z dowolnego miejsca na Ziemi. Drugą



Podobne dokumenty
Wykorzystanie bankowości internetowej w zarządzaniu finansami przedsiębiorstw

System Bankowości Internetowej ABS 24 - AUTORYZACJA za pośrednictwem kodów SMS -

Bezpieczna bankowość ekonto24

Pierwsze logowanie do systemu I-Bank

Bezpieczeństwo usług oraz informacje o certyfikatach

PODRĘCZNIK OBSŁUGI BUSINESSNET

na dzień r. miesięcznie za każdy rachunek 15,00 zł kwartalnie

na dzień r.

MOJA FIRMA PLUS. bankowość elektroniczna dla małych i średnich firm

Bezpieczna bankowość efirma24

Bankowość Mobilna i Internetowa Szybko i prosto. Tradycyjna bankowość w nowoczesnym wydaniu

PŁATNOŚCI ELEKTRONICZNE I NIE TYLKO

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

1. Otwarcie rachunku bez opłat bez opłat bez opłat. 3 0,20 % nie mniej niż 1,50 zł - 3

Przewodnik użytkownika

Czym jest ING BankOnLine? Zamówienie i aktywacja. Logowanie i korzystanie

Instrukcja użytkowania KB tokena

Instrukcja aktywacji tokena w usłudze BPTP

Regulamin usług bankowości internetowej e-bank dla Posiadaczy rachunków bankowych w Banku Spółdzielczym w Nadarzynie

Bankowość internetowa

SGB. Spółdzielcza Grupa Bankowa

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP) 2. Rejestracja użytkownika przy użyciu hasła maskowalnego dla klientów

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Internetowa Obsługa Rachunku

PODRĘCZNIK OBSŁUGI BUSINESSNET

CO MOŻNA ZROBIĆ ZA POŚREDNICTWEM Usługi TeleBOŚ? PEŁEN WYKAZ FUNKCJONALNOŚCI

WSTĘP. Szanowni Państwo, Witamy bardzo serdecznie w gronie internautów, użytkowników systemów informatycznych przez Internet.

Obsługa rachunków oszczędnościowo-rozliczeniowych (ROR)

1. Otwarcie rachunku bez opłat bez opłat bez opłat. 3 0,20 % nie mniej niż 1,50 zł

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

INSTRUKCJA ZMIANY METODY AUTORYZACJI W SERWISIE KB24

Przewodnik dla Klienta

Załącznik Nr 2 do uchwały Zarządu Banku Spółdzielczego w Mławie Nr 76/2018 z dnia 08 listopada 2018 roku ROR PODSTAWOWY

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

Instrukcja instalacji oraz obsługi czytników i kart procesorowych dla Klientów SBI Banku BPH S.A.

R-ONLINE. Przewodnik po systemie bankowości internetowej R-Online.

Klawiatura. Klawisz Blokady. Klawisz Enter. Wyświetlacz. Klucz cyfrowy FAQ

Dokument dotyczący opłat

Instrukcja procesu aktywacji oraz obsługi systemu Banku Internetowego dla BS Mikołajki

na dzień r. Tryb pobierania opłaty miesięcznie za każdy rachunek naliczana od wypłacanej kwoty za każdy przelew za każdą dyspozycję

DOKUMENT DOTYCZĄCY OPŁAT

Jak się zalogować do Pocztowy24 Biznes

REGULAMIN ŚWIADCZENIA USŁUG SYSTEMU BANKOWOŚCI INTERNETOWEJ ecorponet przez Bank Spółdzielczy w Żaganiu

Komunikat. dla użytkowników Serwisu telefonicznego HaloŚląski. Obowiązuje od 15 maja 2017 r. ING BANK ŚLĄSKI

DOKUMENT DOTYCZĄCY OPŁAT

Obowiązuje od r.

KLIENCI INDYWIDUALNI

INSTRUKCJA INSTALACJI I AKTYWACJI KB TOKENA

przewodnik po płatnościach internetowych dla użytkowników kart płatniczych wydanych przez Euro Bank S.A.

Millenet to takie proste! 3. 5 kroków do systemu Millenet 4. Definiowanie telefonu dla H@sełSMS i aktywny dostęp do usługi 5

ROZDZIAŁ II - Rachunki bankowe i rozliczenia pieniężne 2.1 Klienci instytucjonalni Rachunki i rozliczenia złotowe

Tryb pobrania. od 13 do 26 lat ( uczeń, student) 1. Otwarcie rachunku bez opłat bez opłat bez opłat bez opłat

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

SET (Secure Electronic Transaction)

Przewodnik po usługach bankowości internetowej. bswschowa24

Pierwsze logowanie do systemu I-Bank

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP)

Rozdział 1. Obsługa rachunków rozliczeniowych:

Obsługa rachunków rozliczeniowych

Formularz identyfikacyjny osoby fizycznej

Informacja dodatkowa do Ogólnych warunków wydawania i użytkowania kart kredytowych ING Banku Śląskiego S.A. KOMUNIKAT

Formularz identyfikacyjny osoby fizycznej

Komunikat. dla użytkowników Serwisu telefonicznego HaloŚląski. Obowiązuje od 6 sierpnia 2018 r. ING BANK ŚLĄSKI

0,1 % max. 200 zł max. 200 zł max. 200 zł 4 Wypłaty gotówkowe, chyba że umowa stanowi inaczej naliczana od wypłacanej kwoty

Bank Spółdzielczy w Suszu Spółdzielcza Grupa Bankowa. Aplikacja mobilna. Nasz Bank. Przewodnik Użytkownika. system operacyjny Android

ROZDZIAŁ II - Rachunki bankowe i rozliczenia pieniężne 2.1 Klienci instytucjonalni Rachunki i rozliczenia złotowe

bzwbk.pl FORMUŁA NA KLIK w bzwbk24 internet

Bank Spółdzielczy w Gryfinie

Aplikacja mobilna Nasz Bank

Zastosowanie TI do wymiany informacji USENET. Technologia Informacyjna Lekcja 9

bzwbk.pl FORMUŁA NA KLIK w bzwbk24 internet

Informacja dodatkowa do Ogólnych warunków wydawania i użytkowania kart kredytowych ING Banku Śląskiego S.A. KOMUNIKAT

DOKUMENT DOTYCZĄCY OPŁAT

Przewodnik użytkownika dla usługi CUI Klient indywidualny. 2. Rejestracja użytkownika przy użyciu hasła maskowalnego dla klientów z autoryzacją SMS

Bank Spółdzielczy w Pucku

Obowiązuje od r.

ROZDZIAŁ II - Rachunki bankowe i rozliczenia pieniężne

INSTRUKCJA UŻYTKOWNIKA usługi ebanknet oraz Bankowości Mobilnej PBS Bank

Bank Spółdzielczy w Pucku. Wniosek o zmianę usług. Dane posiadacza rachunku/użytkownika. Numer rachunku. imię i nazwisko, adres /nazwa i siedziba

KOMUNIKAT dla Klientów Idea Bank SA korzystających z bankowości elektronicznej dla spółek z dnia r.

i-bank Mobile Banking INSTRUKCJA OBSŁUGI v3

Na dobry początek. PekaoBiznes24

BANKOWOŚĆ ELEKTRONICZNA DLA FIRM. BOŚBank24. iboss. Zasady bezpieczeństwa BOŚBank24 iboss.

ibosstoken Proces obsługi (wydawania, personalizacji i korzystania) Tokena mobilnego do systemu BOŚBank24 iboss

ROZDZIAŁ II - Rachunki bankowe i rozliczenia pieniężne 2.1 Klienci instytucjonalni Rachunki i rozliczenia złotowe

1. WSTĘP 2 2. BEZPIECZEŃSTWO DOSTĘPU I KOMUNIKACJI 3 3. BEZPIECZEŃSTWO ZLECEŃ 6 4. PROCEDURA AKTYWACJI LOGI SYSTEMOWE DALSZE INFORMACJE 11

Instrukcja Obsługi Tokena VASCO DP 280

INSTRUKCJA AKTYWACJI I INSTALACJI CERTYFIKATU ID

Taryfa prowizji i opłat

Informacja dodatkowa do Ogólnych warunków wydawania i użytkowania kart kredytowych ING Banku Śląskiego S.A. KOMUNIKAT

Bank Spółdzielczy w Pleszewie Spółdzielcza Grupa Bankowa

ROR Junior - prowadzone dla klientów do ukończenia 18 roku życia

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

DOKUMENT DOTYCZĄCY OPŁAT

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Rachunek bieżący dla przedsiebiorstw, spółek i spółdzielni

Transkrypt:

jacek szleszyński Kasa w Sieci Czasy, kiedy denerwowaliśmy się, stojąc w bankowej kolejce, mogą niedługo odejść w zapomnienie. Już dziś dzięki Internetowi operacje bankowe zajmują nam kilka minut, a dostęp do konta mamy o dowolnej porze i z każdego miejsca na świecie. To, że komputery wkradają się w każdą sferę naszego życia, stwierdziliśmy już dawno, a wszechobecność Internetu też już nikogo nie dziwi. Wszyscy przywykliśmy do poczty elektronicznej, stron WWW i możliwości szybkiej wymiany informacji. Postęp sprawia, że mamy do czynienia z ciągłym rozwojem technologii i niektóre rzeczy, dawniej nieosiągalne, dziś powoli dają się realizować. Tak też było w przypadku bankowości internetowej. Dzięki doskonaleniu i sukcesywnemu odtajnianiu technik kryptograficznych mamy dziś możliwość bezpiecznego zarządzania środkami pieniężnymi poprzez publiczną sieć komputerową, jaką jest Internet. Wolny dostęp tak nazywa się forma usług oferowanych przez niektóre banki, która polega na zapewnieniu klientowi dostępu do jego rachunku za pośrednictwem Internetu z wykorzystaniem przeglądarki WWW. Główną cechą tej usługi jest możliwość samodzielnego dokonywania na rachunkach niektórych operacji, takich jak przelewy, składanie zleceń stałych, zakładanie lokat lub zamawianie czeków i kart płatniczych. Globalny zasięg Internetu sprawia, że mamy dostęp do naszego rachunku bankowego z dowolnego miejsca na Ziemi. Drugą najważniejszą cechą tych usług jest możliwość korzystania z nich przez 24 godziny na dobę. Wszystkie operacje są jednocześnie poufne i bezpieczne, a bank ma gwarancję, że zostały one dokonane przez upoważnione osoby. Jest to możliwe dzięki użyciu zaawansowanych algorytmów kryptograficznych i nowoczesnych technik transmisji danych. Ich połączenie zapewnia mechanizmy bezpieczeństwa, chroniące przed dokonywaniem transakcji na rachunkach przez osoby niepowołane, uniemożliwiające wprowadzanie zmian w składane zlecenia w czasie transmisji oraz wyparcie się przez klienta transakcji. Na polskim rynku usług bankowych możliwość wykorzystania Internetu w celu dostępu do rachunku jest obecna od niedawna. W momencie powstawania tego artykułu zarządzanie kontem przez Sieć proponowało 7 banków, a niektóre zapowiadały rozszerzenie swojej oferty w niedługim czasie. Wziąwszy pod uwagę wymogi rynku i presję konkurencji, należy się spodziewać, że w niedalekiej przyszłości każdy bank uzna ten rodzaj usług za obowiązujący standard. Od czego zacząć Jeżeli mamy już konto, to powinniśmy sprawdzić, czy nasz bank oferuje usługi bankowości internetowej. Może w tym pomóc zamieszczona w tym artykule tabela, która zawiera podstawowe informacje o dostępnych operacjach i pozwala szybko zorientować się w cenach świadczonych usług. Aby móc korzystać ze zdalnego dostępu do rachunku, musimy oczywiście mieć także komputer z dostępem do Internetu (np. poprzez modem lub ISDN) oraz zainstalowaną przeglądarkę WWW. Mając tak skonfigurowany zestaw, możemy praktycznie od zaraz, nie ruszając się z domu, przystąpić do zarządzania kontem. Jeżeli nie mamy jeszcze nigdzie rachunku, to sprawa jest o wiele prostsza, ponieważ możemy wybrać sobie bank i w większości przypadków za pośrednictwem Internetu złożyć w nim wniosek o otwarcie konta. Kto lepszy Przez Internet możemy mieć dostęp do rachunku w bankach: Fortis Bank Polska SA, Handlobank, Lukas Bank SA, Bank Pekao SA, Bank Przemysłowo-Handlowy SA, Wielkopolski Bank Kredytowy SA oraz Podkarpacki Bank Spółdzielczy w Sanoku. W październiku br. dołączy do nich również Citibank. Przed dokonaniem wyboru banku warto sprawdzić, jak są chronione nasze oszczędności. 188

Wszystkie banki gwarantują bezpieczeństwo przesyłanych danych i wykorzystują do tego celu szyfrowanie transmisji, realizowane przez protokół SSL (Secure Sockets Layer). Jest to zestaw reguł i standardów umożliwiający przeglądarce internetowej bezpieczną wymianę zaszyfrowanych informacji z serwerem WWW z wykorzystaniem tzw. certyfikatów (patrz: Słowniczek). Zobaczmy zatem, co mają do zaoferowania banki swoim klientom-internautom? Fortis Bank Polska SA System bankowości internetowej Fortis Banku nosi nazwę Pl@net. Aby rozpocząć korzystanie z rachunku przez Internet, użytkownik musi złożyć za pośrednictwem przeglądarki WWW wniosek o jego otwarcie. W trakcie składania wniosku generowana jest para elektronicznych kluczy użytkownika. Klucz prywatny zostaje zaszyfrowany hasłem (podanym przez klienta) i zapisany na dyskietce, a klucz publiczny jest wysyłany na serwer. Po zgłoszeniu się w placówce klient otrzymuje na dyskietce wystawiony przez bank certyfikat, który zawiera wygenerowany w trakcie rejestracji klucz publiczny. Otrzymany certyfikat instaluje się w używanej przeglądarce. Po pozytywnej weryfikacji hasła użytkownik uzyskuje dostęp do informacji o swoich kontach. Funkcjonalność systemu mieści się w ramach usług standardowych (patrz: tabela Usługi banków ), a ponadto zapewnia możliwość definiowania przelewów z przyszłą datą realizacji oraz prowadzenia rachunków walutowych. Oprócz tego, że cała transmisja jest szyfrowana, również każda transakcja jest sygnowana podpisem elektronicznym klienta, generowanym lokalnie w środowisku przeglądarki przez aplet Javy. W trakcie podpisywania transakcji użytkownik musi podać hasło dostępu do swojego klucza prywatnego, który jest pobierany z dyskietki. Dzięki temu bank ma gwarancję, że podczas składania dyspozycji nikt inny nie podszywa się pod klienta. Po trzykrotnym błędnym podaniu identyfikatora lub hasła dostęp do systemu jest blokowany i w celu jego odzyskania wymagany jest kontakt z właściwym oddziałem Fortis Banku. Fortis Bank zapowiada, że we wrześniu rozszerzy swoją internetową ofertę, umożliwiając składanie wniosku o kredyt hipoteczny. Podsumowując ofertę Fortis Banku można polecić wymagającym klientom. Trzeba jednak zaznaczyć, że skierowana jest ona do osób o ponadprzeciętnych zarobkach, ponieważ obowiązujące, comiesięczne wpływy zasilające rachunek to 3 tys. zł. System Fortis Banku jako jedyny z obecnie dostępnych generuje podpis elektroniczny z wykorzystaniem klucza prywatnego, posiadanego tylko przez klienta. Z tego względu bezpieczeństwo systemu jest oceniane dobrze. Moc szyfrowania w przeglądarkach Bezpieczeństwo przesyłanych danych zależy od jakości zastosowanego algorytmu szyfrującego oraz od długości używanych kluczy. Warunkiem poufności jest utrzymanie tajności klucza prywatnego, dzięki czemu nawet znajomość samego algorytmu nie pozwoli na odtajnienie wiadomości. Teoretycznie każdy szyfr może zostać złamany. Prawdopodobne jest np. odgadnięcie klucza najprostszą z metod, czyli przez sprawdzanie każdej możliwej kombinacji bitów tworzących klucz. Jest to jedynie kwestia czasu i mocy obliczeniowej maszyn użytych do łamania szyfru. Dzięki dostępnym obecnie nowoczesnym komputerom wykazano, że szyfrowanie symetryczne przy użyciu 40-bitowego klucza, używane przy transmisji danych przez Internet, nie jest zbyt bezpieczne. Dopiero użycie 128-bitowego klucza gwarantuje wymagany poziom bezpieczeństwa. Z powodu ograniczeń prawnych dotyczących eksportowania oprogramowania szyfrującego poza Stany Zjednoczone i Kanadę dotychczas nie można było korzystać z wyższego poziomu zabezpieczeń poza tymi krajami. Przeglądarki dostępne na rynku europejskim mogły obsługiwać szyfrowanie oparte jedynie na 40-bitowych (lub 56-bitowych) kluczach. Dlatego na potrzeby takich instytucji jak banki stworzono standard Server Gated Cryptography (SGC). Jest on dostępny dla wybranych witryn na całym świecie i pozwala na przeprowadzanie transakcji szyfrowanych 128-bitowymi kluczami z wykorzystaniem przeglądarek standardowo dopuszczających jedynie szyfrowanie 40-bitowe. Płacimy jdnak za to koniecznością pilnowania dyskietek z certyfikatem i kluczem. Handlobank W banku tym możemy skorzystać z usługi HandloNET. Niestety, system nie pozwala na wypełnienie wniosku drogą elektroniczną. Dotyczy to zarówno założenia konta, jak i dostępu przez Internet. Jeżeli nie dysponujemy jeszcze otwartym rachunkiem w Handlobanku, to mamy do wyboru dwa warianty: osobiście otwieramy rachunek w jednym z oddziałów albo dzwonimy do tzw. TeleCentrum, aby wyrazić chęć otworzenia rachunku drogą klasycznej korespondencji (zamiast dzwonić, możemy w tym samym celu odwiedzić witrynę internetową banku). Gdy mamy już konto, to ponownie będziemy musieli pójść do oddziału banku lub zadzwonić do TeleCentrum i poprosić o udostępnienie rachunku przez Internet. W placówce od ręki wydawany jest identyfikator użytkownika i hasło potrzebne do korzystania z systemu. Po ich odebraniu zdalny dostęp mamy już na drugi dzień. Po pierwszym pomyślnym zarejestrowaniu się w systemie użytkownik musi Przeglądarki obsługujące jedynie 40-bitowe szyfrowanie dla certyfikatów SSL oraz 128-bitowe dla certyfikatów SSL/SGC to: Netscape Communicator 4.0, Sylaba Komunikator 4.07, Microsoft Internet Explorer 4.0 oraz ich nowsze wersje. Przeglądarki i dodatki obsługujące szyfrowanie oparte na 128-bitowym kluczu dla certyfikatów SSL oraz SSL/SGC to: Netsca pe Communicator 128-bit, oprogramowanie Fortify for Netscape (niestety, nieosiągalne jeszcze dla Sylaby) oraz Pakiet zaawansowanego szyfrowania (High Encryption Pack) dla Internet Explorera. Pełne szyfrowanie 128-bitowe jest także obsługiwane przez płatną przeglądarkę Opera (CHIP-CD 9/2000). Bezpieczne połączenie z witryną internetową za pomocą protokołu SSL jest sygnalizowane poprzez wyświetlenie symbolu zamkniętej kłódki na pasku stanu przeglądarki (w IE po prawej stronie, a w Netscape po lewej). W IE, klikając kłódkę, można zobaczyć certyfikat autentyczności witryny. W przeglądarce Netscape certyfikat zobaczymy, wybierając polecenie View Page Info. W Internecie dostępne są strony pozwalające przetestować obsługę szyfrowania przez przeglądarkę. Odwiedzając witrynę Fortify for Netscape (patrz: ramka Info), możemy się przekonać, czy nasza przeglądarka obsługuje 128-bitowe szyfrowanie w SSL. Test ten sprawdza możliwość obsługi pełnego szyfrowania 128-bitowego SSL, jednak nie informuje, czy przeglądarka obsługuje 128 bitów w SSL/SGC. zmienić hasło. Jeżeli wniosek złożymy za pośrednictwem TeleCentrum, to niezbędne dokumenty otrzymamy tradycyjną pocztą. HandloNET oferuje trzy profile dostępu do rachunku: Podgląd (dostępne tylko operacje pasywne), Własne konto ( Podgląd oraz operacje na koncie, np. zakładanie lokat) oraz 'Przelewy' (daje nam pełny dostęp do operacji, w tym przelewy do innych banków). W zestawie realizowanych usług zabrakło, niestety, możliwości składania wniosków o karty płatnicze oraz definiowania listy odbiorców przelewów. W zamian otrzymujemy jednak funkcje przelewów z przyszłą datą realizacji, zakładania zleceń stałych ze zmienną kwotą oraz tytułem płatności, prowadzenia rachunków walutowych oraz otwarcia nowego rachunku bieżącego. Procedura negocjacji połączenia odbywa się za pomocą protokołu SSL. Bank jednakże nie wymaga certyfikatu użytkownika, co sprawia, że cały system zabezpieczony jest wyłącznie jednym hasłem. Z tego powodu trzeba bardzo dbać o jego poufność i złożoność. Ważny jest fakt, że w razie kradzieży hasła konto można natychmiast zablokować, 190 189

kontaktując się z TeleCentrum. Przed włamaniem poprzez zgadywanie hasła chroni mechanizm blokowania dostępu po kilku nieudanych próbach jego wpisania. Wydaje się, że oparcie bezpieczeństwa systemu jedynie na haśle dostępu może rodzić zagrożenia, gdyż większość włamań do chronionych systemów odbywa się właśnie za pomocą skradzionych haseł. Zarówno z powodu braku podpisu cyfrowego, jak i braku dodatkowego silnego uwierzytelniania bezpieczeństwo systemu HandloNET (dla profilu Przelewy ) jest zagrożone. Lukas Bank SA Aby uzyskać dostęp do systemu Lukas e-bank, należy złożyć poprzez Internet odpowiedni wniosek. Jeżeli nie mamy jeszcze rachunku w Lukas Banku, to również przez Internet możemy poprosić o jego otwarcie. W trakcie wypełniania wniosku określamy limit kwotowy transakcji dokonywanych przez Sieć. Następnie musimy odwiedzić placówkę banku w celu otrzymania tokena (patrz: Słowniczek). Ponadto klient dostaje Instrukcję obsługi konta w banku internetowym, która oprócz opisu systemu zawiera również szczegółowe informacje, dotyczące sposobu konfiguracji przeglądarki WWW. Szyfrowane połączenie, podobnie jak w przypadku innych systemów bankowych, jest negocjowane z serwerem za pomocą protokołu SSL. Aby pomyślnie się zarejestrować i rozpocząć pracę, użytkownik musi podać znane tylko jemu informacje, tj. identyfikator (nadany przez Lukas e-bank) oraz klucz, czyli hasło razem z ciągiem cyfr aktualnie wskazywanym przez token. Taka metoda autoryzacji uniemożliwia podszycie się pod użytkownika, nawet gdy oszust ma do dyspozycji skradzione hasło i identyfikator. Na wyświetlaczu tokena co minutę pojawia się nowy, unikatowy, pseudolosowy, sześciocyfrowy ciąg cyfr (tzw. cardcode). Ciąg ten jest generowany na podstawie zapisanej w urządzeniu 64-bitowej wartości przyporządkowanej użytkownikowi (tzw. Centrum Usług Internetowych firmy Comp Rzeszów SA pozwala zobaczyć, jak funkcjonuje bank przez Internet. seed value) oraz stempla czasu (wewnątrz tokena pracuje zsynchronizowany z serwerem zegar, odliczający czas). Po otrzymaniu danych wprowadzonych przez użytkownika komponent na serwerze określa, czy dany ciąg odpowiada wartości uzyskanej przez system bankowy (dla tego tokena). Dzięki temu zarówno posiadacz innego tokena, jak i osoba próbująca oszukać system nigdy nie zarejestrują się pomyślnie w systemie. Podobnie należy podać klucz podczas dokonywania transakcji związanych ze zmianą salda konta. Błędne wprowadzenie jakiejkolwiek ze składowych klucza więcej niż 3 razy powoduje zablokowanie dostępu do rachunku. Można go odblokować telefonicznie lub osobiście odwiedzając placówkę banku. System oferował dotychczas niepełną listę standardowych operacji. Niedostępne były zlecenia stałe, które od października powinny już działać. Brakuje także możliwości korespondencji z bankiem, a zmiana hasła jest niewykonalna poprzez Internet i trzeba za nią zapłacić. Braki te rekompensuje możliwość zastrzegania kart płatniczych, kart identyfikacyjnych, dowodu oraz czeków, a także awizowania dużych wypłat gotówkowych i natychmiastowe wykonywanie zleconych w Internecie operacji. Mimo że użyty mechanizm gwarantuje wiarygodność oraz bezpieczeństwo wykonywanych transakcji (dzięki tokenowi), to ani zastosowany klucz, ani podpis elektroniczny tak naprawdę nie działają jak prawdziwe klucze i podpisy elektroniczne w kryptografii. Jednakże dzięki silnemu uwierzytelnianiu z tokenem zabezpieczenie operacji jest dobre. Bank Pekao SA Centrum Bankowości Elektronicznej banku Pekao SA nosi nazwę TELEPEKAO 24. Aby otworzyć w nim rachunek, należy wypełnić odpowiedni formularz na stronach internetowych banku. Po zaakceptowaniu wniosku klient jest zapraszany w ciągu 2 tygodni (lub 4 w przypadku wniosku o wydanie karty bankomatowej) do wybranej przez siebie placówki banku celem podpisania umowy oraz odebrania identyfikatora, hasła i tokena. Rachunek nosi nazwę Eurokonto WWW. Jest to rachunek bankowy, otwierany na nowo w Oddziale Elektronicznym Banku Pekao SA, i usługa ta nie daje nam możliwości korzystania z dostępu przez Internet do rachunków prowadzonych w innych placówkach banku. Konto ma pełny i niepowtarzalny numer, analogicznie jak w każdym klasycznym oddziale banku. Oznacza to, że jeżeli dysponujemy już zwykłym rachunkiem, to będziemy musieli z niego zrezygnować lub zlecić stałe przelewy na nowe konto celem zasilania go. Niedogodnością związaną z Eurokontem WWW jest też fakt, że stanowi ono odpowiednik zwykłego Eurokonta, a co za tym idzie nie oferuje ono dodatkowych zalet usług rozszerzonych, Słowniczek Certyfikat pełni funkcję elektronicznego dowodu osobistego i umożliwia ustalenie tożsamości instytucji lub osoby w Internecie. Mając własny certyfikat, można cyfrowo podpisywać wiadomości, a znając zawarty w nim klucz odbiorcy zaszyfrować dane tak, że tylko właściciel certyfikatu będzie mógł odczytać ich treść. Funkcja skrótu przekształcenie matematyczne wykorzystywane przy generowaniu podpisów cyfrowych. W wyniku przekształcenia wiadomości tą funkcją otrzymuje się tzw. skrót wiadomości, który jest z kolei szyfrowany za pomocą klucza prywatnego w celu uzyskania podpisu. Podpis cyfrowy polega na zaszyfrowaniu skrótu wiadomości kluczem prywatnym nadawcy. Weryfikacja podpisu jest dokonywana z użyciem klucza publicznego, za pomocą którego deszyfruje się podpis i porównuje wynik z wartością obliczoną funkcją skrótu na podstawie otrzymanych danych. Token urządzenie elektroniczne wspierające sprzętowo proces uwierzytelniania w celu dodatkowego zabezpieczenia operacji. Wyglądem przypomina mały kalkulator lub breloczek do kluczy i ma wyświetlacz ciekłokrystaliczny, na którym pokazywane są generowane ciągi cyfr. Klucze szyfrujące wartości liczbowe używane przy szyfrowaniu wiadomości. Szyfry niesymetryczne przy podpisach cyfrowych wykorzystują parę kluczy: prywatny/publiczny, natomiast szyfry symetryczne przy szyfrowaniu i deszyfrowaniu transmisji używają tylko jednego klucza. takich jak np. Eurokonto Plus czy VIP. Wygodniejsze może być posiadanie dwóch rachunków i rozsądny podział środków według własnych potrzeb. Szyfrowanie połączenia standardowo odbywa się poprzez protokół SSL. Aby rozpocząć pracę z systemem, należy podać identyfikator, hasło dostępu oraz ciąg cyfr wygenerowany przez token po wprowadzeniu danych wyświetlanych na stronie WWW. System banku Pekao SA realizuje standardowy zakres operacji i pozwala także na: dokonywanie przelewów do ZUS-u, złożenie wniosku o linię kredytową, podpisanie umowy kredytowej, zastrzeżenie kart płatniczych, udzielenie pełnomocnictwa, dokonanie zapisu na wypadek śmierci i zamiany na konto wspólne. Operacje dokonywane na rachunku są uwierzytelniane za pomocą tokena, który wyglądem przypomina mały kalkulator. Po wprowadzeniu na stronie danych dotyczących np. przelewu oraz hasła użytkownik zatwierdza operację i dane są wysyłane do serwera banku. System bankowy przetwarza 193 190

Bank Fortis Bank Handlobank Lukas Bank Bank Pekao BPH WBK Citibank 1 Usługa Pl@net HandloNET LUKAS e-bank TELEPEKAO 24 BPH Sez@m WBKonline CitiDirect Witryna WWW www.fortisbank.pl www.handlobank.pl www.lukas.pl www.pekao.com.pl www.bph.pl www.wbk.pl www.citibank.pl Dostępne operacje Składanie wniosku o dostęp przez Sieć niepotrzebne Wgląd w stan rachunku* Otwarcie nowego rachunku Historia operacji* Przelew na inny rachunek* Przelew na ZUS wkrótce Zakładanie/zrywanie zleceń stałych* od października Zakładanie/zrywanie lokat* Definiowanie listy odbiorców* Wnioski o karty płatnicze/czeki* Zastrzeganie kart płatniczych/czeków tylko czeki Korespondencja z bankiem* tylko e-mail Bezpieczeństwo Token Protokół SSL/SGC tylko SSL Zmiana hasła* telefonicznie, płatne (wymuszane co 3,50 zł (aktywne po (tylko do systemu; miesiąc) 12.00 następnego dnia) klucz można wymienić) Realizacj a przelewów na obce rachunki co dwie godziny co dwie godziny zlecenie złożone przed zmienione saldo zlecenie złożone od 8.00 do 17.00 zlecenia złożone przed (10.00, 14.00 i 16.00) (11.30, 15.30, 17.30) 11.00 w tym samym dostępne po 22.00, do 10.00 w tym natychmiast, 15.30 w tym samym dniu; lokaty po 22.00 widok online aktuali- samym dniu jednak przelew tani dniu zowany natychmiast następnego dnia Podstawowe opłaty Prowadzenie rachunku/mc 3, 5 lub 9 zł 0, 5 lub 7 zł 2,5 zł 1,5 zł 2,2 zł 3 zł 40 zł Dostęp przez Internet/mc 0 zł 0 zł 3,5 zł 6 zł 4 zł 0 zł Token 35 zł za rok 30 zł za rok 180 zł jednorazowo Przelew w placówce 3 zł 4 zł 2 zł 3 zł 3 zł 1,5 zł 0 zł Przelew przez Internet 1,5 zł 1 zł 1,5 zł 1 zł 0 zł 1,5 zł (lub tani: 0,5 zł) 0 zł Przelew ze zlecenia stałego 1,5 zł 0 zł bd 0,4 zł 0 zł Minimalne wpływy na rachunek/mc 3000 zł 0 zł 0 zł 500 zł 100 zł 0 zł 1500 zł Inne otrzymane dane i oblicza na ich podstawie wartość tzw. funkcji skrótu, którą wysyła w odpowiedzi do przeglądarki. Użytkownik odczytuje ciąg cyfr i wprowadza je do tokena, który szyfruje je i wynik pokazuje na wyświetlaczu. Unikatowy ciąg wygenerowany przez token jest wprowadzany na stronie i ponownie wysyłany do banku. System bankowy deszyfruje odpowiedź i po weryfikacji zatwierdza operację. Bank Pekao SA zapowiada wkrótce uruchomienie nowych usług bankowych, które pojawią się w systemie TELEPEKAO 24. Będą to m. in.: możliwość otrzymywania informacji o operacjach na rachunku na telefon komórkowy przez SMS, przelewy z odroczonym terminem realizacji oraz przelewy offline, czyli możliwość przygotowania zleceń przelewów przed połączeniem się z Internetem. Pomimo braku cyfrowego podpisu, podobnie jak w systemie Lukas e-bank, dzięki silnemu uwierzytelnianiu z tokenem (dodatkowo chronionym przez PIN) zabezpieczenie transakcji jest dobre. Bank Przemysłowo-Handlowy SA System BPH Sez@m otwiera się przed nami po złożeniu stosownego wniosku za pośrednictwem stron internetowych Banku BPH. Warunkiem podpisania umowy na korzystanie z BPH Sez@m jest posiadanie klasycznego Usługi banków dostępne w Internecie Wersja demonstracyjna Czas oczekiwania na uruchomienie 1 dzień 1 dzień 1 dzień 1 2 tyg. lub 4 tyg. min. 2 4 dni natychmiast nie dotyczy Obsługa rachunku przez telefon tylko wgląd Obsługa klientów instytucjonalnych w październiku tylko wgląd Obsługiwane przeglądarki IE i NN IE i NN IE i NN IE i NN IE (od listopada NN) IE i NN IE i NN * usługi standardowe; 1 usługa CitiDirect będzie dostępna od października br.; jest; brak; IE Internet Explorer; NN Netscape Navigator; bd brak danych w dniu oddawania artykułu do druku rachunku. Jeżeli nie korzystaliśmy wcześniej z usług BPH, to starając się o udostępnienie Sez@mu, możemy jednocześnie złożyć wniosek o otwarcie rachunku. Procedura rejestracji jest, niestety, trochę skomplikowana i wymaga od użytkownika dużej uwagi, gdyż łatwo pomylić wpisywane identyfikatory i hasła. Otóż musi on wybrać sobie dwa identyfikatory wraz z odpowiadającymi im hasłami (jeden dla dostępu do systemu i drugi do skrzynki pocztowej) oraz dodatkowo jeszcze jedno hasło chroniące klucz prywatny. Para kluczy (prywatny i publiczny) jest generowana lokalnie na komputerze przez komponent ActiveX, a następnie klucz prywatny jest szyfrowany i razem z kluczem publicznym oraz z pozostałymi danymi wysyłany na serwer banku. Hasło zabezpieczające klucz prywatny jest znane wyłącznie klientowi. Po wygenerowaniu kluczy tworzony jest odcisk (funkcja skrótu) klucza publicznego. Klient musi zanotować odcisk i przedstawić go do weryfikacji podczas wizyty w oddziale banku celem porównania z odciskiem umieszczonym na umowie. Na czas korzystania z systemu bankowości internetowej wysyłanie wyciągów w formie papierowej zostaje zawieszone. W ofercie systemu Sez@m brakuje zleceń stałych, a przelewy ograniczono do rachunków banków obsługujących system Elixir. Mimo to możemy złożyć wniosek o linię kredytową oraz zastrzec swoje karty płatnicze. Ponadto dopuszczalna jest zmiana klucza, jednak bezpłatnie tylko raz na rok. Każda operacja bankowa wykonywana przez Internet jest podpisywana cyfrowo. Z serwera banku pobiera się klucz prywatny, potrzebny do uzyskania podpisu cyfrowego. Użytkownik podaje hasło do swojego klucza i na podstawie danych transakcji lokalny komponent ActiveX generuje podpis cyfrowy, przesyłany następnie do serwera bankowego. Witryna Fortify for Netscape daje możliwość przetestowania mocy szyfrowania w używanej przeglądarce. 194 193

Tam podpis ten jest deszyfrowany kluczem publicznym klienta i otrzymane informacje porównuje się z wartością obliczoną przez system bankowy na podstawie danych transakcji. Jeżeli obydwie wartości są jednakowe, to operacja jest autoryzowana. Rozwiązanie to jest lepsze od stosowanego w Handlobanku, gdyż wykorzystuje dwa hasła. Mimo to należy kłaść bardzo duży nacisk na ich poufność. Zabezpieczeniem przed złamaniem hasła do klucza jest wydłużanie czasu oczekiwania na wyświetlenie okna dialogowego przy kolejnych nieudanych próbach. Ograniczeniem systemu może być to, że ze względu na użyte komponenty systemowe jest on obsługiwany tylko przez system Windows. Wartością dodaną dla klientów Sez@mu jest możliwość dokonywania zakupów w wirtualnym sklepie internetowym (www. emarket. pl) po cenach niższych średnio o 10% z automatycznym wypełnianiem formularza przelewu należności za zakupy. Mimo że klucz prywatny jest przechowywany w banku w postaci zaszyfrowanej, to wystarczy jedynie znać hasło do niego, aby go użyć. Z tego powodu dodatkowe uwierzytelnienie i bezpieczeństwo całego systemu również są osłabione. W zamian otrzymujemy wygodę, ponieważ nie musimy nosić ze sobą żadnych dodatków. Gdyby oddać klucz w ręce użytkownika (np. na dyskietce), wówczas zabezpieczenie systemu byłoby porównywalne z rozwiązaniem użytym w Fortis Banku. Wielkopolski Bank Kredytowy SA Dostęp do rachunków za pomocą telefonu lub Internetu w WBK realizowany jest przez system WBK24. Oferuje on pełen zestaw usług, a od początku sierpnia mamy możliwość dodatkowego zabezpieczania transakcji poprzez token (taki sam jak w Banku Pekao SA). Aby rozpocząć korzystanie z systemu WBK24, należy w oddziale, w którym mamy już rachunki, podpisać deklarację Czy to bezpieczne? Pamiętajmy, że najlepsze nawet zabezpieczenia nie uchronią nas przed przykrymi niespodziankami, jeżeli nie zachowamy podstawowych zasad bezpieczeństwa. Nie udostępniajmy zatem nikomu tokena, a tym bardziej hasła. Jeśli podczas dokonywania operacji musimy odejść od komputera, to wyłączmy przeglądarkę lub wylogujmy się z systemu. A co najważniejsze unikajmy korzystania z obcych komputerów (np. w kawiarniach internetowych), ponieważ inni, nieuczciwi użytkownicy mogli pozostawić na nich programy śledzące i przechowujące wszystko, co wpisujemy na klawiaturze. Przy zachowaniu tych podstawowych zasad i należytej uwagi wszystkie omówione systemy są bezpieczne. korzystania z usług. Jeżeli zrezygnujemy z tokena, to będziemy mieli możliwość dokonywania przelewów jedynie na 9 rachunków określonych podczas podpisywania deklaracji, a także obowiązywać nas będzie limit dzienny transakcji wykonanych przez Internet. Po odebraniu identyfikatora NIK (8-cyfrowy numer) i PIN-u (4-cyfrowe hasło) możemy rozpocząć korzystanie z systemu. Po pierwszym pomyślnym zarejestrowaniu się zmieniamy PIN na dowolny ciąg do 12 znaków. Tak jak w przypadku pozostałych banków, połączenie realizuje się za pomocą protokołu SSL i cała transmisja jest szyfrowana. Token, podobny do tego w systemie TELEPEKAO 24, generuje jednorazowe, unikatowe kody, które są potrzebne do identyfikacji klienta oraz do uwierzytelnienia jego dyspozycji. Dzięki urządzeniu możliwe jest dokonywanie przelewów na dowolne rachunki, definiowanie listy odbiorców (100 pozycji), zwiększenie limitu dziennego do 50 tys. złotych oraz definiowanie rachunków odbiorców dostępnych dla pozostałych usług (WBKtelekonto i WBK24 WAP). Mimo tych udogodnień w systemie brakuje jednak możliwości składania zleceń stałych, wniosków o karty płatnicze oraz korespondencji z bankiem. Do ponadstandardowych udogodnień należą przelewy z przyszłą datą realizacji oraz przelewy do ZUS-u. Ze względu na słabsze szyfrowanie przesyłanych danych 40-bitowym kluczem ich bezpieczeństwo pomimo użycia tokena również jest osłabione. Wiadomo już jednak, że sytauacja ta ulegnie zmianie w październiku, kiedy otrzymamy do dyspozycji pełne szyfrowanie 128-bitowym kluczem. PBS w Sanoku Podkarpacki Bank Spółdzielczy w Sanoku prowadzi działalność lokalnie i dlatego nie ujęliśmy go w tabeli. Jest on jednakże dobrym przykładem korzystania z usług outsourcingowych, świadczonych przez wyspecjalizowaną firmę. Korzystając z niej, bank nie musi ponosić nakładów inwestycyjnych związanych z wdrożeniem dedykowanego systemu bankowości internetowej, gdyż cała infrastruktura potrzebna do realizacji usługi należy do niezależnej firmy. W systemie internetowym banku PBS Sanok autoryzacja operacji i użytkownika jest zapewniona dzięki tokenowi, takiemu jak w systemie Lukas e-bank. Aby zarejestrować się w systemie, klient banku musi podać swój identyfikator, PIN-kod oraz ciąg cyfr odczytany z tokena. Zasadę działania takiego banku możemy obejrzeć na stronach Centrum Usług Internetowych firmy Comp Rzeszów SA. Citibank Spośród banków, które do tej pory zwlekały z udostępnieniem swoich usług przez Internet, wyróżnił się Citibank. Zapowiedział on na październik uruchomienie gotowego Kto następny? Bank Plany LG Petro Bank System będzie udostępniony w 1. kwartale 2001 r. PKO BP System w trakcie testowania; planowany rozruch pod koniec 3. kwartału br. Invest Bank SA Usługa ma być dostępna przed końcem br. Kredyt Bank SA Uruchomienie systemu na początku 2001 r. PBK SA Uruchomienie systemu na początku 2001 r. Bank Śląski SA Prace przygotowawcze bardzo zaawansowane Bank Zachodni SA System ruszy po zakończeniu prac nad systemem centralnym wspólnie z WBK w 2001 r. już systemu o nazwie CitiDirect. Usługa jest całkowicie bezpłatna i dostępna bez składania wniosku dla wszystkich posiadaczy kart kredytowych i rachunków. Realizowane przez Internet operacje będą również bezpłatne. Standardowy zakres usług został wzbogacony o przelew do ZUS-u, spłatę karty kredytowej, zmianę PIN-u oraz zamawianie dodatkowego wyciągu. Z systemu będziemy mogli skorzystać po podaniu numeru karty kredytowej i jej PIN-u, co jest nowością wśród obecnych systemów. Również niespotykany na stronach innych banków będzie test przeglądarki (patrz ramka: Moc szyfrowania ). Kiedy już wszystko wiadomo Obecnie w Internecie zadomowiły się największe polskie banki, a ich oferta w większości jest w stanie spełnić nasze oczekiwana. Wiadomo już też, że za jakiś czas również pozostała część konkurencji z tej branży dołączy do sieciowej elity. Nam ułatwi to życie tym bardziej, że bezpieczeństwo i wygoda sieciowych transakcji przemawiają zdecydowanie na korzyść tego sposobu zarządzania swoimi finansami. My tymczasem uzbrojeni w informacje możemy już teraz, nie tracąc czasu w bankowych kolejkach, ze spokojem usiąść w domowym zaciszu i podróżując po Sieci przy okazji zapłacić za telefon. Adrian Borowski INFO Grupy dyskusyjne Uwagi i komentarze do artykułu: news://news.vogel.pl/chip.artykuly Pytania techniczne: news://news.vogel.pl/chip.internet Internet Dodatki do przeglądarek http://www.fortify.net/intro.html http://www.microsoft.com/windows/ie_intl/pl/ download/128bit/intro.htm http://www.microsoft.com/windows2000/downloads/ recommended/encryption/default.asp Test przeglądarki https://www.fortify.net/sslcheck.html Centrum Usług Internet. Comp Rzeszów SA: http://www.cui.pl/poczatek.htm Producenci tokenów http://www.rsasecurity.com/ http://www.vasco.com/ W dziale Internet Banki w Internecie 10/2000 znajdują się uaktualnienia do przeglądarek IE oraz NN, umożliwiające 128-bitowe szyfrowanie przesyłanych danych 194

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres