Alior Bank przestrzega przed SMS‑ami w przeglądarce i... ma sporo racji

W czerwcu otrzymaliśmy możliwość wysyłania i odbierania SMS-ów z poziomu przeglądarki za sprawą udostępnionej przez Google aplikacji webowej. Dla wielu była to długo oczekiwania funkcja. Warto jednak zwróić uwagę, że stanowić może ona znacznie osłabienie bezpieczeństwa w procesie dwuetapowej weryfikacji tożsamości, np. podczas korzystania z bankowości internetowej.

Kobiera ze smartfonem z depositphotos</a
Kobiera ze smartfonem z depositphotos</a

09.07.2018 | aktual.: 09.07.2018 22:58

Dwustopniowa weryfikacja tożsamości w przypadku niektórych banków wykorzystuje już powiadomienia emitowane przez aplikacje mobilne. Wystarczy zlecić przelew w przeglądarce na pececie i zatwierdzić go w aplikacji mobilnej (PIN-em lub odciskiem palca), by bezpiecznie wydać zlecenie. Wciąż jednak wielu wykorzystuje do tego SMS-y z jednorazowymi kodami. I tu pojawia się problem – przez wprowadzoną przez Google możliwość odbierania SMS-ów w przeglądarce tracimy podstawową zaletę korzystania z 2FA, czyli konieczność potwierdzenia transakcji na dwóch urządzeniach. Uwagę na tę kwestię zwrócił Alior Bank w biuletynie skierowanym do klientów.

Logowanie do Wiadomości w przeglądarce odbywa się podobnie, jak ma to miejsce w przypadku webowych klientów wielu popularnych komunikatorów – instancja przeglądarkowa parowana jest ze smartfonem przez zeskanowanie kodu QR. To smartfon pełni tu więc rolę nadrzędną i wysyła zwrotną informację o autoryzacji. Jeśli zatem w jednej przeglądarce uruchamiana jest instancja wiadomości i zlecany jest przelew, to założenia dwuetapowej weryfikacji lądują w śmietniku – potencjalny atakujący, czy nawet zwykły złodziej, może przejąć oba składniki.

Trudno odmówić tutaj poradom Alioru zdrowego rozsądku. Cała sprawa skłania jednak do zastanowienia się, na ile – w dobie, gdy granica pomiędzy tym, co mobilne i stacjonarne mocno się zatarła – SMS-y mogą jeszcze uchodzić za składnik drugiego etapu. W czasach, gdy priorytetem okazuje się ciągłą synchronizacja danych pomiędzy urządzeniami znacznie lepszym rozwiązaniem są potwierdzane powiadomienia PIN-em czy wzorem linii papilarnej. Najnowszą wersję aplikacji Alior Mobile znajdziecie w naszym katalogu oprogramowania w wersji na Androida i iOS-a.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (22)