2014.11.12

Autoryzacja operacji bankowych: zdrapka, kody SMS czy token?

Klienci PKO Banku Polskiego mają do wyboru kilka narzędzi do autoryzacji swoich transakcji. Coraz częściej korzystają z kodów SMS przesyłanych na wskazany nr telefonu, stosują również losowo wybrane hasła ze zdrapki lub token. Wszystkie te narzędzia zapewniają pełne bezpieczeństwo operacji bankowych. Trzeba jedynie pamiętać o podstawowych zasadach ich użytkowania.

Bezpieczeństwo w sieci

Pierwszym krokiem do wykonania jakiejkolwiek wirtualnej operacji bankowej jest zalogowanie się do serwisu internetowego. A do tego niezbędne jest podanie numeru klienta (znajdziemy go w umowie z bankiem) i hasła do logowania. Pierwsze hasło klient otrzymuje w oddziale. Może je też dostarczyć kurier w zapieczętowanej kopercie. Hasło możemy modyfikować - tak, aby było łatwe do zapamiętania dla właściciela i jednocześnie trudne do odgadnięcia. Powinno jednocześnie spełniać podstawowe wymagania określone przez Bank, m.in. składać się z minimum 8 znaków, liter i/lub cyfr oraz znaków specjalnych, takich jak: "` ! @ # $ % ^ & * ( ) _ + - = { } [ ] : ; ' , . < > ?", z wyłączeniem polskich liter (np. "ł", "ś"). Co ważne, tak utworzone hasło musi różnić się od loginu. Przy jego pomocy można logować się zarówno do serwisu internetowego iPKO, jak i serwisu mobilnego IKO.

Jednak, aby wykonać jakąkolwiek operację na rachunku, nie wystarczy tylko zalogować się do serwisu. Do potwierdzenia i zabezpieczenia wielu transakcji niezbędne są narzędzia autoryzacyjne.

Karta Kodów Jednorazowych

Karta zawiera ponumerowaną listę sześciocyfrowych kodów jednorazowych zakrytych warstwą zabezpieczającą. Służy ona do autoryzacji większości operacji na rachunku (zlecenia przelewu, założenia lokaty, zmiany danych korespondencyjnych, definiowania płatności lub zleceń stałych, płatności za zakupy w internecie itp.), dokonywanych za pośrednictwem serwisu internetowego lub telefonicznego.

Zlecając operację wymagającą autoryzacji, klient widzi komunikat: "Wprowadź kod jednorazowy nr…". Należy wówczas zetrzeć warstwę zabezpieczającą z konkretnego okienka karty zdrapki i wprowadzić odsłonięty sześciocyfrowy kod. Podobnie jest przy zleceniach realizowanych telefonicznie - klient dyktuje konsultantowi odsłonięty numer.

  • Trzykrotne wprowadzenie błędnego kodu z karty kodów jednorazowych powoduje blokadę tego narzędzia autoryzacji. Jego odblokowanie jest możliwe podczas rozmowy z konsultantem serwisu telefonicznego lub podczas wizyty w oddziale.

Pierwszą kartę kodów klient aktywuje w oddziale z pomocą pracownika banku lub kontaktując się z konsultantem iPKO pod numerem 801 307 307, 801 3PKOBP lub +48 81 535 60 60 (opłata zgodna z taryfą operatora). Każda następna wymaga samodzielnej aktywacji w serwisie internetowym lub telefonicznym.

Kody SMS

Jeśli umowa o prowadzenie rachunku została dostarczona przez kuriera i podpisana w jego obecności, narzędziem do autoryzacji operacji wykonywanych na rachunku są jednorazowe kody SMS. Są one przesyłane na wskazany w umowie telefon komórkowy i służą do potwierdzania operacji dokonywanych za pośrednictwem serwisu internetowego i telefonicznego.

Kody wysyłane SMS-em składają się z 6. cyfr. Zatwierdzanie operacji z ich użyciem polega na prawidłowym wpisaniu w serwisie internetowym kodu do konkretnej operacji lub podaniu go konsultantowi. Klient ma możliwość zmiany numeru telefonu na który przesyłane są SMS-y - możliwe jest to u konsultanta telefonicznego (tel. 801 307 307, 801 3PKOBP lub +48 81 535 60 60 - opłata zgodna z taryfa operatora) lub w oddziale PKO Banku Polskiego. Trzeba jednak pamiętać, że trzykrotne wprowadzenie błędnego kodu SMS powoduje blokadę tego narzędzia autoryzacji. Aby je odblokować, należy skontaktować się z konsultantem serwisu telefonicznego. 

Token

Token iPKO to specjalna aplikacja pobierana przez klienta na telefon komórkowy. Umożliwia ona bezpłatne generowanie jednorazowych kodów, do potwierdzania operacji dokonywanych za pośrednictwem serwisu internetowego i telefonicznego (jedyny koszt, jaki ponosi klient, to opłata zgodna z taryfą operatora za połączenie z internetem w momencie ściągania aplikacji na telefon, oraz podczas pierwszego uruchomienia aplikacji i zmiany PIN-u). Lista telefonów, które umożliwiają ściągniecie i korzystanie z tokena znajduje się na stronie internetowej Banku.

Token może również wzmacniać bezpieczeństwo logowania do serwisu internetowego. Podczas zamawiania tego narzędzia autoryzacyjnego trzeba określić czy token ma służyć wyłącznie do generowania kodów jednorazowych, czy też dodatkowo powinien generować hasła wzmacniające podczas logowania do iPKO.

Dostęp do aplikacji chroniony jest indywidualnym kodem PIN, który nigdy nie powinien być przekazywany komuś innemu. Inicjalny kod PIN, który można następnie zmienić, klient otrzymuje SMS-em - po złożeniu zamówienia na token.

Aplikacja "Token iPKO" nie weryfikuje poprawności wprowadzonego PIN-u. Jeśli użytkownik poda błędny PIN, aplikacja będzie generowała niewłaściwe kody lub hasła. Wówczas logowanie do serwisu i autoryzacja operacji nie jest możliwe. W przypadku utraty telefonu komórkowego, na którym była zainstalowana aplikacja Token iPKO, należy jak najszybciej skontaktować się z konsultantem, aby usunąć aplikację i zmienić narzędzie autoryzacji. Trzykrotne wprowadzenie błędnego kodu lub hasła z tokena powoduje jego blokadę.

Zmiana narzędzia autoryzacji

W dowolnej chwili można zmienić narzędzie autoryzacji na bardziej nam odpowiadające. Klient może wielokrotnie dokonać zmiany narzędzia autoryzacji - samodzielnie przez internet albo u konsultanta telefonicznego. W przypadku korzystania ze "starego" iPKO, należy zalogować się do serwisu, wybrać zakładkę "Dostęp", a następnie "Narzędzia autoryzacyjne" i skorzystaj z funkcji "Zmień". W nowym serwisie trzeba kliknąć w ikonkę "Ustawienia", a następnie wejść w zakładkę "Autoryzacja" i "Zmień narzędzie autoryzacyjne". 

  • W przypadku utraty telefonu komórkowego, na który otrzymywane są kody SMS, należy niezwłocznie zablokować możliwość autoryzacji operacji tymi kodami - jest to również możliwe w serwisie internetowym iPKO lub za pośrednictwem konsultanta telefonicznego.

Roman Grzyb
Ekspert PKO Banku Polskiego

Czytaj także:

Bezpieczeństwo bankowości elektronicznej - żelazne zasady

Skuteczne hasło podstawą bezpieczeństwa prywatnej bankowości

loaderek.gifoverlay.png