Bezpieczna bankowość

Jak bezpiecznie korzystać z bankowości?

Bezpieczeństwo korzystania z serwisu bankowości elektronicznej zależy od zabezpieczeń po stronie banku i zabezpieczeń po stronie Klienta. Zabezpieczenia po stronie banku spełniają wysokie standardy i są cyklicznie testowane oraz audytowane. Przestępcy doskonale wiedzą, że to właśnie zabezpieczenia po stronie Klienta stanowią najsłabsze ogniwo, i dlatego ich działania są ukierunkowane na ten najsłabszy punkt. Bezpieczeństwo korzystania z serwisu bankowości internetowej zależy w dużej mierze od poziomu świadomości jego użytkowników, w tym także świadomości na temat ochrony własnego komputera. Niezabezpieczony komputer jest narażony na ataki różnego rodzaju złośliwego oprogramowania, a nawet na całkowite przejęcie nad nim kontroli przez napastnika. W takiej sytuacji nietrudno sobie wyobrazić, jak dużą swobodę posiada złodziej mogący kontrolować i modyfikować zarówno numery rachunków bankowych, na które wykonujemy przelewy, jak i przelewane kwoty.

 Jak mam zmienić hasło do bankowości?

 Po zalogowaniu się do serwisu bankowości internetowej należy wybrać przycisk kierunkowskazu „Twoje systemy”(prawy górny róg okna), a następnie wybrać kafelek „Zmień hasło”.

Następnie należy wpisać stare hasło oraz dwa razy nowe, po czym nacisnąć przycisk „Zmień”. W tworzeniu nowego hasła pomoże Ci artykuł poniżej: Jak stworzyć silne hasło do bankowości.

 Jak stworzyć silne hasło do bankowości?
  • hasła nie powinny być frazami słownikowymi (polskimi i obcojęzycznymi);
  • hasło powinno zawierać więcej niż 7 znaków;
  • hasło nie powinno bazować na znanych danych osobowych użytkownika lub być znaną powszechnie nazwą czy identyfikatorem, jak na przykład imieniem (własnym, przyjaciela, członka rodziny itp.), nazwiskiem, nazwą (na przykład systemów, poleceń, programów, procesów itp.), nazwą organizacji lub jej struktur (działu, departamentu itp.), datą (datą urodzin, datą dobrze znanych wydarzeń historycznych itp.), adresem, numerem telefonu oraz kombinacjami wymienionych fraz;
  • hasło nie może być powtarzalną kombinacją znaków (na przykład aaabbbccc), łatwo przewidywalną sekwencją znaków (na przykład 12345, qwerty itp.) lub ich odwrotną transpozycją (np. 54321);
  • hasło nie może być prostą kombinacją jednej ze wspomnianych fraz wraz z cyfrą na początku lub na końcu (na przykład secret1 czy 1secret);
  • silne hasło musi zawierać kombinację zarówno małych jak i dużych liter oraz znaków specjalnych (na przykład takich jak !@#$%^&*()_+|~-=\`{}[]:";'<>?,./));

Zalecanym sposobem tworzenia silnych haseł są tzw. pass-frazy, tworzone zgodnie z następującym schematem: (1) należy opracować zdanie bazowe do pass-frazy, na przykład „Czy można stworzyć bezpieczne hasło?”, (2) należy wyróżnić w zdaniu bazowym elementy pass frazy, na przykład „Czy można stworzyć bezpieczne hasło?”, (3) należy dokonać mapowania i podmiany znaków (zmiana wielkości, znaki specjalne: Czy à3; m à M; s à s; b à B; has à # (od hasz), ło? à 1o?), w wyniku czego powstaje silna pass-fraza, na przykład: 3MsBez#1o? 

Posługując się hasłami, użytkownicy powinni pamiętać o tym, aby:

  • nie używać takich samych haseł do uwierzytelnień we wszystkich systemach, do których się logują. Na przykład nie stosować do logowania się do banku identycznego hasła, jak hasło do systemów pocztowych czy portali społecznościowych (z portali społecznościowych czy z publicznych systemów pocztowych coraz częściej wyciekają różne informacje, zatem trzeba dbać o to, aby wyciek danych z takich systemów nie oznaczał jednocześnie ujawnienia naszego hasła do bankowości internetowej);
  • nie współdzielić hasła z innymi użytkownikami (nawet członkami rodziny);
  • nie ujawniać haseł innym osobom (w bezpośredniej rozmowie, przez telefon, w wiadomościach poczty.

Ponieważ pierwszy z powyższych postulatów może być (w przypadku osób korzystających z wielu różnych usług internetowych) trudny i uciążliwy w realizacji, jako absolutne minimum należy przyjąć stosowanie różnych haseł w oddzielnych grupach usług: inne dla kont pocztowych, inne w portalach społecznościowych, a jeszcze inne (i najlepiej istotnie trudniejsze do odgadnięcia oraz szczególnie chronione) do usług bankowości internetowej.

Podstawowe zasady bezpiecznego zarządzania hasłami to:

  • niezapamiętywanie haseł w systemach i aplikacjach, chyba że zapisywane są w specjalnie do tego celu przeznaczonej aplikacji (tzw. Password Manager, na przykład darmowy KeePass), przechowującej hasła w szyfrowanych bazach;
  • niezapisywanie haseł w postaci jawnej, możliwej do odczytania przez niepowołane osoby;
  • hasła powinny być regularnie zmieniane, przynajmniej raz na dwa miesiące. Ponadto, hasła muszą być zmienione natychmiast, w sytuacji, kiedy zachodzi prawdopodobieństwo ich ujawnienia niepowołanym osobom. 
Jak często należy zmieniać hasło do serwisu bankowości elektronicznej?
 Hasło do serwisu bankowości internetowej powinno być zmieniane nie rzadziej niż raz na miesiąc. Dodatkowo w celu podniesienia poziomu bezpieczeństwa Klienta serwis wymusza zmianę hasła co trzy miesiące. Powodem wprowadzenia tej pozornie zbędnej uciążliwości są nasilające się zagrożenia dla Klientów bankowości internetowej. Pojawiają się one ze strony różnego rodzaju oprogramowania szpiegowskiego, podsłuchującego m.in. hasła i przekazującego je przestępcom. Takie przechwycone hasło może być użyte do podszycia się pod Klienta i okradzenia go nawet po upływie długiego czasu od momentu podsłuchania. Wymaganie zmiany hasła co 90 dni stanowi kompromis pomiędzy bezpieczeństwem a wygodą Klienta. Im bowiem dłużej wykorzystuje się to samo hasło, tym większe jest prawdopodobieństwo jego przejęcia przez złodziei.
Jakie oprogramowanie powinien posiadać sprzęt wykorzystywany do połączeń z bankiem?

 Pamiętaj aby podczas korzystania z bankowości internetowej twój komputer posiadał:

  • legalny system operacyjny, stale (najlepiej automatycznie) aktualizowany udostępnianymi przez producenta poprawkami,
  • tylko legalne oprogramowanie pochodzi z zaufanych źródeł i upoważnia nas do korzystania z aktualizacji i poprawek bezpieczeństwa (tzw. łatek),
  • wszystkie zalecane przez dostawców zainstalowanego na sprzęcie oprogramowania poprawki, aktualizacje czy „łatki”, ponieważ wiele z nich koryguje identyfikowane na bieżąco krytyczne podatności systemu, przez które hakerzy mogą przeprowadzić atak,
  • zainstalowana najnowsza wersja przeglądarki internetowej,
  • dobre oprogramowanie antywirusowe, a najlepiej pakiet zintegrowanych narzędzi do ochrony urządzenia, zawierający obok skanera antywirusowego dodatkowo osobistą zaporę sieciową (ang. personal firewall), system przeciwdziałania włamaniom (ang. host intrusion prevention system) oprogramowanie do badania reputacji treści WWW itp., a także na bieżąco aktualizowane bazy oprogramowania antywirusowego i bazy sygnatur oprogramowania antyszpiegowskiego,

Ważne jest, aby łączyć się z Bankiem wyłącznie z zaufanych komputerów. W praktyce sprowadza się to do korzystania z tych komputerów, do których użytkownik ma wyłączny dostęp lub które wykorzystywane są jedynie przez niewielkie grono zaufanych osób (na przykład rodzina). Nie należy do połączeń z Bankiem używać komputerów dostępnych publicznie, na przykład w kawiarenkach internetowych. Nigdy nie wiadomo bowiem, czy taki komputer nie został wcześniej zainfekowany oprogramowaniem złośliwym wyspecjalizowanym w kradzieży poświadczeń tożsamości (loginów, haseł), kodów autoryzacyjnych i innych poufnych informacji, zapisanych w pamięci lub wprowadzanych do niego podczas połączenia z bankiem lub innymi usługodawcami.

Niezwykle istotna jest instalacja wszystkich zalecanych przez producenta systemu operacyjnego „łatek”. Często takie „łatki” zawierają poprawki dla wykrywanych w systemie luk w bezpieczeństwie.

Wszystkie takie poprawki bezpieczeństwa („łatki”) muszą być instalowane na bieżąco w miarę ich udostępniania przez producenta systemu. Dla komputerów z systemem Windows warto włączyć funkcje automatycznych aktualizacji. Na bieżąco powinny być także aktualizowane bazy oprogramowania antywirusowego i bazy sygnatur oprogramowania antyszpiegowskiego. Regularnie, jednak nie rzadziej niż raz na tydzień, należy też uruchamiać pełne kontrole antywirusowe komputerów.

Co to jest certyfikat cyfrowy lub elektroniczny?

Certyfikat cyfrowy – zwany także certyfikatem klucza publicznego lub certyfikatem elektronicznym – stanowi poświadczenie autentyczności klucza publicznego podmiotu, dla którego certyfikat ten został wystawiony. Wystawcą certyfikatu jest tzw. 

Zaufana Strona Trzecia (ang. TTP – Trusted Third Party), czyli urząd certyfikacyjny (ang. CA – Certification Authority).

Podpisanie certyfikatu przez ten podmiot pozwala w pełni ufać prezentowanej zawartości – oczywiście po sprawdzeniu ważności i autentyczności podpisu.

Certyfikat klucza publicznego zawiera trzy podstawowe informacje:

  • klucz publiczny podmiotu;
  • opis tożsamości podmiotu;
  • podpis cyfrowy złożony przez Zaufaną Stronę Trzecią.
Certyfikat potwierdza: tożsamość jego właściciela lub obiektu, do którego jest przypisany (np. serwer, aplikacja itp.), autentyczność zawartego w nim klucza publicznego oraz (pośrednio) fakt dysponowania przez dany podmiot odpowiednim kluczem prywatnym, tj. stanowiącym parę z certyfikowanym kluczem publicznym. Ufając wystawcy certyfikatu, możemy więc podpisy elektroniczne złożone przy użyciu tego klucza prywatnego uznawać za złożone przez podmiot opisany w certyfikacie lub w imieniu tego podmiotu.

W jaki sposób mogę zweryfikować autentyczność certyfikatu elektronicznego?

 Weryfikacja autentyczności certyfikatu elektronicznego polega na zestawieniu takich jego atrybutów jak:

  • tzw. odcisk palca (ang. fingerprint) certyfikatu;
  • opis tożsamości podmiotu;
  • porównanie danych wystawcy certyfikatu z danymi publikowanymi przez Bank.

Poniższa ilustracja przedstawia podgląd certyfikatu wystawionego dla Raiffeisen Bank Polska S.A.



Użytkownik nie powinien podawać danych uwierzytelniających go, dopóki nie ma pewności co do tego, że odwołuje się do zaufanego serwisu banku.

Mapy Google
Klucz API Google#123
URL/test-harmonogramu?&v
Zawartość lewego panelu
Wysokość60vh
Szerokość99%
Mapy Google
Klucz API Google#456
URL/test-harmonogramu
Zawartość lewego panelu
Wysokość40vh
Raiffeisen Bank Polska Spółka Akcyjna z siedzibą w Warszawie przy ul. Grzybowskiej 78, 00-844, wpisana do Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XII Wydział Gospodarczy pod nr KRS 14540, o opłaconym kapitale zakładowym w wysokości 2.256.683.400 PLN, o numerze NIP: 526-020-58-71, kodzie SWIFT: RCBWPLPW
Adres: ul. Grzybowska 78; 00-844 Warszawa; Polska; Tel.: (+48 22) 347 70 00; Fax: (+48 22) 347 70 01