Gdy przeczytałem ostatnio w Dzienniku Internautów o „inteligentnym” sposobie autoryzacji internetowych przelewów w ING Banku Ślaskim podziękowałem Bogu, że nie mam tam konta.
Sprawa pokrótce wygląda tak – panowie z ING w poszukiwaniu oszczędności zaczęli jak zwykle od klienta i wymyślili sobie, że jednak nie będą za każdym razem wysyłać do niego SMS-a, gdy ten będzie chciał dokonać przelewu do odbiorcy niezdefiniowanego. SMS z kodem autoryzacji zostanie wysłany tylko wtedy, kiedy wysoce zaawansowany i tajny algorytm opracowany przez ING o tym zadecyduje. Algorytm podobno się „uczy”, analizuje historię przelewów, ich kwoty, odbiorców itp. Oczywiście wszystko – jak marketingowo tłumaczy ING – w trosce o wygodę klientów i przy zachowaniu niezmienionego poziomu bezpieczeństwa. Jak twierdzi rzeczniczka banku:
Bank na bieżąco śledzi trendy zagrożeń dla usług bankowości internetowej i bazując na tej wiedzy okresowo dostosowuje reguły oceny poziomu ryzyka. Przyjęte podejście (…) jest zgodne z najnowszymi światowymi trendami w dziedzinie bezpieczeństwa transakcji internetowych.
Niezależnie od tego, co mówi bank i cytowani przez niego „niezależni” eksperci, dla każdego trzeźwo myślącego człowieka jest oczywistą oczywistością, że takie rozwiązanie wpływa znacząco na obniżenie poziomu bezpieczeństwa. Otóż, jeśli ktoś włamie się nam na takie konto istnieje prawdopodobieństwo, że uda mu się przelać część środków na dowolny rachunek bo system nie będzie wymagał SMS-owego kodu.
Chcę zaznaczyć, że sam feature inteligentnego wysyłania SMS-ów mi się podoba ale pod jednym koniecznym warunkiem – jest to opcja do wyboru przez klienta! Czyli loguje się na konto i widzę np. coś takiego:
Z tym, że co najsmutniejsze – jeśli jesteś klientem ING jesteś „z urzędu” skazany na nowy system! No cóż, życie to sztuka wyboru – jak widać w ING ktoś dokonał tego wyboru za klientów.
Na zakończenie, trochę abstrahując od tematu chciałbym powiedzieć, dlaczego uznaję wyższość haseł jednorazowych nad hasłami SMS:
- telefon może się np. zalać
- telefon może nie być w zasięgu sieci
- sieć może być obciążona i nie dostarczać SMS-ów
A papier? Jak mówią – papier zniesie wszystko i nie jest elektronicznym urządzeniem podatnym na usterki. Jedyne o czym trzeba pamiętać, to to aby mieć go przy sobie.
Bank nie moze tak tworzyc sobie dowoli opcji zwiazanych z bezpieczenstwem, bo musieliby uswiadamiac czym one sie roznia, jak wplywaja na poziom bezpieczenstwa. Do tego sami by nie wiedzieli jak dobrze zabezpieczone konta maja klienci.
Ps. Papier tez moze zostac zalany. Kody nosisz ze soba? Dla przelewow w dowolnej chwili smsy sa lepsze, jak dla mnie
Nie wyobrażam sobie w ogóle autoryzacji poprzez SMS! Kartę kodów zawsze mam przy sobie i raczej nie jest podatna na zalanie (plastik!) a telefon? Różnie bywa.. Jak nie zasięg to sieć, jak nie sieć to bateria..
Ja właśnie dlatego zmieniłem bank na ING: 1) Brak tych chorych zdrapek, kodów itp. które walały mi się po szufladzie i czasem ginęły. 2) Autoryzacja SMS.
Poza tym o co się martwisz? Że ktoś się włamie i zrobi przelewy na Kajmany? Od tego jest ubezpieczenie. Tak jak w przypadku kradzieży karty bank zwraca środki.
Nie ma co się zamartwiać ;)
bank zwraca środki… może, ale ile to trwa? w Inteligo już 3 miesiąc… “procedury”