Strona informacyjna

Nowym rodzajem transakcji internetowych, jaki pojawił się ostatnio, głównie w związku z rozwojem internetowych serwisów aukcyjnych, takich jak eBay, są usługi płatności person-to-person, czyli pomiędzy osobami prywatnymi. W tym przypadku nie można posłużyć się kartami płatniczymi ze względów oczywistych. Można wprawdzie pieniądze przesłać w sposób "klasyczny" np. pocztą, ale zajmuje to dużo czasu. Systemy płatności person-to-person, z których najbardziej znanym jest PayPal, realizują "elektroniczne przekazy pieniężne" przez Internet.

...Na zakończenie kilka słów należy się kwestii dostępności systemów bankowości internetowej. Aby były one maksymalnie dostępne, nie powinny zbytnio ograniczać klienta pod względem wersji przeglądarki czy systemu operacyjnego. Oczywiście przeglądarka musi obsługiwać SSL, ale wszelkie dalsze wymagania są już niekonieczne.

...Rzecz jasna wszystkie banki stosują szyfrowanie transmisji między przeglądarką a serwerem przy użyciu SSL ze 128-bitowym kluczem szyfrującym. Warto tu zwrócić uwagę na pewną niedogodność związaną z systemem PKO BP. Serwer tego banku posiada certyfikat SSL wystawiony przez polskie centrum certyfikacyjne UNIZETO (http://www.certum.pl/), który nie jest automatycznie rozpoznawany przez przeglądarki WWW.

...Handlobank i mBank zrezygnowały natomiast z zaawansowanych technik kryptograficznych powierzając bezpieczeństwo pieniędzy klientów jedynie systemowi haseł. W Handlobanku bezpieczeństwa transakcji strzeże jedynie "zwykły" login i hasło. W mBanku potencjalnie niebezpieczne operacje są chronione dodatkowymi hasłami jednorazowymi, których listę wcześniej bank przesyła klientowi pocztą. Każde hasło z listy wykorzystywane jest do jednej operacji, po czym traci ważność - do następnej operacji należy wykorzystać kolejne hasło.

...System Fortis Banku wykorzystuje natomiast standardowe możliwości protokołu SSL w postaci tzw. certyfikatów prywatnych. Tu również podczas rejestracji w systemie następuje wygenerowanie i zapisanie na dyskietce pary kluczy. Klucz publiczny zostaje dodatkowo przesłany do banku, który podpisując go swoim kluczem prywatnym generuje certyfikat, potwierdzający tożsamość użytkownika. Certyfikat ten klient otrzymuje na dyskietce przy zawieraniu umowy i musi zainstalować go sobie w swojej przeglądarce WWW, aby móc zalogować się do systemu.

...Część banków rezygnuje z dodatkowego wsparcia sprzętowego i opiera swoje (a właściwie swoich klientów) bezpieczeństwo na kryptografii realizowanej środkami programowymi. Do tej grupy należą BPH i Fortis Bank. Pierwszy z nich stosuje własną metodę uwierzytelniania użytkownika, polegającą na wygenerowaniu - za pomocą specjalnego apletu Javy - podczas składania wniosku przez klienta pary kluczy: prywatnego i publicznego.

...Bardziej skomplikowane tokeny wykorzystują tzw. metodę challenge-response, czyli "hasło-odzew". Na ekranie logowania serwer banku prezentuje nam losowy ciąg cyfr, który musimy wpisać na klawiaturce tokena. Token, korzystając z "zaszytego" w sobie tajnego klucza szyfrującego, przekształca wpisany ciąg cyfr na inny, który musimy przepisać z wyświetlacza tokena w odpowiednie pole na stronie WWW. Jeżeli klucz w tokenie będzie zgodny z kluczem przechowywanym na serwerze, system zweryfikuje naszą tożsamość i umożliwi nam dostęp do konta.

...Można tu znów zaobserwować dwa podejścia. Część banków korzysta ze specjalnych urządzeń kryptograficznych, tzw. tokenów, które wydawane są klientowi przy podpisywaniu umowy. Urządzenia te, przypominające wyglądem breloczek lub mały kalkulator, mogą działać na dwa sposoby. Te prostsze generują tzw. hasła jednorazowe - zmieniające się co kilkadziesiąt sekund ciągi cyfr, które wyświetlane są na wbudowanym w token wyświetlaczu. Cyfry te generuje generator pseudolosowy, zsynchronizowany z analogicznym generatorem znajdującym się w serwerze banku.

...Jako że chodzi o nasze pieniądze, szczególna uwaga należy się bezpieczeństwu wirtualnych banków. Najprostszą i najpowszechniejszą metodę autoryzacji, sprowadzającą się do podania loginu i hasła, należy - z uwagi na względną łatwość podszycia się pod właściwego użytkownika osób niepowołanych - uznać za niewystarczającą. Wprawdzie połączenie przeglądarki z serwerem banku jest szyfrowane protokołem SSL z 128-bitowym kluczem, tak więc podsłuchanie hasła w sieci jest niemożliwe, można je jednak poznać np.

...Tak czy inaczej jednak, bankowość internetowa w wydaniu oferowanym przez polskie banki nie stanowi w chwili obecnej interesującej oferty dla firm, wyłączywszy firmy bardzo małe, jedno- lub co najwyżej kilkuosobowe. Przy liczbie przelewów, jakie realizuje codziennie nawet średniej wielkości firma, sposób pracy z systemem bankowości internetowej, wymagający ręcznego wpisywania danych do przeglądarki WWW i akceptowania każdego przelewu z osobna, jest uciążliwy i nieefektywny, a w dużych firmach wręcz niewykonalny.