Kilka dni temu trafiłem na raport ZBP (Związek Banków Polskich) pod tytułem „cyberbezpieczny portfel” (czerwiec 2018). I choć uważam, że z raportem warto się zapoznać, być może nawet ktoś wyciągnie z jakieś wnioski, które wpłyną pozytywnie na jego bezpieczeństwo w internecie, to… z jednym zagadnieniem wejdę w polemikę…
Regularna zmiana hasła do bankowości internetowej
W raporcie wśród różnych zagadnień, pojawia się temat regularnej zmiany hasła do systemów transakcyjnych banków, ale można potraktować to ogólnie, bo w wielu firmach/serwisach „z innej branży” taka polityka też stosowana. Sam, gdy kilka lat temu pracowałem jako administrator w jednym z największych (w tamtych czasach) sklepów (nie tylko) internetowych, to zgodnie z przepisami ówcześnie obowiązującymi (na szczęście RODO zniosło ten wymóg) mieliśmy wymuszoną regularną zmianę haseł.
I tak z raportu dowiadujemy się, że:
Odsetek osób, które w ciągu ostatnich 12 miesięcy zmieniły hasło do bankowości internetowej
Jedynie 29 procent mieszkańców Unii Europejskiej zmienia hasło do bankowości internetowej minimum raz w roku. Świadomość klientów banków w tym obszarze się poprawia -3 lata temu odsetek ten był o 4 pp. mniejszy. Liderem w tym zakresie jest Łotwa, w której 68 procent klientów banków regularnie zmienia hasło do bankowości.
Wszak nawet najbardziej zaawansowane systemy bezpieczeństwa nie będą efektywne, jeśli podstawowe zasady nie będą przestrzegane przez użytkowników internetu i nowoczesnych usług bankowych. Do takich czynności należą między innymi częsta zmiana haseł do kont, nie używanie prostych skojarzeń w ich tworzeniu, czy nie zapisywanie ich na papierze. Według badania przeprowadzonego przez KE nawyki użytkowników internetu zmieniają się na lepsze, jednak w wielu krajach Unii Europejskiej pozostaje w tym zakresie jeszcze wiele do zrobienia. Jedną z podstawowych i prostych czynności, jaką jest zmiana hasła do konta bankowego minimum raz w roku wykonuje w Polsce tylko ok. 30 procent osób korzystających z bankowości elektronicznej. Jeszcze mniej Polaków różnicuje trudność hasła dostępu w zależności od strony na którą się loguje – jedynie 16 procent, w porównaniu do 28 procent w Unii Europejskiej.
I to jest ten moment, gdzie chętnie wejdę w polemikę, bo bazując nie tylko na swoim doświadczeniu jako administrator różnego rodzaju systemów uważam, że wymuszona zmiana haseł prawie nigdy nie funkcjonuje prawidłowo, tzn. nawet nie tyle, że rzadko kiedy przynosi poprawę bezpieczeństwo, co wręcz to bezpieczeństwo zmniejsza.
Oczywiście gdybyśmy żyli w świecie idealnym, to regularna zmiana hasła powinna pozytywnie wpłynąć na bezpieczeństwo. Ale nie żyjemy w świecie idealnym, a w świecie leniwców, w świecie, w którym ludzie wydeptują trawnik, by skrócić sobie drogę do sklepowych drzwi o metr czy dwa.
Dlatego użytkownicy zazwyczaj rotują te same 2 hasła w koło albo w haśle podmieniają miesiąc (czy to cyframi, czy słownie). Oczywiście obie te praktyki można relatywnie łatwo zablokować. Tylko wtedy… hasła zaczynają się pojawiać na karteczkach poprzyklejanych do monitorów, lub każdy dzień helpdesk zaczyna od resetowania haseł użytkownikom, którzy ich zapomnieli.
Ale wracając bezpośrednio do samej bankowości – tu zazwyczaj elementem zabezpieczającym jest nie tylko hasło, ale i login (czasem nawet bardziej skomplikowany, niż samo hasło ;-)). Do tego większość banków bardziej „wrażliwe” lub nawet wszystkie tranzakcie zabezpiecza kodem jednorazowym (SMS, kod jednorazowy z karty TAN, token). A mimo to, kradzieże gotówki zdarzają się cały czas.
Dzieje się tak dlatego, że obecnie chyba rzadko kiedy ktoś włamuje się na konto poprzez brutalne wyszukiwanie par login i (słabe) hasło. Jest to najzwyczajniej w świecie niepraktyczne (m.in. mechanizmy zabezpieczając po stornie banków) jak i najzwyczajniej w świecie nieopłacalne z powodu czasu i skali.
Dlatego przestępcy (oszuści) zazwyczaj dostęp do systemów transakcyjnych zdobywają poprzez infekcję urządzenia, z którego korzystamy złośliwym oprogramowaniem. W takim przypadku nie ma znaczenia, jak bardzo skomplikowane mamy hasło, czy kiedy ostatni raz je zmienialiśmy – i tak trafi w ręce oszustów prosto z naszego urządzenia.
Dlatego nic nie zastąpi zdrowego rozsądku. I – trzymając się tematu bankowości – jeśli logujemy się do banku, zwracajmy uwagę na to w jakich sytuacjach i dlaczego system prosi nas o podanie kodu. A gdy otrzymamy SMSa z tym kodem zawsze należy uważnie z nim się zapoznać – jaki typ operacji, jaka kwota, i na jakie konto…
- Home Assistant 2024.11, czyli „sekcje” domyślnym widokiem z opcją migracji, WebRTC oraz wirtualna kamera - 1970-01-01
- Black Friday w ZUS, czyli jest jeszcze kilka dni, by złożyć wniosek RWS i skorzystać z wakacji składkowych płacąc ZUS za grudzień 2024 - 1970-01-01
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01