Bezpieczeństwo – Bankowe konto internetowe

Gdybyśmy nadali bezpieczeństwu i swobodzie dostępu do środków finansowych wartości liczbowe to okazałoby się, że ich suma jest zawsze taka sama – 100%. Pełna i niczym nieograniczona swoboda w dostępie do naszego konta nie zapewniłaby żadnej ochrony jednocześnie 100% bezpieczeństwo prawie całkowicie uniemożliwiłoby nam swobodę korzystania z usług finansowych.

Oczywiście obie powyższe sytuacje są w naszym świecie nierealne gdyż każda z instytucji finansowych narzuca nam jakiś poziom bezpieczeństwa (wymóg długości hasła do systemów transakcyjnych, pin do karty etc). Mimo to nadal najsłabszym ogniwem w całym tym systemie jesteśmy my sami. Jak możemy poprawić nasze bezpieczeństwo bez zbędnego utrudniania sobie życia?

Część I – Konta Internetowe – logowanie, przechowywanie danych na komputerze etc

Jednym z najczęściej popełnianych błędów jest przechowywanie numerów klienta czy loginów (nie haseł!) do naszych kont bankowych w plikach na komputerze. Wychodzimy często z założenia, że chronić ma nas hasło, a numer klienta może podejrzeć każdy pracownik banku. Niestety nic bardziej mylnego.

Okazuje się, że w tworzeniu haseł jesteśmy mało kreatywni i to nie tylko my ale cały świat. Po analizie wycieku kilku baz danych dużych serwisów internetowych (10 tys polskich i 32 miliony z całego świata) okazuje się, że wielu z nas używa tych samych haseł:

W polsce:

  1. 123456
  2. polska
  3. matrix
  4. qwerty
Na świecie:

  1. 123456
  2. 12345
  3. 123456789
  4. Password

Okazuje się więc, że w wielu przypadach głównym zabezpieczeniem pozostaje login / numer klienta, który z racji swojej unikalności jest czasami trudniejszy do odgadnięcia / odszyfrowania. Warto więc, oprócz wymyślenia bardziej kreatywnych haseł niż imię psa, imię dziecka, imię żony, imię matki czy data urodzenia zabezpieczyć również sam numer klienta.

Jak to zrobić?

Najlepiej oczywiście pamiętać zarówno login jak i hasło, ale jest to mało komfortowe szczególnie, że mamy do zapamiętania masę loginów i haseł. Możemy więc przechowywać nasze dane albo na komputerze albo na pendrive. Do  tego posłuży nam program TrueCrypt, który pozwala nie tylko na bardzo mocne zaszyfrowanie danych, ale również na ich dodatkowe zabezpieczenie kluczem (plikiem, który będziemy trzymać na osobnym pendrivie, bez którego nawet po podaniu prawidłowego hasła nie dostaniemy się do zaszyfrowanych danych).

Więcej o tym Jak zabezpieczyć hasła za pomocą TrueCrypt (instrukcja i przykład)

Hasła powinniśmy pamiętać, pozostałe dane do logowania zabezpieczone TrueCryptem będą na tyle bezpieczne, żeby odstraszyć ewentualnego „napastnika”.

Logowanie na konto

Najważniejsze jest sprawdzenie certyfikatu strony i protokołu, który wykorzystuje. Nie trzeba do tego żadnej specjalistycznej wiedzy ponieważ najnowsze wersje przeglądarek internetowych wyświetlają dane serwera z którym się łączymy i tak na przykład w FireFox poprawnie załadowana strona ma tak wyglądający pasek adresu:

Widzimy tu na zielonym tle dane instytucji z którą się połączyliśmy. Jest to o tyle ważne, że sam adres internetowy można łatwo oszukać szczególnie, jeśli łączycie się z kawiarenki internetowej lub macie w domu internet z sieci osiedlowej. Tak więc sama poprawność adresu w przeglądarce jeszcze niczego nie gwarantuje – spokojni możemy być dopiero po sprawdzeniu certyfikatu strony.

Drugim ważnym elementem jest sprawdzenie protokołu – a mówiąc prościej czy adres zaczyna się od HTTP czy HTTPS. To „s” na końcu jest o tyle ważne, że gwarantuje nam szyfrowanie połączenia między naszym komputerem a komputerem w banku. Dla czego jest to tak ważne?

Jeśli macie w domu router z WiFi wbrew pozorom można bardzo łatwo włamać się do waszej domowej sieci. Tym samym komputer włamywacza stanie się częścią waszej sieci lokalnej gdzie każdy może sprawdzić wszystkie połączenia pomiędzy innymi komputerami a routerem itp. Nie pomogą tu żadne firewall’e czy inne zabezpieczenia na Waszym komputerze ponieważ włamywacz nawet nie będzie musiał ich łamać – wystarczy, że podsłucha ruch w waszej sieci. HTTPS da nam pewność, że komunikacja z bankiem już na poziomie naszej sieci lokalnej jest szyfrowana i ewentualny włamywacz dostanie co najwyżej bardzo dużo nic niewartych „smieciowych” informacji.

Kawiarnie internetowe i dostęp publiczny

Powyższy sposób działa idealnie w miejscach z publicznym dostępem do internetu. Niektóre sieci fastfood’ów czy centra handlowe oferują darmowy dostęp do internetu w niezabezpieczonej sieci. Jeśli po podłączeniu do takiej sieci zalogujecie się na konto bankowe bez użycia HTTPS – cała komunikacja między waszym komputerem a serwerem banku będzie widoczna dla wszystkich, którzy właśnie korzystają z tego punktu dostępowego.

Korzystanie z publicznego internetu nie jest jeszcze tak niebezpieczne jak korzystanie z usług kawiarenek internetowych. Tu nie pomoże ani certyfikat na stronie ani HTTPS gdyż każdy publiczny komputer może mieć zalogowanego tzw KeyLogera – czyli program, który zapisuje wszystko co wciskamy na klawiaturze – w tym również wprowadzany przez nas login i hasło.

Zasady, które należy przestrzegać:

  1. numer klienta / login jest tak samo ważny jak hasło – staraj się je zapamiętać i nigdzie nie zapisywać
  2. jeśli musisz mieć zapisany chociaż login zrób to tak jak opisałem – przy wykorzystaniu TrueCrypt’a
  3. sprawdź czy strona banku wysłała poprawny certyfikat (w FireFox’ie będzie to zielony pasek z informacją przed adresem strony)
  4. sprawdź czy protokół to HTTPS (a nie http)
  5. loguj się tylko z zaufanych punktów dostępowych, unikaj publicznego internetu
  6. jeśli masz dostęp np do firmowej sieci poprzez tzw VPN możesz w miejscu publicznym najpierw nawiązać połączenie VPN z siecią swojej firmy, a dopiero potem wejść na stronę banku i zalogować się na swoje konto – zwiększy to bezpieczeństwo połączenia
By | 2015-02-16T22:50:25+00:00 Styczeń 24th, 2011|Ciekawostki, Główna|7 komentarzy

About the Author:

Paweł Choiński - autor bloga Podstawy-Inwestowania.pl.

7 komentarzy

  1. Janusz (W-wa) 15:14 Styczeń 24, 2011 at 15:14

    Polecam. Używam TrueCrypta od lat. Pamiętam w nim setki adresów, loginów i haseł do stron banków, instytucji, forów itp…

    Wystarczy jedno (skomplikowane!) hasło do programu.

    Poleciłbym jeszcze dwie rzeczy:

    1) wykonywanie kopii zapasowych zaszyfrowanego pliku z hasłami TrueCrypta
    (no bo przy awarii dysku stracimy dostęp do wszystkich kont)

    2) zainstalowanie dobrego oprogramowania antywirusowego – polecam NOD32 (nie pakiet, sam antywirus) lub ewentualnie pakiet Kaspersky

    3) korzystanie z przeglądarki Firefox z zainstalowanymi pluginami NoScript oraz AddBlock (nie wiem co to wyskakujące reklamy i bezpiecznie surfuję po sieci)

  2. Cheed 17:37 Styczeń 24, 2011 at 17:37

    Co do wpisu i porad Janusza z komentarza – nic dodać, nic ująć. Ja również korzystam z NoScript, Adblocka (czasem wyłączam, gdy wspieram kogoś klikami w reklamy), a oprócz antywirusa (darmowy Avast), używam także Firewalla wbudowanego w Windowsa.

    Swego czasu pisałem również o tym, „Jak bezpiecznie płacić kartą płatniczą„. Być może przyda się komuś jako uzupełnienie tego wpisu.

    Pozdr.

  3. Paweł Choiński 18:48 Styczeń 24, 2011 at 18:48

    @Cheed: Dzięki. Początkowo artykuł miał być również o kartach, ale wyszło zbyt długie i karty będą w drugiej części tylko jeszcze czekam na opinie znajomego (specjalistę od bezpieczeństwa IT) nt kart bezstykowych 🙂

  4. Janusz (W-wa) 12:41 Styczeń 26, 2011 at 12:41

    Mała adnotacja do mojego pierwszego wpisu: oczywiście chodziło mi o program KeePass do zarządzania kontami, loginami i hasłami w serwisach internetowych.

    TrueCrypt’a również używam od lat do szyfrowania wrażliwych dokumentów / danych osobowych itp. W razie utraty laptopa/dysku/pendrive’a złodziej nie będzie w stanie odszyfrować moich danych – a one są zazwyczaj cenniejsze od samego sprzętu.

  5. Janusz (W-wa) 12:46 Styczeń 26, 2011 at 12:46

    A co do planowanego artykułu dot. bezpiecznych płatności kartą – warto wspomnieć, żeby zwracać uwagę na reklamy/ogłoszenia naklejone na bankomacie oraz naklejki z logo obsługiwanych kart/banków. Jeśli są zdublowane, to bardzo prawdopodobne, że jedna z nich jest fałszywa i ma wbudowaną mikrokamerę i/lub nadajnik bezprzewodowy. To takie uzupełnienie do artykułu podlinkowanego przez @Cheed.

    Zdublowane mogą być tylko w jednym przypadku – kiedy jedna jest od właściciela bankomatu, a druga od banku wynajmującego terminal, ale trzeba być szczególnie ostrożnym.

  6. Lexsander 19:56 Styczeń 26, 2011 at 19:56

    Trochę nie na temat ale polbank otworzył ciekawe konto, oprocentowanie 7% DO 1000 zł 😉 jak ktoś ma zbędnego tysiaka to można się nad tym zastanowić.

  7. Paweł Choiński 11:05 Styczeń 29, 2011 at 11:05

    @Lexsander: w sumie ciekawa propozycja dla „najmłodszych” oszczędzających 🙂 Szkoda, że oferta ważna tylko do września 2011, a oprocentowanie jest zmienne w skali roku.

Leave A Comment