczeni” przez system. Tego rodzaju tokenów używają między innymi Pekao S.A., PKO BP i WBK.

Część banków rezygnuje z dodatkowego wsparcia sprzętowego i opiera bezpieczeństwo na kryptografii realizowanej środkami programowymi. Do tej grupy należą BPH, Fortis Bank oraz LG Petro Bank S.A.. W przypadku BPH sytuacja wygląda następująco. Z serwera banku na nasz komputer załadowane zostają komponenty ActiveX, które generują parę kluczy szyfrowych RSA - publiczny i prywatny. Klucz prywatny zabezpieczany jest dodatkowo hasłem. Gdy po podpisaniu umowy logujemy się do serwera banku, po podaniu nazwy użytkownika i hasła serwer przesyła nam zabezpieczony klucz prywatny. Rezydujący w naszym komputerze komponent ActiveX przechwytuje ten klucz i pyta o hasło do niego. W przypadku podania niewłaściwego hasła klucz nie zostanie poprawnie zdekodowany i nie będzie on „pasował” do klucza publicznego znajdującego się na serwerze banku. Tylko gdy podamy prawidłowe hasło, będziemy mogli zalogować się do systemu i wykonywać operacje.

Inne rozwiązania bezpieczeństwa wykorzystywane są w mBank’u. Do rachunku eKonto wydawana jest eKarta - karta wirtualna sytemu Visa służąca do bezpiecznych płatności w sklepach internetowych. Karta ta nie może być wykorzystywana do płatności w tradycyjnym sklepie, czy w bankomacie. Chociaż ma ona formę plastikowej karty (jednak nie zawsze musi tak być, w niektórych bankach taka karta to ciąg cyfr, które należy wpisać podczas dokonywania transakcji) do wykonania transakcji wystarczy pamiętać numer karty, datę ważności i w przypadku niektórych sklepów poufny kod tak zwany CVV2, służący weryfikacji właściciela karty. Wirtualne zakupy przy użyciu eKarty są bardzo bezpieczne. Wartość transakcji nie może przekroczyć kwoty, jaką wcześniej zasilono kartę z rachunku eKonto. Procedura załadowania, jak i rozładowania karty jest bardzo prosta i można ją przeprowadzić bezpośrednio przed dokonaniem zapłaty. Niestety za wydanie i użytkowanie eKarty, w przypadku mBank’u trzeba zapłacić 20 złotych rocznie. Korzystając z serwisu internetowego mBanku, klient posługuje się swoim identyfikatorem i hasłem, które przesyłane są w formie zaszyfrowanej przy użyciu protokołu SSL ze 128 bitowym kluczem szyfrującym.

Dodatkową formą zabezpieczenia w mBanku (jak również w wielu innych bankach), szczególnie ważnych ze względu na bezpieczeństwo operacji, takich jak na przykład zdefiniowanie nowego przelewu, czy wykonanie przelewu na dowolny rachunek, są jednorazowe hasła dostępu. Hasła te znajdują się na specjalnej liście otrzymanej z banku. Dodatkowo zabezpieczeniem jest także identyfikacja połączenia komputera z bankiem za pomocą unikalnych plików „cookies”, czyli z języka angielskiego - ciasteczek. Ciasteczko to mała porcja informacji przechowywana w systemie klienta przez serwer sieciowy. Tylko ten serwer, który je umieścił powinien móc je odzyskać, a ciasteczko po pewnym czasie powinno stracić ważność (przeważnie jest to mniej niż rok). Ciasteczka mogą być szyfrowane lub nie. Mogą być również trwałe (to znaczy pozostawać po zamknięciu przeglądarki przez klienta), lub nietrwałe (nie są zapisywane na dysku, pozostają tylko w pamięci podczas otwarcia przeglądarki). W przypadku połączenia komputera z bankiem ciasteczka są nietrwałe. Ciasteczka mają szerokie zastosowanie jeśli chodzi o bezpieczeństwo. Mogą one dla serwera sieciowego wyśledzić wszystko. W naszym przypadku stosuje się je do śledzenia informacji uwierzytelniającej klienta. Jednakże mogą być również wykorzystywane przez firmę w celu śledzenia zamówienia podczas gdy klient wybiera różne produkty. Ma to miejsce w na przykład w niektórych księgarniach internetowych podczas wybierania pozycji książkowych. Jednak tu również istnieje pewne ryzyko. Dotyczy umożliwienia klientowi, lub komuś innemu posiadającemu dostęp do jego komputera, do wglądu w treść ciasteczka. Jeśli zawiera ono hasła lub inne informacje uwierzytelniające, może to pozwolić niepowołanej osobie na nieautoryzowany wstęp na stronę. Ciasteczka mogą zawierać również dane dotyczące zamówienia klienta (na przykład ilość i ceny), które również mogą ulec modyfikacjom (na przykład zmiana ceny). Jeśli w ciasteczka przechowywane są tego typu dane, po złożeniu zamówienia należy je ponownie sprawdzić. Jeśli informacje na temat klienta znajdują się w ciasteczku nietrwałym i nie zostają one zapisane na dysku systemowym klienta, jest możliwe uzyskanie dostępu przez hakera do danych poprzez atak man in the middle (ang. mężczyzna w środku). Intruz umieszcza system pośredniczący pomiędzy klientem, a serwerem i jest w stanie przechwycić ciasteczko. Jeśli jednak ciasteczko jest zaszyfrowane, przechwycenie go staje się niemożliwe.

Podstawową usługą oferowaną klientom indywidualnym przez Volkswagen Bank Polska S.A. jest Plus Konto. Identyfikacja klienta łączącego się z bankiem za pośrednictwem Internetu odbywa się poprzez wprowadzenie numeru rachunku, osobistego hasła oraz cyfr uzyskanych z elektronicznego tokena. Token stanowi generator haseł jednorazowych, które pojawiają się na jego wyświetlaczu urządzenia. Wykorzystanie takiego urządzenia w procesie uwierzytelniania klienta znacznie podnosi bezpieczeństwo systemu. Za używanie tokena bank pobiera opłatę roczną w wysokości 36 złotych. Ponadto, Volkswagen Bank dla zwiększenia bezpieczeństwa dokonywanych transakcji wykorzystuje nietrwałe pliki „cookie”, systemy firewall i mechanizmy zabezpieczeń baz danych. Sesja szyfrowana jest protokołem SSL w wersji 3.0 przy użyciu 128 bitowego klucza. Obok Internetu do konta mamy również dostęp poprzez automatyczny system telefoniczny.

W przypadku Bankgesellschaft Berlin Polska SA wirtualna usługa nazywa się Inteligo. Połączenie klienta z bankiem jest zabezpieczone protokołem SSL w wersji 3.0, wykorzystującym klucz o długości 128 bitów. Klient logując się na serwerze podaje swój identyfikator i hasło. Ponadto dysponuje kartą kodów, będącą odpowiednikiem listy haseł jednorazowych w mBanku. Karta ta zawiera listę jednorazowych kodów umożliwiających dokonywanie transakcji na rachunku. Kody które jeszcze nie zostały wykorzystane, przykryte są specjalną warstwą zabezpieczającą. Dzięki temu prostemu rozwiązaniu osoby postronne nie mają możliwości podejrzenia kodu, a ewentualna próba starcia w tym celu warstwy zabezpieczającej będzie widoczna dla właściciela konta. Do konta również możemy się dostać łącząc się z automatycznym serwisem, a także korzystając z technologii SMS, czy systemu WAP.

Dwa lata temu, kiedy w Polsce po raz pierwszy pojawił się bank wirtualny wielu z nas nie sądziło, że technologie i rozwiązania rodem z filmów amerykańskich przyjmą się w Polsce. Faktem jest również to, że wciąż stosunkowo niewielka część Polaków ma dostęp do Internetu, a sam koszt połączenia z siecią także nie należy do najtańszych. Kolejna barierą jest bezpieczeństwo. Polacy wciąż nie mają przekonania, że dysponowanie środkami na koncie w banku za pośrednictwem komputera czy telefonu komórkowego może być tak samo bezpieczne, jak te w których pieniądze można pobrać okazując dowód osobisty w okienku bankowym. Należy jednak podkreślić, że coraz więcej osób interesuje się bankowością elektroniczną.

 Opcje
Aktywacja: 19/06/08 07:24, odsłony: 1679
Słowa kluczowe: ciasteczka, tokena, cyfr, bankowość, banking, ciasteczko, protokołem, jednorazowych, token
 Zamknij Ta strona korzysta z plików cookies w celu realizacji usług i zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce, kliknij tutaj aby dowiedzieć się więcej.