Letos v únoru upozornil portál FAEI.cz na to, že zabezpečení přístupu do internetového bankovnictví Hello bank je slabé a neodpovídá běžným bankovním standardům využívajícím verifikačním SMS. Až dosud stačí totiž jen uživatelské jméno a heslo. A protože se většině uživatelů počítačů se přihlašovací jméno a heslo automaticky uloží do jejich internetového prohlížeče, má pak k účtu přístup doslova kdokoliv, kdo se k počítači dostane.
Ale to by se od 10. září mělo v Hello bank změnit. Evropská směrnice přinese zásadní změny v ověřování online plateb. Jen heslo už stačit nebude a kromě jednorázových přístupových kódů budou moci zákazníci naplno využívat biometrické technologie. „Zpřísní se pravidla pro ověření Vaší identity při používání internetového bankovnictví a mobilní aplikace. Jak už to někdy bývá, vyšší úroveň zabezpečení znamená méně pohodlí,“ píše banka svým klientů.
Při každém přihlášení do internetového bankovnictví bude Hello bank nově posílat svým klientům SMS s potvrzovacím kódem. Na přihlašovací stránce do internetového bankovnictví zmizí tzv. očko – tedy možnost nechat si ukázat heslo. „Do 10. září tedy ještě můžete kliknutím na očko zkontrolovat, že heslo píšete správně, nebo si ho připomenout, když ho máte uložené v prohlížeči,“ píše banka s tím, že po tomto datu zapomenuté heslo nepůjde obnovit on-line ani telefonátem na infolinku.
Změna hesla půjde vyřídit na dálku s úředně ověřeným podpisem, případně osobně v některém z kontaktních míst. Ty má banka, která je tzv. odštěpným závodem francouzského konglomerátu BNP Paribas, v Česku jen tři: V Praze, Brnu a Ostravě. Podobně tomu bude i se změnou telefonního čísla, na které banka klientům zasílá potvrzovací SMS. V bance zřejmě pozapomněli na možnost komunikace s klienty prostřednictvím e-mailů s elektronickým podpisem, který v ČR funguje už pět let, stejně jako na ověřenou komunikaci prostřednictvím datové schránky, chce se dodat.
To, co banka ještě bude muset dohnat, je biometrické ověřování identity, které je ve směrnici PSD2 jedním z klíčových vylepšení ochrany klientů. „Dočasně bohužel nebude možné využívat ani na telefonech iPhone přihlášení pomocí otisku prstu. Při každém přihlášení na všech telefonech tedy bude třeba zadat přihlašovací jméno, heslo a potvrzovací kód z SMS. Pracujeme na nové verzi naší aplikace, do které se přihlásíte otiskem prstu nejen na telefonech s iOS, ale nově i Android,“ informuje Hello bank své klienty.
Odchozí úhrada, trvalý příkaz nebo jakákoli jiná transakce – ať už ji klienti banky budou dělat v internetovém bankovnictví nebo v mobilní aplikaci – bude vyžadovat potvrzení zadáním hesla a opsáním potvrzovacího kódu z SMS. Pro ty, kdo si již zvykli používat otisk prstu na displeji mobilu, to bude návrat do mobilní prehistorie.
Mnohem závažnější je ale to, že banka nabádá klienty, kteří si nepamatují své heslo, aby si jej obnovili a vymysleli nové, „které si kdykoli snadno vybavíte“. „Aby bylo bezpečné, je třeba, aby mělo minimálně 6 znaků, z toho aspoň: jedno velké písmeno, jedno malé písmeno, jednu číslici,“ doporučuje Hello bank. U letos v lednu založeného účtu přitom banka po spolupracovnici redakce požadovala heslo o osmi znacích, což bylo podle odborníků bezpečnostním minimem už před deseti lety.
Stále platí, že čím delší heslo máte, tím je jeho prolomení pro potencionálního útočníka složitější, takže aktuální doporučení je mít heslo alespoň o dvanácti znacích, použít v něm speciální znaky, písmena s háčky a dlouhé hlásky. Čím pestřejší bude využití různých znakových sad, tím se vaše heslo stane méně odhadnutelným. A sílu zabezpečení ještě znásobíte, pokud použijete neobvyklé speciální znaky jako třeba „ß“ nebo „ţ“.
