Kilka dni temu trafiłem na raport ZBP (Związek Banków Polskich) pod tytułem „cyberbezpieczny portfel” (czerwiec 2018). I choć uważam, że z raportem warto się zapoznać, być może nawet ktoś wyciągnie z jakieś wnioski, które wpłyną pozytywnie na jego bezpieczeństwo w internecie, to… z jednym zagadnieniem wejdę w polemikę…

Regularna zmiana hasła do bankowości internetowej

W raporcie wśród różnych zagadnień, pojawia się temat regularnej zmiany hasła do systemów transakcyjnych banków, ale można potraktować to ogólnie, bo w wielu firmach/serwisach „z innej branży” taka polityka też stosowana. Sam, gdy kilka lat temu pracowałem jako administrator w jednym z największych (w tamtych czasach) sklepów (nie tylko) internetowych, to zgodnie z przepisami ówcześnie obowiązującymi (na szczęście RODO zniosło ten wymóg) mieliśmy wymuszoną regularną zmianę haseł.

I tak z raportu dowiadujemy się, że:

Odsetek osób, które w ciągu ostatnich 12 miesięcy zmieniły hasło do bankowości internetowej

Jedynie 29 procent mieszkańców Unii Europejskiej zmienia hasło do bankowości internetowej minimum raz w roku. Świadomość klientów banków w tym obszarze się poprawia -3 lata temu odsetek ten był o 4 pp. mniejszy. Liderem w tym zakresie jest Łotwa, w której 68 procent klientów banków regularnie zmienia hasło do bankowości.

Wszak nawet najbardziej zaawansowane systemy bezpieczeństwa nie będą efektywne, jeśli podstawowe zasady nie będą przestrzegane przez użytkowników internetu i nowoczesnych usług bankowych. Do takich czynności należą między innymi częsta zmiana haseł do kont, nie używanie prostych skojarzeń w ich tworzeniu, czy nie zapisywanie ich na papierze. Według badania przeprowadzonego przez KE nawyki użytkowników internetu zmieniają się na lepsze, jednak w wielu krajach Unii Europejskiej pozostaje w tym zakresie jeszcze wiele do zrobienia. Jedną z podstawowych i prostych czynności, jaką jest zmiana hasła do konta bankowego minimum raz w roku wykonuje w Polsce tylko ok. 30 procent osób korzystających z bankowości elektronicznej. Jeszcze mniej Polaków różnicuje trudność hasła dostępu w zależności od strony na którą się loguje – jedynie 16 procent, w porównaniu do 28 procent w Unii Europejskiej.

I to jest ten moment, gdzie chętnie wejdę w polemikę, bo bazując nie tylko na swoim doświadczeniu jako administrator różnego rodzaju systemów uważam, że wymuszona zmiana haseł prawie nigdy nie funkcjonuje prawidłowo, tzn. nawet nie tyle, że rzadko kiedy przynosi poprawę bezpieczeństwo, co wręcz to bezpieczeństwo zmniejsza.

Oczywiście gdybyśmy żyli w świecie idealnym, to regularna zmiana hasła powinna pozytywnie wpłynąć na bezpieczeństwo. Ale nie żyjemy w świecie idealnym, a w świecie leniwców, w świecie, w którym ludzie wydeptują trawnik, by skrócić sobie drogę do sklepowych drzwi o metr czy dwa.

Dlatego użytkownicy zazwyczaj rotują te same 2 hasła w koło albo w haśle podmieniają miesiąc (czy to cyframi, czy słownie). Oczywiście obie te praktyki można relatywnie łatwo zablokować. Tylko wtedy… hasła zaczynają się pojawiać na karteczkach poprzyklejanych do monitorów, lub każdy dzień helpdesk zaczyna od resetowania haseł użytkownikom, którzy ich zapomnieli.

Ale wracając bezpośrednio do samej bankowości – tu zazwyczaj elementem zabezpieczającym jest nie tylko hasło, ale i login (czasem nawet bardziej skomplikowany, niż samo hasło ;-)). Do tego większość banków bardziej „wrażliwe” lub nawet wszystkie tranzakcie zabezpiecza kodem jednorazowym (SMS, kod jednorazowy z karty TAN, token). A mimo to, kradzieże gotówki zdarzają się cały czas.

Dzieje się tak dlatego, że obecnie chyba rzadko kiedy ktoś włamuje się na konto poprzez brutalne wyszukiwanie par login i (słabe) hasło. Jest to najzwyczajniej w świecie niepraktyczne (m.in. mechanizmy zabezpieczając po stornie banków) jak i najzwyczajniej w świecie nieopłacalne z powodu czasu i skali.

Dlatego przestępcy (oszuści) zazwyczaj dostęp do systemów transakcyjnych zdobywają poprzez infekcję urządzenia, z którego korzystamy złośliwym oprogramowaniem. W takim przypadku nie ma znaczenia, jak bardzo skomplikowane mamy hasło, czy kiedy ostatni raz je zmienialiśmy – i tak trafi w ręce oszustów prosto z naszego urządzenia.

Dlatego nic nie zastąpi zdrowego rozsądku. I – trzymając się tematu bankowości – jeśli logujemy się do banku, zwracajmy uwagę na to w jakich sytuacjach i dlaczego system prosi nas o podanie kodu. A gdy otrzymamy SMSa z tym kodem zawsze należy uważnie z nim się zapoznać – jaki typ operacji, jaka kwota, i na jakie konto…

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Młody Szymon dzięki motywowi Divi od Elegant Themes zrobił stronę dla firmy ojca
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Monika ćwiczy przed kongresem ko..., ale zapisała się do Newslettera WebInsider.pl, choć... i tak nic nie widzi