Klucze bezpieczeństwa – nowa metoda logowania do serwisu iPKO pomoże w walce z cyberprzestępcami

Klienci PKO Banku Polskiego mają teraz możliwość zabezpieczenia logowania do serwisu internetowego iPKO za pomocą kluczy bezpieczeństwa. Kluczem bezpieczeństwa klient PKO Banku Polskiego może zastąpić dotychczasową metodę dodatkowego potwierdzenia logowania: potwierdzenie w aplikacji IKO, kod SMS lub kod z karty kodów.
około min czytania

Klucz bezpieczeństwa lub klucz sprzętowy – to nieduże urządzenie z wejściem USB, które wyglądem przypomina pendrive. Służy do bezpiecznego potwierdzania tożsamości w sieci, za każdym razem, gdy serwis wymaga uwierzytelniania dwuskładnikowego. W praktyce oznacza to, że dzięki zastosowaniu takiego klucza nikt niepożądany np. cyberprzestępca, który nie ma klucza klienta, nie zaloguje się do serwisu iPKO, nawet jeśli pozna login i hasło użytkownika.

Kluczem bezpieczeństwa klient PKO Banku Polskiego może zastąpić dotychczasową metodę dodatkowego potwierdzenia logowania: potwierdzenie w aplikacji IKO, kod SMS lub kod z karty kodów. Klucza można używać zarówno do logowania na komputerze, jak i urządzeniu mobilnym (w przypadku serwisu iPKO w wersji RWD). Logowanie do aplikacji IKO pozostaje bez zmian.
 

Korzystanie z klucza sprzętowego to dobrowolny wybór klienta. Jeśli zacznie go używać, to jest to rozwiązanie, które poprawia bezpieczeństwo w sieci i dodatkowo podnosi poziom zabezpieczenia logowania do serwisu iPKO. Coraz częściej stykamy się z socjotechnicznymi sztuczkami i działaniami cyberprzestępców, którzy chcą wyłudzić nasze dane czy ukraść nasze pieniądze. Najczęściej realizowane jest to poprzez phishing, a klucze bezpieczeństwa są obecnie jednym z najmocniejszych zabezpieczeń przed skutkami takich ataków. Dzięki temu zabezpieczeniu klient nie będzie mógł zalogować się na fałszywej stronie, na którą został zwabiony przez oszusta. Klucz będzie chronić konto też wtedy, gdy login i hasło zostaną skradzione przez cyberprzestępcę – logowanie nie będzie możliwe bez użycia klucza – podkreśla Radosław Janusz, dyrektor Biura Architektury i Usług Cyberbezpieczeństwa w PKO Banku Polskim.

To rozwiązanie ma też szersze zastosowanie. Klucze sprzętowe są uniwersalne i można ich używać do innych serwisów i usług, które umożliwiają dwuskładnikowe logowanie, np. do poczty elektronicznej, serwisów społecznościowych, managerów haseł czy też aplikacji biznesowych. Klucz oferuje wyższy poziom bezpieczeństwa, ponieważ opiera się m.in. na kryptografii asymetrycznej. To system, który wymaga dwóch kluczy kryptograficznych - publicznego oraz prywatnego, do którego nikt - poza klientem - nie ma dostępu.
 
W praktyce oznacza to, że:
  • obca osoba np. cyberprzestępca nie zaloguje się do serwisu iPKO, nawet jeśli pozna login i hasło klienta, bo nie ma jego klucza prywatnego,
  • klient nie zaloguje się do fałszywej strony, bo jego prywatny klucz nie połączy się z nieznanym kluczem publicznym.
Klient logujący się do serwisu iPKO z użyciem klucza bezpieczeństwa będzie potwierdzać transakcje i dyspozycje w serwisie tak jak dotychczas np. w aplikacji IKO, kodem SMS lub za pomocą karty kodów. 
 
W PKO Banku Polskim obsługiwane są klucze największego producenta tego rodzaju zabezpieczeń – firmy Yubico (marka YubiKey). Wykorzystują one technikę FIDO, według producenta uznawaną za najwyższy poziom bezpieczeństwa. Bank nie sprzedaje takich kluczy – różne ich modele są do kupienia w sklepach z urządzeniami elektronicznymi i u sprzedawców w internecie. Klienci PKO Banku Polskiego, którzy chcą wzmocnić ochronę swojego logowania w sieci, mogą kupić klucz i skonfigurować go online w serwisie internetowym iPKO bez konieczności wizyty w oddziale.
 
Samo uwierzytelnianie przy pomocy klucza jest proste i intuicyjne:
  1. Najpierw klient powinien zalogować się do iPKO i w metodach uwierzytelniania wybrać klucz bezpieczeństwa (Ustawienia | Dostęp i bezpieczeństwo | Klucze bezpieczeństwa | Dodaj klucz bezpieczeństwa), postępując zgodnie z instrukcjami na ekranie.
  2. Kolejny krok to umieszczenie klucza w porcie USB i zgodnie ze wskazówkami zapisanie go, można przy tym nazwę systemową klucza zastąpić nazwą własną.
  3. Po dodaniu klucza, klient może już logować się do serwisu internetowego iPKO  przy jego użyciu. Po wejściu na stronę logowania ipko.pl, klient wpisuje login i hasło do konta, i potwierdza logowanie dotknięciem przycisku na kluczu włożonym do portu USB. To weryfikuje tożsamość użytkownika i pomyślnie go uwierzytelnia.
W przypadku utraty klucza bezpieczeństwa np. jego zgubienia czy kradzieży, klient powinien zadzwonić na infolinię banku, aby zmienić narzędzia do potwierdzenia logowania do serwisu iPKO i usunąć klucz bezpieczeństwa.

Bezpieczne logowanie do serwisu iPKO

Tworząc hasło i logując się do serwisu internetowego banku warto pamiętać o podstawowych zasadach bezpieczeństwa. Najlepiej tworzyć skomplikowane hasła, trudne do odgadnięcia dla innych i pamiętać o użyciu małych i wielkich liter, cyfr i znaków specjalnych (np. !@#$%&?). Hasło nie może mieć polskich liter (np. ł, ś). Nie należy nigdzie zapisywać loginów i haseł. Bezpieczniej jest także nie używać tego samego hasła do różnych dostępów (np. bankowości internetowej, poczty mailowej, sklepów w internecie).
W iPKO, podczas zmiany lub tworzenia nowego hasła do logowania,  wpisane przez klienta hasło zostanie sprawdzone – czy występuje w bazie haseł skompromitowanych (udostępnionych w internecie - taką bazę danych prowadzi Ministerstwo Cyfryzacji), których nie można użyć. Jeżeli hasło będzie w takiej bazie, to klient zobaczy komunikat z wyjaśnieniem, dlaczego nie może użyć tego hasła i powinien zaproponować inne, które zwiększy bezpieczeństwo dostępu do jego konta. Dzięki temu bank wspiera swoich klientów przy ustawianiu haseł, edukuje ich i daje wskazówki, jak tworzyć silne hasła.
 
PKO Bank Polski stosuje też obrazek bezpieczeństwa, czyli grafikę, którą klient wybiera podczas pierwszego logowania do serwisu iPKO. Obrazek jest dodatkowym zabezpieczeniem logowania - powinien pojawiać się za każdym razem, gdy klient podczas logowania poda swój numer klienta lub przyjazny login. Jeśli obrazek nie zostanie wyświetlony najprawdopodobniej klient jest na fałszywej stronie imitującej stronę logowania do iPKO. Na stronę www.ipko.pl najlepiej wejść wpisując bezpośrednio jej adres lub klikając „Zaloguj się” na stronie głównej banku www.pkobp.pl.
 
Piotr Wardziak
Ekspert w PKO Banku Polskim