ING i kontrowersyjna autoryzacja
Od 19 maja bieżącego roku klienci ING Banku Śląskiego będą mogli dokonywać transakcji jedynie za pomocą kodów autoryzacyjnych dostarczonych przez SMS lub serwis HaloŚląski po ocenie transakcji za pomocą algorytmu. Bank zapewnia, że nowe rozwiązanie jest wygodne i bezpieczne. Istnieją jednak powody, aby mu nie ufać.
Od 19 maja w ING klient (indywidualny lub mała firma) nie będzie pytany o hasło jednorazowe w czasie dokonywania każdej transakcji. Po zleceniu przelewu specjalny algorytm oceni, czy transakcja wymaga autoryzacji kodem jednorazowym. Klienci mogą się więc spodziewać, że przy wielu przelewach po prostu nie będą pytani o autoryzację.
Jeśli kod autoryzacyjny zostanie wygenerowany, będzie on zawierał również opis transakcji, której dotyczy (obejmując takie informacje jak np. typ transakcji, kwota oraz wybrane cyfry rachunku beneficjenta). Dzięki temu klient może sprawdzić poprawność dyspozycji, jaka zostanie wykonana po zatwierdzeniu. Ważność kodu mija po 30 minutach od momentu udostępnienia go przez bank.
W informacji prasowej ING czytamy, że funkcjonalność ta jest zgodna z najnowszymi światowymi trendami w dziedzinie bezpieczeństwa transakcji dokonywanych w bankowości internetowej. Dyspozycja jest oceniana m.in. na podstawie typowego profilu zachowań użytkownika. Niektórzy klienci ING uważają jednak, że nowa metoda autoryzacji obniża poziom bezpieczeństwa i służy jedynie zaoszczędzeniu na SMS-ach.
O wątpliwościach dotyczących nowych metod autoryzacji w ING pisaliśmy już w marcu. Michał Iwan z firmy F-Secure powiedział nam wtedy, że w obliczu ostatnich ataków na banki zabezpieczenia w postaci identyfikatora i hasła wydają się niewystarczające. Możliwe jest natomiast, że w ING do wykonania przelewu wystarczą właśnie login i hasło.
