Zmiany w serwisie KB24 – nowy sposób autoryzacji, nowe funkcjonalności
Kredyt Bank wprowadził nowy sposób autoryzacji transakcji w systemie bankowości elektronicznej KB24. Obecnie klienci autoryzują swoje dyspozycje wyłącznie przy wykorzystaniu haseł jednorazowych. Sposób logowania do serwisu nie zmienił się.
Ponadto bank zaproponował nowe funkcjonalności podnoszące bezpieczeństwo i komfort korzystania z serwisu – możliwość zmiany PIN-u do KB Karty, wykorzystywanego w procesie logowania, oraz przelewy zdefiniowane dla klientów, którzy często realizują płatności na rzecz tego samego odbiorcy.
Klienci mają do wyboru jedno z dwóch urządzeń autoryzacyjnych – listę haseł jednorazowych lub token sprzętowy.
Lista zawiera 80 jednorazowych haseł, każde składa się z 7 cyfr. Lista przypisana jest indywidualnie dla każdego klienta. Hasła na liście generowane są przy użyciu skomplikowanego algorytmu. Listy wysyłane są do klienta pocztą, w sytuacjach awaryjnych możliwy jest odbiór listy w placówce banku. Klient może zamówić kolejną listę w dowolnym momencie, tak, aby po wyczerpaniu się haseł z jednej listy mógł rozpocząć korzystanie z drugiej. Hasło może zostać użyte tylko raz, w trakcie autoryzacji system „prosi” o podanie hasła o określonym numerze na liście. Numery haseł wybierane są w sposób losowy, z tego względu nie można przewidzieć, które hasło będzie wymagane przy kolejnej transakcji. Dodatkowo proces autoryzacji wymusza wprowadzenie dwóch znaków wygenerowanych w postaci graficznej. Listy haseł jednorazowych przekazywane są klientom bezpłatnie.
Token sprzętowy to urządzenie elektroniczne wielkości pudełka zapałek, z klawiaturą numeryczną i wyświetlaczem, generujące hasła jednorazowe. Ma unikalny numer seryjny, który jest zarejestrowany w systemie banku i przypisany do konkretnego użytkownika. W trakcie autoryzacji klient proszony jest o wprowadzenie do tokena 8-cyfrowego, wygenerowanego dla konkretnej transakcji, numeru wyświetlonego w serwisie KB24. W odpowiedzi token generuje hasło jednorazowe, które należy wpisać w oknie autoryzacji. Poza hasłem wymagane jest także przepisanie znaków z prezentowanego elementu graficznego. Każde wygenerowane hasło jest aktywne tylko przez określony czas. Token jest zabezpieczony dodatkowo 4-cyfrowym PIN-em użytkownika, co czyni rozwiązanie jeszcze bezpieczniejszym. Opłata za wydanie tokena wynosi obecnie 30 zł – jest to jednorazowa opłata pobierana z rachunku klienta po odebraniu urządzenia.
Podania hasła jednorazowego wymagają transakcje, które dotychczas wymagały autoryzacji, np. przelew, założenie lokaty, zmiana danych teleadresowych.
Metoda oparta o hasła jednorazowe zapewnia bezpieczne dokonywanie transakcji w KB24. Przejęcie przez oszustów stałych danych, tj. Identyfikator czy PIN nie pozwoli na autoryzację transakcji.
Kredyt Bank rozważa udostępnienie klientom innych urządzeń autoryzacyjnych np. tokena instalowanego w telefonie komórkowym.
W ramach zmian w serwisie KB24 Kredyt Bank wdrożył nowe rozwiązania podnoszące bezpieczeństwo i komfort korzystania z serwisu:
– zmiana PIN-u do KB Karty – każdy użytkownik serwisu może zmienić swój 6-cyfrowy numer PIN wykorzystywany w procesie logowania do KB24
– możliwość tworzenia przelewów zdefiniowanych, pozwalających na realizację transakcji na zdefiniowany wcześniej numer rachunku, w ramach ustalonego indywidualnie limitu, bez konieczności każdorazowej autoryzacji transakcji.
Bezpieczeństwo korzystania z bankowości elektronicznej w dużej mierze zależy od działań podejmowanych przez samych klientów. Kredyt Bank systematycznie prowadzi akcje edukacyjne adresowane do użytkowników serwisu KB24, przypominające o podstawowych zasady bezpieczeństwa i znaczeniu poprawnego zabezpieczenia komputerów klientów:
– używanie i bieżąca aktualizacja oprogramowania antywirusowego,
– korzystanie z firewall’a,
– instalacja uaktualnień do systemu operacyjnego oraz przeglądarki,
– przechowywanie w bezpiecznym miejscu i nieujawnianie danych potrzebnych do logowania i autoryzacji,
– sprawdzanie certyfikatu autentyczności serwisu oraz czy połączenie jest szyfrowane przy każdej próbie logowania.
