SiolNET. Digisvet Novice
10

termometer

  • Messenger
  • Messenger

Slovenske banke ukinjajo enega najpogostejših načinov plačevanja

10

termometer

Kartica, plačilo
Ob izvedbi spletnega plačila banka komitentu pošlje enkratno geslo, ki ga je treba za potrditev plačila vnesti v obrazec v spletnem brskalniku. Ta način potrjevanja identitete po mnenju Evropske unije ni več varen, zato ga bodo banke postopoma ukinile. Foto: Matic Tomšič

Več slovenskih bank načrtuje oziroma so že pripravljene na skorajšnjo ukinitev potrjevanja spletnih plačil izključno z enkratnim geslom, ki ga uporabnik prek sporočila SMS prejme na mobilni telefon. Prehod na druge, zanesljivejše načine izkazovanja identitete plačnika finančnim institucijam v EU zapoveduje nova regulativa, ki začne veljati 14. septembra. 

Mehanizem SMS OTP, način potrjevanja identitete z ustvarjanjem enkratnega gesla, ki ga uporabnik za izvršitev spletnega plačila prejme na svoj mobilni telefon, po tem, ko je Evropska unija prenovila direktivo o plačilnih storitvah (PSD2), ne dosega več standardov za zanesljivo identifikacijo imetnikov bančnih kartic (SCA).

Po 14. septembru letos, ko v veljavo stopa še zadnji element prenovljene direktive, to so regulativni tehnični standardi, bodo morale finančne institucije v EU državljanom EU ponuditi varnejše načine za preverjanje identitete pri potrjevanju spletnih plačil. 

Črni seznam Digisvet Slovenski bančni velikan razčistil polemike o obstoju "črnega seznama"

Zakaj potrjevanje spletnih plačil prek sporočil SMS ne velja več za varno?

Strokovnjaki za informacijsko varnost že nekaj časa opozarjajo na pomanjkljivosti v signalizacijskem protokolu SS7, ki velja za hrbtenico usmerjanja telefonskih klicev, sporočil SMS in mobilnih podatkov. 

Določene ranljivosti v protokolu SS7 je po mnenju strokovnjakov za informacijsko varnost nemogoče odpraviti, zato je treba za izmenjavo občutljivih vrst podatkov, kot so enkratna gesla za spletna plačila, čim prej najti in predvsem začeti uporabljati alternative, opozarjajo. Določene ranljivosti v protokolu SS7 je po mnenju strokovnjakov za informacijsko varnost nemogoče odpraviti, zato je treba za izmenjavo občutljivih vrst podatkov, kot so enkratna gesla za spletna plačila, čim prej najti in predvsem začeti uporabljati alternative, opozarjajo. Foto: Matic Tomšič

Predvsem kritična je ranljivost, ki morebitnemu napadalcu omogoča, da brez vednosti telekomunikacijskega operaterja prevzame nadzor nad uporabnikovo telefonsko številko. To mu lahko med drugim omogoči pooblaščanje spletnih plačil v uporabnikovem imenu. Treba je poudariti, da ne gre zgolj za teoretično možnost, saj so se takšni napadi že dogajali

Partis Digisvet Klonila je zelo priljubljena slovenska spletna stran: kaj se dogaja?

Kakšne bodo morale biti alternative?

Evropski bančni organ (EBA) je 21. junija objavil tri sezname alternativ, ki jih bodo finančne institucije v EU lahko oziroma kar morale uporabljati namesto SMS OTP. 

Ponudniki storitev plačil se bodo morali o identiteti plačnika ob izvedbi plačila prek spleta obvezno prepričati na vsaj dva od treh načinov za overjanje identitete. Ti so določeni po načelu:

- nekaj, kar veš (geslo, koda PIN, odgovor na varnostno vprašanje),

nekaj, kar imaš (pametni telefon ali druga mobilna naprava, naprava ali kartica za generiranje digitalnih žetonov, koda QR),

nekaj, kar si (biometrični podatki, kot so prstni odtis, roženica, obraz, glas, celo ritem srčnega utripa). 

Biometrične lastnosti uporabnika veljajo za vrsto podatkov, ki jih je praviloma najtežje potvoriti, zelo težko oziroma (z izjemo največjih skrajnosti) v večini primerov nemogoče pa jih je tudi ukrasti. Biometrične lastnosti uporabnika veljajo za vrsto podatkov, ki jih je praviloma najtežje potvoriti, zelo težko oziroma (z izjemo največjih skrajnosti) v večini primerov nemogoče pa jih je tudi ukrasti. Foto: Thinkstock

NKBM Digisvet Na drugi strani sveta so našli slovensko banko in sprožili napad

Slovenske banke v nizkem startu, nekatere so na novost že pripravljene

Za Siol.net so priprave na postopno ukinitev potrjevanja plačil z SMS OTP in prehod na druge metode, ki so v skladu z direktivo PSD2 in standardi SCA, potrdili tudi v več slovenskih bankah.

"Sledimo vsem varnostnim zahtevam, ki jih na področju spletnega plačevanja predvidevajo slovenski in evropski bančni regulatorni organi. Tako imamo v načrtu tudi uvedbo varnejše oblike potrjevanja spletnih plačil od obstoječe, ki temelji na enkratni kodi, posredovani s sporočilom SMS. O uvedbi te rešitve bomo uporabnike spletnih plačil pravočasno obvestili," so pojasnili pri SKB.

Bankomat, thumb Digisvet Bankomati v Sloveniji: banke opozarjajo na trike vseh vrst

V Delavski hranilnici so zatrdili, da skupaj s posrednikom, ki pri procesiranju spletnih plačil sodeluje tudi z večino drugih slovenskih bank, iščejo novo ustrezno rešitev, ki bo poenotena za vse uporabnike. Točnega datuma uvedbe novosti še ne morejo napovedati, bodo pa uporabnike o tem pravočasno obvestili.

Pri Gorenjski banki so medtem pojasnili, da imetnikom plačilnih kartic že zdaj ponujajo načine potrjevanja identitete, ki so v skladu z novimi zahtevami Evropske unije, zato drugih sprememb ne načrtujejo.

Odgovore Unicredita, NKBM, Sberbank, Abanke, banke Intesa Sanpaolo in NLB še čakamo, objavili jih bomo, ko jih prejmemo.

Preberite tudi:

SmartNinja Posel danes Slovensko podjetje se po Evropi širi s svetlobno hitrostjo: kaj delajo? PSD2 Digisvet Kaj je PSD2 in kakšne spremembe se tudi v Sloveniji obetajo septembra

 

Komentarji

5

Pridružite se razpravi!
Za komentar se prijavite tukaj. Strinjam se s pogoji uporabe.

  • fizik10 / 20.07.2019. ob 00:48 +5 - 1

    ROLI, točno tako. Nkbm ga je uvedla šele lani. Mislim pa, da to sploh ni slaba rešitev, saj gre za enkratno geslo, ki ga uporabnik vpiše takoj, potem pa to geslo ni več funkcionalno.

    +5 - 1
  • Turob / 19.07.2019. ob 17:35 +4 0

    čudno, da naj bi bil stalen dodaten pin/geslo, ki ga lahko prestrežejo keyloggerji (skrit program, ki spremlja, kaj tipkate), in je nekje tudi shranjen za preverbo, bolj varen od gesla za eno uporabo, ki ga dobite po drugi (sms) poti.. biometrični podatki morajo biti tudi nekje shranjeni za preverbo.. dodatne kartice in čitalci pa so dragi in zahtevajo dodatne opravke za pridobitev..

    +4 0
  • jugda / 21.07.2019. ob 06:47 +2 0

    Kako pa lahko ukradejo enkratno geslo? Proti shranjenim biometričnim podatkom ali geslom? Nekomu se je skisalo...

    +2 0
Delite na:
Delite na: Facebook Twitter Viber Pinterest Messenger E-mail Linkedin