Autoryzacja operacji bankowych: zdrapka, kody SMS czy token?
Klienci PKO Banku Polskiego mają do wyboru kilka narzędzi do autoryzacji swoich transakcji. Coraz częściej korzystają z kodów SMS przesyłanych na wskazany nr telefonu, stosują również losowo wybrane hasła ze zdrapki lub token. Wszystkie te narzędzia zapewniają pełne bezpieczeństwo operacji bankowych. Trzeba jedynie pamiętać o podstawowych zasadach ich użytkowania.
Bezpieczeństwo w sieci
Pierwszym krokiem do wykonania jakiejkolwiek wirtualnej operacji bankowej jest zalogowanie się do serwisu internetowego. A do tego niezbędne jest podanie numeru klienta (znajdziemy go w umowie z bankiem) i hasła do logowania. Pierwsze hasło klient otrzymuje w oddziale. Może je też dostarczyć kurier w zapieczętowanej kopercie. Hasło możemy modyfikować - tak, aby było łatwe do zapamiętania dla właściciela i jednocześnie trudne do odgadnięcia. Powinno jednocześnie spełniać podstawowe wymagania określone przez Bank, m.in. składać się z minimum 8 znaków, liter i/lub cyfr oraz znaków specjalnych, takich jak: "` ! @ # $ % ^ & * ( ) _ + - = { } [ ] : ; ' , . < > ?", z wyłączeniem polskich liter (np. "ł", "ś"). Co ważne, tak utworzone hasło musi różnić się od loginu. Przy jego pomocy można logować się zarówno do serwisu internetowego iPKO, jak i serwisu mobilnego IKO.
Jednak, aby wykonać jakąkolwiek operację na rachunku, nie wystarczy tylko zalogować się do serwisu. Do potwierdzenia i zabezpieczenia wielu transakcji niezbędne są narzędzia autoryzacyjne.
Karta Kodów Jednorazowych
Karta zawiera ponumerowaną listę sześciocyfrowych kodów jednorazowych zakrytych warstwą zabezpieczającą. Służy ona do autoryzacji większości operacji na rachunku (zlecenia przelewu, założenia lokaty, zmiany danych korespondencyjnych, definiowania płatności lub zleceń stałych, płatności za zakupy w internecie itp.), dokonywanych za pośrednictwem serwisu internetowego lub telefonicznego.
Zlecając operację wymagającą autoryzacji, klient widzi komunikat: "Wprowadź kod jednorazowy nr…". Należy wówczas zetrzeć warstwę zabezpieczającą z konkretnego okienka karty zdrapki i wprowadzić odsłonięty sześciocyfrowy kod. Podobnie jest przy zleceniach realizowanych telefonicznie - klient dyktuje konsultantowi odsłonięty numer.
Trzykrotne wprowadzenie błędnego kodu z karty kodów jednorazowych powoduje blokadę tego narzędzia autoryzacji. Jego odblokowanie jest możliwe podczas rozmowy z konsultantem serwisu telefonicznego lub podczas wizyty w oddziale.
Pierwszą kartę kodów klient aktywuje w oddziale z pomocą pracownika banku lub kontaktując się z konsultantem iPKO pod numerem 801 307 307, 801 3PKOBP lub +48 81 535 60 60 (opłata zgodna z taryfą operatora). Każda następna wymaga samodzielnej aktywacji w serwisie internetowym lub telefonicznym.
Kody SMS
Jeśli umowa o prowadzenie rachunku została dostarczona przez kuriera i podpisana w jego obecności, narzędziem do autoryzacji operacji wykonywanych na rachunku są jednorazowe kody SMS. Są one przesyłane na wskazany w umowie telefon komórkowy i służą do potwierdzania operacji dokonywanych za pośrednictwem serwisu internetowego i telefonicznego.
Kody wysyłane SMS-em składają się z 6. cyfr. Zatwierdzanie operacji z ich użyciem polega na prawidłowym wpisaniu w serwisie internetowym kodu do konkretnej operacji lub podaniu go konsultantowi. Klient ma możliwość zmiany numeru telefonu na który przesyłane są SMS-y - możliwe jest to u konsultanta telefonicznego (tel. 801 307 307, 801 3PKOBP lub +48 81 535 60 60 - opłata zgodna z taryfa operatora) lub w oddziale PKO Banku Polskiego. Trzeba jednak pamiętać, że trzykrotne wprowadzenie błędnego kodu SMS powoduje blokadę tego narzędzia autoryzacji. Aby je odblokować, należy skontaktować się z konsultantem serwisu telefonicznego.
Token
Token iPKO to specjalna aplikacja pobierana przez klienta na telefon komórkowy. Umożliwia ona bezpłatne generowanie jednorazowych kodów, do potwierdzania operacji dokonywanych za pośrednictwem serwisu internetowego i telefonicznego (jedyny koszt, jaki ponosi klient, to opłata zgodna z taryfą operatora za połączenie z internetem w momencie ściągania aplikacji na telefon, oraz podczas pierwszego uruchomienia aplikacji i zmiany PIN-u). Lista telefonów, które umożliwiają ściągniecie i korzystanie z tokena znajduje się na stronie internetowej Banku.
Token może również wzmacniać bezpieczeństwo logowania do serwisu internetowego. Podczas zamawiania tego narzędzia autoryzacyjnego trzeba określić czy token ma służyć wyłącznie do generowania kodów jednorazowych, czy też dodatkowo powinien generować hasła wzmacniające podczas logowania do iPKO.
Dostęp do aplikacji chroniony jest indywidualnym kodem PIN, który nigdy nie powinien być przekazywany komuś innemu. Inicjalny kod PIN, który można następnie zmienić, klient otrzymuje SMS-em - po złożeniu zamówienia na token.
Aplikacja "Token iPKO" nie weryfikuje poprawności wprowadzonego PIN-u. Jeśli użytkownik poda błędny PIN, aplikacja będzie generowała niewłaściwe kody lub hasła. Wówczas logowanie do serwisu i autoryzacja operacji nie jest możliwe. W przypadku utraty telefonu komórkowego, na którym była zainstalowana aplikacja Token iPKO, należy jak najszybciej skontaktować się z konsultantem, aby usunąć aplikację i zmienić narzędzie autoryzacji. Trzykrotne wprowadzenie błędnego kodu lub hasła z tokena powoduje jego blokadę.
Zmiana narzędzia autoryzacji
W dowolnej chwili można zmienić narzędzie autoryzacji na bardziej nam odpowiadające. Klient może wielokrotnie dokonać zmiany narzędzia autoryzacji - samodzielnie przez internet albo u konsultanta telefonicznego. W przypadku korzystania ze "starego" iPKO, należy zalogować się do serwisu, wybrać zakładkę "Dostęp", a następnie "Narzędzia autoryzacyjne" i skorzystaj z funkcji "Zmień". W nowym serwisie trzeba kliknąć w ikonkę "Ustawienia", a następnie wejść w zakładkę "Autoryzacja" i "Zmień narzędzie autoryzacyjne".
W przypadku utraty telefonu komórkowego, na który otrzymywane są kody SMS, należy niezwłocznie zablokować możliwość autoryzacji operacji tymi kodami - jest to również możliwe w serwisie internetowym iPKO lub za pośrednictwem konsultanta telefonicznego.
Roman Grzyb
Ekspert PKO Banku Polskiego
Czytaj także:
Bezpieczeństwo bankowości elektronicznej - żelazne zasady
Skuteczne hasło podstawą bezpieczeństwa prywatnej bankowości
Nowe technologie
02018.07.25Suma haszowa, czyli wstęp do blockchaina
więcejSuma haszowa stoi na straży informacji, które są przechowywane i przetwarzane w bazach opartych o łańcuch bloków.
Nowe technologie
02016.10.17Proste kroki do Profilu Zaufanego
więcejUtworzenie Profilu Zaufanego i podpisywanie wniosków oraz dokumentów jest bardzo proste. W kilku krokach można to zrobić za pośrednictwem bankowego serwisu transakcyjnego.
Nowe technologie
02015.11.16Nowe IKO - moc mobilnej bankowości
więcejPKO Bank Polski, lider bankowości mobilnej, wprowadza nową wersję aplikacji na telefony komórkowe. Wygodna, intuicyjna nawigacja zgodna z najnowszymi trendami, dostęp do rachunku i salda przed zalogowaniem, czy wykonywanie operacji bezpośrednio z głównego ekranu – to tylko niektóre z jej zalet. Użytkownicy IKO zyskują dostęp do pełnej bankowości za pośrednictwem telefonu. Obecnie z aplikacji mobilnej Banku korzysta ponad 370 tysięcy osób.
Nowe technologie
02015.07.29Wypłaty BLIK dostępne już w ponad 11 tys. bankomatów
więcejSieć bankomatów Euronet obsługujących wypłaty BLIK powiększyła się o blisko 850 maszyn. Bankomaty umieszczone są w oddziałach: Alior Banku, Credit Agricole, Getin Banku, Idea Banku oraz mBanku na terenie całej Polski.
Nowe technologie
02015.07.27„B” jak bezpieczna bankowość
więcej„Bankowali bezpiecznie”, czyli jak? Nie dali złowić się w sieć phishingu i nie padli ofiarą cyberprzestępców. Wypełnili bezbłędnie nasz test wiedzy, zwyciężyli i zdobyli nagrody. Znamy już laureatów konkursu „Bankuj bezpiecznie”. Jakie są ich rady dotyczące korzystania z bankowości?
Nowe technologie
02015.07.24Bank chce chodzić za nami krok w krok
więcejBanki chcą błyskawicznie reagować na potrzeby swoich klientów, a często nawet wyjść im naprzeciw. To od nas zależy, jak blisko zwiążemy się ze swoim bankiem.