" Jedną z barier rozwoju bankowości elektronicznej (w tym
bankowości internetowej) jest przekonanie klientów, iż jest ona mniej
bezpieczna niż bankowość tradycyjna. Banki robią więc wszystko, by zapewnić
klientów, że ich pieniądze na rachunkach internetowych są bezpieczne... jak
w banku. ROR to nie konto poczty elektronicznej - do jego zabezpieczenia nie
wystarczą login i hasło. Gdyby komuś udało się zdobyć te dane mógłby zrobić
nam sporo zamieszania na rachunku. Po to właśnie wprowadzono dodatkowe
zabezpieczenia w postaci kart haseł jednorazowych (TAN) oraz tokenów.

Zarówno karty TAN, jak i tokeny dostarczają użytkownikowi
unikalnych haseł, którymi trzeba potwierdzać niektóre operacje (np. przelew
na dowolny rachunek). Karty TAN to znacznie tańsze i prostsze rozwiązanie.
Są one stosowane przez banki internetowe - mBank i Inteligo. W mBanku lista
haseł jednorazowych to papierowa karta zwierająca pięćdziesiąt, 5-cyfrowych
kodów. Karta TAN Inteligo ma natomiast postać bardziej dyskretnej zdrapki.
TAN-y mają jedną poważną wadę - jeśli dostaną się w niepowołanie ręce mogą
zostać praktycznie bez przeszkód wykorzystane.

Inaczej jest w przypadku większości tokenów. Urządzenia takie
wydaje w Polsce pięć banków: PKO BP, Pekao, BZ WBK, Lukas Bank i Volkswagen
Bank direct. Tokeny dwóch ostatnich banków różnią się zdecydowanie od
urządzeń oferowanych przez trzy pierwsze. Przede wszystkim nie są one
chronione PIN-em. Po włączeniu zaczynają generować jednorazowe, 6-cyfrowe
hasła z częstotliwością co 60 sekund. Haseł tych można używać do logowania
lub potwierdzania niektórych operacji. Tokeny te to w praktyce elektroniczna
wersja karty TAN - ponieważ nie są chronione dodatkowym hasłem może z nich
skorzystać każdy.

Znacznie bezpieczniejszym rozwiązaniem są tokeny oferowane przez
PKO BP, Pekao i BZ WBK. Urządzenia te chronione są kodem PIN (po trzykrotnym
wprowadzeniu błędnego kodu token zostaje zablokowany). Dzięki temu w
niepowołanych rękach stają się praktycznie bezużyteczne. Także jednak tokeny
tych trzech banków różnią się między sobą. Najbardziej zaawansowanym
urządzeniem wydaje się być token PKO BP. Bank udostępnia go klientom, którzy
zdecydują się założyć rachunek e-Superkonto w oddziale internetowym banku -
e-PKO (podobnie jak w Eurokonto WWW Pekao jest to konto odrębne od rachunku
tradycyjnego). Przed użyciem tokena należy wpisać (podobnie jak w Pekao i BZ
WBK), 6-cyfrowy kod PIN. Urządzenie wykorzystuje się obsługując rachunek nie
tylko przez Internet, lecz także WAP i telefon (usługa Voice).

Token PKO BP wyróżnia się także tym, że pracuje w dwóch trybach:
synchronicznym i asynchronicznym. Pierwszy tryb polega na tym, że urządzenie
generuje unikalny kod niejako z własnej inicjatywy, podczas gdy w przypadku
trybu asynchronicznego kod generowany jest w odpowiedzi na pytanie
postawione przez system banku. Wygenerowana przez token odpowiedź składa się
z sześciu znaków - liter i cyfr. Dzięki temu logowanie do systemu jest
wyjątkowo bezpieczne. W trybie synchronicznym token pracuje podczas obsługi
rachunku przez telefon, a w trybie asynchronicznym, gdy korzystamy z dostępu
przez Internet lub WAP. Tokeny Pekao i BZ WBK pracują natomiast w wyłącznie
w trybie synchronicznym. Kryptografia asynchroniczna (asymetryczna) to w tej
chwili najbardziej pewny sposób weryfikacji tożsamości klienta. Może o tym
świadczyć jej wykorzystanie przy tworzeniu systemu podpisu elektronicznego,
który wkrótce zacznie funkcjonować w Polsce.

Za wyższy poziom bezpieczeństwa trzeba oczywiście zapłacić. W
Lukas Banku za wydanie i użytkowanie tokena zapłacimy rocznie 30 zł (Konto
Standard, e-Konto), a posiadaczom e-Konta Pro jest on wydawany bez opłat.
Volkswagen Bank pobiera za token 36 złotych rocznie (dotyczy to klientów
korzystających z obsługi internetowej e-direct). W BZ WBK za wydanie tokena
zapłacimy jednorazowo 25 zł (Konto24 Plus), a posiadaczom rachunku Konto24
Prestiż wydawany jest on bezpłatnie. Tokena należy pilnować - każdy kolejny
kosztuje już 100 zł.

W Pekao opłata za token wliczona jest w opłatę za prowadzenie
rachunku (6 zł miesięcznie). Następny token kosztuje tyle samo co w BZ WBK,
czyli 100 zł. Podobnie jest w PKO BP. Wydanie i użytkowanie pierwszego
tokena jest bezpłatne, a każdy następny kosztuje już 200 zł. Za prowadzenie
e-Superkonta zapłacimy 9 zł miesięcznie."

Za expander.pl

do góry

Użytkownik "minik" (....)
> Token PKO BP wyróżnia się także tym, że pracuje w dwóch
trybach:
> synchronicznym i asynchronicznym. Pierwszy tryb polega na tym, że
urządzenie
> generuje unikalny kod niejako z własnej inicjatywy, podczas gdy w
przypadku
> trybu asynchronicznego kod generowany jest w odpowiedzi na pytanie
> postawione przez system banku. (.....)
> Kryptografia asynchroniczna (asymetryczna) to w tej
> chwili najbardziej pewny sposób weryfikacji tożsamości klienta. Może o
tym
> świadczyć jej wykorzystanie przy tworzeniu systemu podpisu
elektronicznego,
> który wkrótce zacznie funkcjonować w Polsce.

wydaje mi sie ze autorowi sie cos pomylilo i zbytnio zasugerowal sie nazwa
obu trybow pracy tokena. Do pracy w trybie pytanie/odpowiedz nie trzeba
zadnej kryptografi asymetrycznej - wrecz przeciwnie to samo pytanie jest
przeksztalcane na odpowiedz przez token i przez komputer w banku
internetowym, a wiec w obu miejscach musi byc uzywany ten sam klucz
szyfrujacy.
Sam widzialem kiedys proces wpisywania klucza do tokena i wybor algorytmu -
to samo mial serwer autentykacyjny banku, ktory uzywal trybu pytanie /
odpowiedz do logowania.

> Za wyższy poziom bezpieczeństwa trzeba oczywiście zapłacić.
(.......) Podobnie jest w PKO BP. Wydanie i użytkowanie pierwszego
> tokena jest bezpłatne, a każdy następny kosztuje już 200 zł.

autor zaczal od wyliczen 36 zl rocznie a skonczyl na 200 - pominal z
litosci lub niewiedzy Nordea Bank Polska, ktory zyczy sobie 240 zl za token
w pierwszym roku - dalej bezplatny
- 12 rat po 20 zl nawet jak zamkniesz konto ;-))
*** blad ***

do góry

> autor zaczal od wyliczen 36 zl rocznie a skonczyl na 200 - pominal z
> litosci lub niewiedzy Nordea Bank Polska, ktory zyczy sobie 240 zl za token
> w pierwszym roku - dalej bezplatny
> - 12 rat po 20 zl nawet jak zamkniesz konto ;-))

Pominal takze Integrum BGZ, ktore wydaje swoj token za darmo.

pozdrawiam
maksymilian


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

ciekawe dlaczego expander.pl tak dokladnie pisze o pkobp ;)
... moze pan blad nam powie ... :)

do góry

Użytkownik <m...@p...onet.pl>
> > autor zaczal od wyliczen 36 zl rocznie a skonczyl na 200 - pominal z
> > litosci lub niewiedzy Nordea Bank Polska, ktory zyczy sobie 240 zl za
token
> > w pierwszym roku - dalej bezplatny
> > - 12 rat po 20 zl nawet jak zamkniesz konto ;-))
>
> Pominal takze Integrum BGZ, ktore wydaje swoj token za darmo.

fakt - nawet go mam ale nie jestem pewien czy to nie jest przedluzenie
kolejnej promocji ta darmowosc
*** blad ***

do góry

Użytkownik "bestuser"
> ciekawe dlaczego expander.pl tak dokladnie pisze o pkobp ;)
> ... moze pan blad nam powie ... :)

Jakby expander zaczal najezdzac na pkobp, to jak ich znam zaraz poprosili
by wlasciciela firmy o zajecie sie autorami "paszkwili" ;-))

Kiedys tak zadzialali gdy ja, jako ich wlasny klient smialem im
zaproponowac udoskonalenie interfejsu klienta e-pko i to nie na forum
publicznym tylko w korespondencji do e-pko - glupota, no nie?
A niech sobie nie udoskonalaja ;-))
*** blad ***

do góry

> > autor zaczal od wyliczen 36 zl rocznie a skonczyl na 200 - pominal z
> > litosci lub niewiedzy Nordea Bank Polska, ktory zyczy sobie 240 zl za
token
> > w pierwszym roku - dalej bezplatny
> > - 12 rat po 20 zl nawet jak zamkniesz konto ;-))
>
> Pominal takze Integrum BGZ, ktore wydaje swoj token za darmo.
>
Warto chyba rowniez zwrocic uwage na to iz w przypadku tokenow takich jak w
Lukasie i VWB do poprawnej autoryzacji również potrzebny jest pin. W tych
tokenach pinu nie podaje się bezpośrednio w urządzeniu tylko razem z
aktualnym wskazaniem wpisuje na stronie. Poza tym jakby na to nie patrzeć są
najmniejsze :))

Pozdrawiam
Piotr

do góry

Użytkownik "Piotr" <m...@p...onet.pl> napisał w wiadomości
news:a95dh0$q9k$1@news.tpi.pl...
> > > autor zaczal od wyliczen 36 zl rocznie a skonczyl na 200 - pominal z
> > > litosci lub niewiedzy Nordea Bank Polska, ktory zyczy sobie 240 zl za
> token
> > > w pierwszym roku - dalej bezplatny
> > > - 12 rat po 20 zl nawet jak zamkniesz konto ;-))
> >
> > Pominal takze Integrum BGZ, ktore wydaje swoj token za darmo.
> >
> Warto chyba rowniez zwrocic uwage na to iz w przypadku tokenow takich jak
w
> Lukasie i VWB do poprawnej autoryzacji również potrzebny jest pin. W tych
> tokenach pinu nie podaje się bezpośrednio w urządzeniu tylko razem z
> aktualnym wskazaniem wpisuje na stronie. Poza tym jakby na to nie patrzeć
są
> najmniejsze :))

Ale to jest PIN do konta nie do tokena. Autor pisal o tokenach i dobrze
napisal, ze w tych bankach tokeny nie sa zabezpieczone. Przeciez nie
napisal, ze konta nie sa zabezpieczone.
Np. w PKO BP dostep do konta tez wymaga podania hasla, ale niezaleznie od
tego dostep do tokena wymaga odrebnego hasla.

--
Pozdrowienia
---
Slawek Kos --> s...@i...net.pl

do góry

Użytkownik "Slawek Kos" <
> Ale to jest PIN do konta nie do tokena. Autor pisal o tokenach i dobrze
> napisal, ze w tych bankach tokeny nie sa zabezpieczone. Przeciez nie
> napisal, ze konta nie sa zabezpieczone.
> Np. w PKO BP dostep do konta tez wymaga podania hasla, ale niezaleznie od
> tego dostep do tokena wymaga odrebnego hasla.

ale w e-Integrum kazda operacja finansowa wymaga dodatkowego potwierdzenia
tokenem a w e-pko jak juz raz wszedles to mozesz robic wszystko bez zadnych
kodow jednorazowych i tokenow.
To nie jest najlepszy pomysl, bo jak zmienisz witryne a sie nie wylogujesz
to mozna wrocic do twojego rachunku i kontynuowac sesje - rozne banki tak
mialy ale poprawily, a e-pko nic nie zmienil
*** blad ***

do góry

minik wrote:

> Inaczej jest w przypadku większości tokenów. Urządzenia takie
> wydaje w Polsce pięć banków: PKO BP, Pekao, BZ WBK, Lukas Bank i Volkswagen
> Bank direct. Tokeny dwóch ostatnich banków różnią się zdecydowanie od
> urządzeń oferowanych przez trzy pierwsze. Przede wszystkim nie są one
> chronione PIN-em. Po włączeniu zaczynają generować jednorazowe, 6-cyfrowe
> hasła z częstotliwością co 60 sekund. Haseł tych można używać do logowania
> lub potwierdzania niektórych operacji. Tokeny te to w praktyce elektroniczna
> wersja karty TAN - ponieważ nie są chronione dodatkowym hasłem może z nich
> skorzystać każdy.

Zapomnieli dodać, że tokeny RSA SecurID nie są chronione PIN-em bo i po
co ? 6 cyfr generowanych przez token nie jest jeszcze hasłem dostępu. Te
6 cyfr trzeba poprzedzić 4 cyfrowym PIN-em i tak zbudowane 10 cyfrowe
hasło jest dopiero hasłem dostępowym. Zagubienie tokena nawet jeżeli
wiadomo nawet jaki jest identyfikator ( login ) klienta i tak nie
umożliwi dostępu do konta.

pzdr

do góry