Zdrapki, tokeny, kody SMS i powiadomienia w aplikacji – metody autoryzacji transakcji dawniej i dziś

Michał Radzimiński
Michał Radzimiński
Analityk produktów finansowych
Michał Radzimiński
Michał Radzimiński
Analityk produktów finansowych

65 publikacji 1178 komentarzy

Doświadczony recenzent i tester, a przede wszystkim aktywny użytkownik wielu aplikacji bankowych i rozwiązań fintechowych. Od 6 lat odpowiada przede wszystkim za tworzenie treści związanych z nowinkami technologicznymi w finansach. Jednocześnie śledzi działalność podmiotów funkcjonujących na rozkwitającym rynku płatności odroczonych. Do każdej nowości w finansach podchodzi z ciekawością, ale przede wszystkim krytycznie.


14 komentarzy Zdrapki, tokeny, kody SMS i powiadomienia w aplikacji – metody autoryzacji transakcji dawniej i dziś
Spis treści

Ewolucja dostępnych metod autoryzacji dobrze oddaje priorytety, która napędzają zmiany w technologiach bankowych. Jednym z nich jest niewątpliwie wygoda, drugim, równie ważnym – bezpieczeństwo.

Na początku zabierzemy Was w podróż w czasie, choć przeszłość, o której piszemy, nie jest wcale tak odległa…

Ani wygodnie, ani bezpiecznie – zdrapki i tokeny

Z perspektywy czasu o sposobach zatwierdzania transakcji, które okres swojej świetności przeżywały kilka lub kilkanaście lat temu, z pewnością nie można było powiedzieć, że zapewniały klientom komfort oraz bezpieczeństwo. Przede wszystkim popularne niegdyś karty kodów jednorazowych i tokeny sprzętowe trzeba było mieć przy sobie zawsze, gdy zlecaliśmy przelew.

Karta kodów jednorazowych w Pekao S.A.
Metody autoryzacji transakcji. Karta kodów jednorazowych (Bank Pekao S.A.)

W przypadku zdrapek często konieczne było również przewidywanie, kiedy skończą nam się jednorazowe kody i zamówienie kolejnej karty z odpowiednim wyprzedzeniem (o ile bank nie śledził stanu liczbowego naszych kodów i sam z siebie nie wysyłał nowych).

Token w PKO BP
Metody autoryzacji transakcji. Token (PKO BP)

Ponadto istniały co najmniej dwa czynniki ewentualnego ryzyka związane z użytkowaniem kart i tokenów. Po pierwsze, mogły dość łatwo wpaść w niepowołane ręce. Po drugie (i chyba nawet ważniejsze), podczas pozyskiwania kodu klient nie otrzymywał informacji na temat zatwierdzanej transakcji. W konsekwencji zdecydowanie łatwiej niż dziś było o pomyłkę i zlecenie przelewu na błędną kwotę lub do niewłaściwego odbiorcy.

Ten ostatni mankament bywał zresztą wykorzystywany przez przestępców. Wystarczyło zainfekować komputer złośliwym oprogramowaniem i wysłać ofierze dane do przelewu, który w rzeczywistości okazywał się być transferem na znacznie wyższą kwotę. Nieświadomy oszustwa klient zatwierdzał operację, gdyż ani zdrapki, ani zwykłe tokeny sprzętowe nie informowały go o jej szczegółach.

Instrukcja obsługi tokena od PKO BP dla klientów firmowych, który działał w połączeniu z kartą z wbudowanym mikroprocesorem.
Metody autoryzacji transakcji. Instrukcja obsługi tokena (PKO BP)

Tokeny GSM – pierwszy krok ku dzisiejszym metodom autoryzacji

Małym przełomem w tym kontekście były tzw. tokeny GSM, które zaczęto proponować wraz z rozwojem technologii mobilnej. Tak samo jak token sprzętowy generowały one kody jednorazowe, tyle że z poziomu osobnej aplikacji na smartfona, działającej również bez dostępu do sieci.

Jeszcze do połowy sierpnia 2019 r. token w formie aplikacji był jedną z dostępnych metod autoryzacji oferowanych przez Bank Pekao (PekaoToken), podobnie zresztą jak karta kodów jednorazowych i token sprzętowy. Z kolei kilka tygodni po wycofaniu PekaoTokena identyczne narzędzie uruchomił mBank. Co ciekawe, mBank Token funkcjonuje jednocześnie z mobilną autoryzacją we “właściwej” aplikacji banku.

Przewaga tokena GSM nad poprzednikiem była dość oczywista – aplikacja dawała podgląd szczegółów transakcji, więc trzeba było być naprawdę roztargnionym lub nierozważnym, by zatwierdzić błędny lub „oszukany” przelew. Wadą była, rzecz jasna, konieczność instalowania osobnej aplikacji służącej tylko i wyłącznie do zatwierdzania operacji.

Obecne metody – kody SMS i powiadomienia w aplikacji

Mimo to należy przyznać, że tokeny GSM były jednym z pierwszych przejawów zbliżającej się wielkimi krokami dominacji technologii mobilnej w dziedzinie nie tylko autoryzacji transakcji, ale w bankowości w ogóle. W każdym razie każda nowa metoda autoryzacji była od tego momentu ściśle powiązana z naszym nieodłącznym towarzyszem, czyli telefonem komórkowym.

Kody SMS

Kolejna propozycja bankowców oparta była o kody autoryzacyjne wysyłane za pośrednictwem SMS. Ta metoda szybko zdobyła popularność i do dziś jest bodaj najpowszechniej stosowanym sposobem zatwierdzania operacji zlecanych w bankowości internetowej.

Po wypełnieniu danych potrzebnych do realizacji przelewu oczekujemy (choć to chyba zbyt duże słowo, zwykle trwa to bowiem ledwie kilka sekund) na SMS od banku, w którym znajdziemy szczegóły transakcji wraz z jednorazowym kodem służącym do jej autoryzacji. Wygląda on mniej więcej tak (poniżej przykład BNP Paribas):

Kod SMS
Metody autoryzacji transakcji. Kod SMS (BNP Paribas)

Jeszcze przed zatwierdzeniem przelewu możemy zatem upewnić się, że wskazaliśmy właściwego odbiorcę i kwotę transferu. W porównaniu z archaicznymi zdrapkami i tokenami jest to więc metoda bardziej odporna na ewentualne pomyłki wynikające chociażby z nieuwagi klienta. By zatwierdzić transakcję, wystarczy przepisać kod w odpowiednim polu w bankowości internetowej.

W przypadku tej metody wciąż istnieje jednak ryzyko, że SMS z kodem zostanie przechwycony przez malware, czyli złośliwe oprogramowanie lub padnie łupem oszusta, który wyrobi duplikat naszej karty SIM. W takiej sytuacji wystarczy, że przestępca uzyska dane do logowania w serwisie transakcyjnym, by mógł bez przeszkód pozbawić ofiarę wszelkich oszczędności. O najważniejszych zasadach bezpiecznego korzystania z bankowości przeczytasz tutaj.

Jak nietrudno się domyślić, wysyłanie wiadomości tekstowych za każdym razem, gdy chcemy zlecić przelew, oznacza dla banku niemałe koszty. Na szczęście w tym przypadku banki nie zrzucają ich na swoich klientów (a przynajmniej nie w bezpośredni sposób). Kody autoryzacyjne wysyłane w wiadomościach SMS w zdecydowanej większości banków są dla posiadaczy kont osobistych darmowe. Wyjątkiem jest wspomniany już Bank Pekao, który za każdy taki SMS pobiera opłatę 0,20 zł.

Mobilna autoryzacja

Chęć ograniczenia przez banki kosztów jest powodem, dla którego ochoczo wprowadzają i reklamują najnowszą metodę zatwierdzania operacji – mobilną autoryzację. Już teraz oferowana jest ona przez większość dużych banków, konkretnie przez:

  • Alior Bank,
  • Bank Pekao SA,
  • Bank Millennium,
  • BNP Paribas,
  • eurobank,
  • Getin Bank,
  • ING Bank Śląski,
  • mBank,
  • Nest Bank,
  • PKO BP,
  • Santander Bank Polska oraz
  • T-Mobile Usługi Bankowe.

Aby korzystać z mobilnej autoryzacji, należy ją aktywować w bankowości elektronicznej.

Na początku 2017 r. mobilną autoryzację jako pierwszy w Polsce zaproponował wszystkim swoim klientom mBank. Inne instytucje szybko poszły jego śladem, reklamując tę metodę jako najwygodniejszą i najbezpieczniejszą. Czy słusznie?

Zacznijmy od wygody. Aby zatwierdzić przelew w aplikacji, należy nacisnąć powiadomienie na ekranie smartfona, zalogować się, sprawdzić, czy dane transakcji się zgadzają i ją potwierdzić. Wystarczy więc kilka ruchów palcem. Pozbywamy się natomiast konieczności przepisywania kodu, podczas którego wzrok musi wędrować z telefonu trzymanego w ręce na ekran komputera przed nami.

Proces autoryzacji z poziomu aplikacji we wszystkich bankach przebiega bardzo podobnie. Dla przykładu podrzucamy Wam krótką instrukcję dla klientów PKO BP:

Dane przelewu w aplikacji przedstawione są zwykle w bardzo czytelny sposób. Poniżej przykładowa prezentacja szczegółów przelewu w aplikacji mBanku i ING Banku Śląskiego:

Mobilna autoryzacja
Metody autoryzacji transakcji. Mobilna autoryzacja (mBank i ING Bank Śląski)

A teraz kilka słów o bezpieczeństwie. Istotnie, to właśnie mobilna autoryzacja uważana jest przez ekspertów za najbezpieczniejszą obecnie metodę. Po pierwsze, wynika to z prostego faktu, że konieczne jest zalogowanie do aplikacji PIN-em (lub np. odciskiem palca), który w założeniu powinien znać tylko i wyłącznie jej użytkownik. Po drugie, powiadomienia, jak i cała komunikacja między bankowością internetową i mobilną, są szyfrowane, dzięki czemu przechwycenie danych przez złośliwe oprogramowanie jest znacznie utrudnione. Po trzecie – i tu wracamy do kwestii przejrzystości – łatwo wyłapiemy ewentualny błąd w danych transakcji.

Na dokładkę kolejna zaleta: mobilne zatwierdzanie operacji jest zawsze darmowe.

Kody SMS czy mobilna autoryzacja – którą metodę wybrać?

Najnowsze metody autoryzacji transakcji – kody SMS i mobilna autoryzacja – zdecydowanie górują nad dawnymi sposobami zatwierdzania operacji zlecanych w bankowości internetowej. Nie dość, że są darmowe (czego nie można powiedzieć o odchodzących do lamusa zdrapkach i tokenach sprzętowych), to do tego są wygodniejsze i mimo wszystko bezpieczniejsze od poprzedników.

Zastanawiasz się, którą z dwóch metod wybrać? Zbierzmy przedstawione wcześniej informacje i porównajmy je właśnie pod kątem kosztu, wygody i bezpieczeństwa:

Kody SMS vs. mobilna autoryzacja
Kody SMS Mobilna autoryzacja
Koszt darmowe (wyjątek: Bank Pekao, 0,20 zł / szt.) darmowa
Wygoda (niezbędne czynności)
  1. Otwarcie wiadomości SMS w telefonie.
  2. Sprawdzenie poprawności danych dotyczących transakcji.
  3. Uważne przepisanie kilkucyfrowego kodu w bankowości internetowej.
  4. Zatwierdzenie operacji na ekranie komputera.
  1. Naciśnięcie powiadomienia na ekranie smartfona.
  2. Zalogowanie do aplikacji.
  3. Sprawdzenie poprawności danych dotyczących transakcji (bardziej czytelne niż w przypadku SMS-a).
  4. Zatwierdzenie operacji na ekranie smartfona.
Bezpieczeństwo
  • Ryzyko przechwycenia SMS-a przez złośliwe oprogramowanie (jeśli użytkownik zezwoli mu na dostęp do wiadomości).
  • Możliwe przechwycenie wiadomości z banku przez złodzieja dzięki duplikatowi karty SIM.
  • Niższe ryzyko ataku ze strony złośliwego oprogramowania (powiadomienia są szyfrowane).
  • Dodatkowe zabezpieczenie w postaci konieczności zalogowania do aplikacji.
Źródło: opracowanie własne

W starciu kodów SMS z powiadomieniami z aplikacji postawić należy na tę drugą metodę. Naszym zdaniem kliknięcie w powiadomienie, a następnie szybkie zalogowanie i zatwierdzenie transakcji, jest wygodniejsze od otwierania wiadomości SMS i ręcznego przepisywania kodu.

Za potwierdzaniem transakcji w aplikacji przemawia też fakt, że sposób prezentacji danych przelewu jest w tym przypadku bardziej czytelny i łatwiejszy do skanowania wzrokiem – jeśli popełniliśmy błąd w numerze konta lub kwocie, to wyłapiemy go łatwiej niż w SMS-ie, gdzie liczby i tekst „zlewają” się ze sobą. To jednak bardziej kwestia indywidualnych preferencji niż obiektywnej oceny.

Decydujące okazało się bezpieczeństwo. Choć żadna z metod nie gwarantuje 100-procentowej ochrony przed hakerem/złodziejem/oszustem, to mobilna autoryzacja jest jednak nieco bliższa ideałowi.

Nie jest jednak tak, że klienci, którzy mają do dyspozycji jedynie autoryzację kodami SMS, powinni drżeć ze strachu przed kradzieżą środków. Również tę metodę należy uznać za względnie bezpieczną, choć wskazane jest przestrzeganie elementarnych zasad zdrowego rozsądku. Niezależnie od wybranej metody autoryzacji zalecamy uważne sprawdzanie danych przelewu, korzystanie z ochrony antywirusowej, ostrożne przyznawanie aplikacjom dostępu do danych gromadzonych w telefonie, a także unikanie instalowania aplikacji z niepewnych źródeł. Pamiętaj, że nawet najdoskonalsza technologia może nie uchronić Cię przed problemami, jeśli nie zachowasz wystarczającej czujności!

Oceń artykuł
4.2
(5 ocen)
Aby oddać głos, wskaż odpowiednią liczbę gwiazdek.
Dziękujemy za Twój głos Dziękujemy za Twój głos

Komentarze

(14)
Sortuj odNajnowszych
  • Najnowszych
  • Najstarszych
Dodaj swój komentarz...
Z
Zofia
Gość

Wszystko proste gdy autoryzacja dotyczy operacji w komputerze. Mam problem z autoryzacją operacji, której muszę dokonać na smartfonie. Jak wpisać hasło SMS lub zalogować się do aplikacji mobilnej banku bez wychodzenia z aplikacji bieżącej.. Nikt nie potrafił mi do tej pory pomócj.

Odpowiedz

B
bankowicz
Gość
@Zofia

Jak masz telefon z Androidem i przychodzi SMS, to pojawia się powiadomienie i możesz je rozwinąć z paska powiadomień i spisać numer. Jeśli masz mobilną autoryzację, to pojawi się od razu odpowiednia opcja.

Odpowiedz

M
MaX
Gość

mobilna autoryzacja - metoda niemal doskonała... niemal. Jakiś czas temu znajoma ze względów bezpieczeństwa musiała zablokować i usunąć aplikację mobilną banku ze smarta. po przywróceniu ustawień fabrycznych w smartfonie przystąpiła do ponownego wgrania aplikacji mobilnej... no i tu zaczyna się urzekająca historia!! bez mobilnej autoryzacji (bo przecież telefon miała "czysty" nie mogła zrobić praktycznie nic z kontem ani na koncie (przez kompa też się nie można zalogować bo brak aktywnych urządzeń autoryzacji ;-) nawet wszelkie interwencje za pośrednictwem konsultantów banku nie działają jeśli nie możesz autoryzować swojego zgłoszenia. M_A_S_A_K_R_A. trzy dni wiszenia na telefonie żeby to odkręcić.

powodzenia!!!

Odpowiedz

Aldona Derdziak
Analityk produktów finansowych
@MaX

To istotnie spory problem przy czyszczeniu ustawień fabrycznych... Mój znajomy miał ten problem w PKO BP z IKO, ale przez telefon udało się wszystko bez problemu załatwić. Kojarzysz, w jakim banku Twoja znajoma miała takie kłopoty?

Odpowiedz

A
Andrzej
Gość

Dziś z perspektywy czasu i włamań na ogromną skalę naraz token sprzętowy już nie jest be.

Tak to jest gdy przedstawiciele banków nazywający siebie doradcami i fachowcami od zabezpieczeń twierdzą, że ich soft jest cacy zapominając, że android jest dziurawy.

Oczywiście robią to, ponieważ token sprzętowy to wydatki.



Odpowiedz

Krzysztof Duliński
Analityk produktów finansowych
@Andrzej

Token sprzętowy nie należy do najwygodniejszych rozwiązań. Bank musi zadbać o odpowiedni sprzęt i na ogół pobiera za to dość słoną opłatę. Z kolei klient musi pamiętać, by mieć token zawsze przy sobie i ponosi koszty "abonamentu" za token. W tej sytuacji osobiście nie dziwi mnie poszukiwanie innych metod autoryzacji. Ciekawym rozwiązaniem jest wykorzystywanie biometrii (zdjęcie twarzy, odcisk palca), bo pokonanie tego typu zabezpieczeń przez cyberprzestępców jest trudne.

Odpowiedz

D
Don Q.
Gość

Mam pytanie: w jaki sposób (w różnych bankach) aktywuje się autoryzację mobilną na następnym urządzeniu w przypadku braku możliwości skorzystania z poprzedniego (nie musi to nawet oznaczać jego utraty na skutek zagubienia lub kradzieży, przyczyną może też być np. jego awaria)?
Wydaje mi się, że to jest ciekawe zagadnienie, bo jeśli takiej aktywacji można dokonać przy użyciu kodu sms, to cała takie uwierzytelnianie jest warte.. tyle, co uwierzytelnianie sms. Jeśli natomiast niezbędna jest wizyta w oddziale, to jest to na tyle kłopotliwe, że też warto byłoby o tym informować...

Odpowiedz

Redakcja Moneteo
Redakcja Moneteo
@Don Q.

Mobilna autoryzacja działa tylko na jednym, wybranym przez użytkownika urządzeniu i ta zasada dotyczy każdego banku. Różnice rzeczywiście pojawiają się w kwestii sposobu aktywacji tej metody oraz zmiany urządzenia, ale nie spotkaliśmy się z sytuacją, by konieczna była do tego wizyta w oddziale.

Np. w mBanku, jeśli zainstalujemy aplikację na innym urządzeniu i aktywujemy dla niego mobilną autoryzację, to automatyczne nastąpi wyłączenie mobilnej autoryzacji na „starym” telefonie. Aktywacja następuje z wykorzystaniem kodu PIN służącego do logowania do aplikacji, nie SMS.

Z kolei w przypadku PKO BP, jeśli utraciliśmy telefon lub uległ on awarii, możemy w serwisie transakcyjnym iPKO wybrać nowe urządzenie służące do mobilnej autoryzacji. Tę operację musimy zatwierdzić kodem SMS (ew. można użyć karty kodów jednorazowych), a następnie zalogować się do aplikacji na nowym urządzeniu i potwierdzić aktywację mobilnej autoryzacji.

Informacje o tym, jak aktywować mobilną autoryzację lub zmienić służące do tego urządzenie są dostępne na stronach banków.

Odpowiedz

D
Don Q.
Gość
@najlepszekonto.pl

„Np. w mBanku [...] Aktywacja następuje z wykorzystaniem kodu PIN”
— ale w jaki sposób ustawić ten PIN (i aktywować aplikację)? Zapewne wymaga to użycia „mobilnej autoryzacji” lub... kodu sms.

Informacja o PKO BP jest bardzo cenna, oznacza to, że „mobilna autoryzacja” nie jest w żaden sposób bezpieczniejsza od kodów sms (w szczególności nie zabezpiecza przed kradzieżą na duplikat sim).

„Informacje o tym, jak aktywować mobilną autoryzację lub zmienić służące do tego urządzenie są dostępne na stronach banków”
— bzdura, może są wyjątki, ale zasadniczo banki nie podają szczegółów, np. w Millennium opisane jest to następująco:
„Ze względów bezpieczeństwa, jeżeli zmiana telefonu wymagała ponownej instalacji i aktywacji aplikacji mobilnej Banku Millennium, konieczne jest ponowne aktywowanie również Autoryzacji Mobilnej. Aby aktywować Autoryzację Mobilną w aplikacji, wejdź w Ustawienia na różowym pasku w menu po lewej stronie, wybierz Ustawienia aplikacji, następnie Autoryzację Mobilną i postępuj zgodnie ze wskazówkami na ekranie.”
Z takiej informacji nie dowiemy się, jak zabezpieczane jest ustawienie „autoryzacji mobilnej” na kolejnym urządzeniu (np. złodzieja, warto przypomnieć, że akurat w Millennium hasło do bankowości to tylko niemaskowane 8 cyfr, można je więc przechwycić bardzo łatwo).

Odpowiedz

Redakcja Moneteo
Redakcja Moneteo
@Don Q.

A zatem pozostaje dowiedzieć się, jak w konkretnym banku wygląda kwestia zmiany urządzenia służącego do zatwierdzania transakcji i samodzielne dokonać wyboru metody autoryzacji, którą uważamy za optymalną.

Odpowiedz

L
Leser88
Gość
@najlepszekonto.pl

W TMUB aktywacja apki na drugim urządzeniu wygląda tak:
1. Podajemy swój ID oraz PESEL.
2. Wpisujemy kod przysłany SMS.
3. Wpisujemy kod PIN używany w poprzedniej apce. Jeśli go nie pamiętamy to należy zadzwonić na infolinię. Taki twierdzi komunikat.

Po wykonaniu wszystkich trzech kroków otrzymujemy dostęp.

Odpowiedz

Redakcja Moneteo
Redakcja Moneteo
@Leser88

Dzięki za informacje

Odpowiedz

D
Don Q.
Gość
@Leser88

@Leser88, dzięki za sprawdzenie, czyli jest tak, jak się obawiałem — w kolejnym banku niby nowoczesne zabezpieczenie jest złudne, zupełnie nieodporne na metodę na duplikat sim po zdobyciu przez oszusta podstawowych danych o ofierze. Na infolinii pewnie pytają o coś tak prostego, jak np. nazwisko panieńskie matki; zresztą to właśnie o TMUB pisał kiedyś http://Niebezpiecznik.pl, oszust ukradł pieniądze zamykając konto ofiary właśnie przez infolinię:

Nieznani sprawcy wyczyścili konto oszczędnościowe pewnego klienta usług bankowych T-Mobile dostarczanych przez Alior Bank. Wystarczyło, że przestępcy odpowiedzieli przez telefon na kilka pytań.

Odpowiedz

Redakcja Moneteo
Redakcja Moneteo
@Don Q.

@Don_Q_de_la_Mancha:disqus Trzeba to przetestować, bo może TMUB uczą się na swoich błędach. Nie zakładajmy z góry, że wciąż mają takie same procedury, jak wcześniej.

O tym, że procedury się zmieniają świadczy choćby fakt, że wydanie duplikatów SIM nie jest już tak proste (http://m.in. Orange, Play), jak jeszcze rok temu. Co oczywiście nie znaczy, że ta metoda oszustwa została wyeliminowana. Jest po prostu trudniej.

Praktycznie niemożliwe będzie uzyskanie 100% bezpiecznej metody uwierzytelniania. Można jedynie zwiększać stopień bezpieczeństwa. Tak jest http://m.in. z autoryzacją mobilną, bo jednak ta rozmowa na infolinii przy odpowiednich procedurach banku zapewnia większy stopień bezpieczeństwa niż jej brak.

Odpowiedz