Problemy banków po PSD2 i zarządzanie zaufanymi urządzeniami

Banki wdrożyły nowe zabezpieczenia po wejściu dyrektywy PSD2. Klienci zgłaszają liczne problemy z autoryzacją. Dowiedz się, jak zarządzać zaufanymi urządzeniami i unikać pułapek.

PSD2 i nowe standardy bezpieczeństwa w bankowości

Dyrektywa PSD2 zmieniła zasady płatności. Wymaga ona silnego uwierzytelnienia klienta. Banki wprowadziły zmiany 14 września 2019 roku. Te zmiany dotyczą logowania i autoryzacji transakcji. Celem jest zwiększenie bezpieczeństwa.

Czym jest silne uwierzytelnienie?

Silne uwierzytelnienie to metoda potwierdzania tożsamości. Wymaga użycia co najmniej dwóch elementów. Elementy te należą do trzech kategorii. Są to wiedza (coś, co wiesz), posiadanie (coś, co masz) i cecha (coś, czym jesteś). Banki często używają hasła i kodu SMS. Mobilna autoryzacja też spełnia te wymogi.

Problemy klientów mBanku po wejściu PSD2

Klienci mBanku napotkali wiele trudności. Nowe metody autoryzacji budzą zastrzeżenia. Problem dotyczy zwłaszcza zaufanych urządzeń. Użytkownicy zgłaszają liczne błędy techniczne. System działa niedopracowany.

Niedopracowane zaufanie i zarządzanie urządzeniami

Klienci nie mogą zobaczyć listy zaufanych urządzeń. Nie można też unieważnić ciasteczek. Te ciasteczka zapamiętują zaufane urządzenia. Bank informuje o pracach nad tą funkcją. „Przetestowałem nowe 2FA dostępne w mBanku i jestem zaniepokojony jego działaniem.” – mówi jeden z użytkowników. Problem z dodawaniem urządzeń jest częsty. Wiele osób musi ponawiać autoryzację ciasteczek. Dzieje się tak przy każdej aktualizacji przeglądarki. Bank wymaga ponownego dodawania urządzeń.

Problemy z aplikacją mToken i mobilną autoryzacją

Aplikacja mToken przestała działać u niektórych. Nastąpiło to po ostatniej aktualizacji. Mobilna autoryzacja jest alternatywą dla SMS-ów. Działa w aplikacji mobilnej na Android i iOS. Powiadomienia autoryzacyjne są ważne 5 minut. Zatwierdzenie operacji wymaga jednego kliknięcia. Mobilna autoryzacja działa na aktywnych urządzeniach. W przypadku odinstalowania aplikacji działa autoryzacja SMS. Dzieje się tak do czasu odłączenia urządzenia. „Aplikacja mToken przestała działać u niektórych użytkowników po aktualizacji” – wynika z doniesień.

Parowanie urządzeń i limity przelewów

Wielu klientów ma problem z parowaniem urządzeń. Dodanie komputera wymaga potwierdzenia. Używasz do tego hasła SMS lub mobilnej autoryzacji. Limit przelewów w aplikacji mobilnej wynosi 1000 PLN. Dotyczy to użytkowników starszych systemów iOS 13. „Po aktualizacji iOS 13 nie można robić przelewów powyżej 1000 PLN.” – zgłasza klient.

Reklamacje i obsługa klienta

Klienci zgłaszają problemy do banku. Czas oczekiwania na rozpatrzenie reklamacji wynosi do 30 dni. Zazwyczaj trwa to 1-2 dni. Banki mają problem z obsługą starszych systemów. Dotyczy to szczególnie starszych wersji iOS. Problemy dotyczą też starszych urządzeń.

Zarządzanie zaufanymi urządzeniami w praktyce

Zarządzanie listą urządzeń jest kluczowe. Zapewnia to wygodę i bezpieczeństwo. Możesz mieć maksymalnie 10 urządzeń zaufanych. Logowanie od 14 września jest bezpieczniejsze. Bank prosi o dodatkowe potwierdzenie. Dzieje się tak przy logowaniu z nieznanego urządzenia. Zmiana parametrów urządzenia wymaga ponownego dodania.

Nie ograniczaj korzystania do jednego urządzenia. „Never ograniczmy korzystania do jednego urządzenia – zapewnia Emilia Kasperczak, z biura prasowego tego bank.” Możesz mieć aplikację na wielu telefonach. Zapewnienia banku potwierdzają tę możliwość. „Joke w mBanku – klient może mieć zainstalowaną aplikację na wielu telefonach.” – wynika z opinii.

Bezpieczeństwo aplikacji mobilnej i metody logowania

Aplikacja mobilna mBanku zapewnia bezpieczeństwo. Została stworzona przez mBank S.A. Pobieraj ją tylko z oficjalnych sklepów. Aplikacja nie przechowuje danych logowania w telefonie. Automatyczne wylogowanie następuje po 20 minutach. Dzieje się tak przy braku aktywności. „Andrzej od początku września nie może się zalogować na konto.” – pokazuje przykład problemu.

Logowanie do aplikacji mobilnej

Logowanie wymaga podania PIN-u. Potwierdzasz je przyciskiem Zaloguj. Możesz aktywować logowanie odciskiem palca. Funkcja działa, jeśli telefon to obsługuje. Identyfikator klienta to 8-cyfrowy numer. Jest on poufny. Tymczasowe hasło jest ważne 48 godzin. Otrzymujesz je SMS-em. SMS zawiera hasło do odszyfrowania pliku PDF. Plik zawiera identyfikator i tymczasowe hasło.

Blokada dostępu i odzyskiwanie PIN-u

Urządzenie może zostać zablokowane. Dzieje się tak po 3 błędnych próbach PIN-u. Blokada następuje też po ponad 50 błędach w sumie. Odblokowanie dostępu wymaga ponownego połączenia z rachunkiem. Odzyskanie PIN-u do aplikacji mobilnej jest niemożliwe. Należy zablokować urządzenie. Następnie połącz je ponownie z kontem. Zgłaszaj błędy na [email protected]. Opisz problem szczegółowo. Podaj model urządzenia i wersję systemu. Dołącz zrzuty ekranu.

Problemy w innych bankach i ogólne trendy bezpieczeństwa

Problemy z PSD2 nie dotyczą tylko mBanku. Podobne trudności zgłaszano w innych bankach. Wśród nich PKO S.A., Millennium, Santander i ING. Idea Bank również miał problemy. Banki próbują ratować się. „Banki próbują ratować się przez zmniejszanie bezpieczeństwa po PSD2.” – uważa część klientów.

Zmiany bezpieczeństwa w innych bankach

Niektóre banki zmieniły autoryzację po PSD2. Santander obniżył bezpieczeństwo. Kod SMS nie jest wymagany. „Santander obniżył bezpieczeństwo po PSD2, bo sms kod nie jest wymagany.” – informuje użytkownik. W ING zabezpieczenie wielopoziomowe weszło wcześniej. Nastąpiło to już w sierpniu. PKO BP nie wdrożył PSD2 na czas. Nadal używa tradycyjnych metod. Banki jak PKO S.A. i Millennium oferują alternatywy. Dostępne są listy haseł papierowych. Oferują też darmowe konta.

Reakcje użytkowników i zagrożenia

Użytkownicy wyrażają frustrację. Brak możliwości zarządzania urządzeniami denerwuje. Wielu uważa, że PSD2 obniżyło bezpieczeństwo. Niektórzy są zadowoleni z innych banków. Klienci sugerują zmianę banku. Powodem są problemy techniczne i bezpieczeństwo. „W mbanku nie można zobaczyć listy zaufanych urządzeń.” – to częsty zarzut.

Rośnie liczba ataków phishingowych. Hakerzy wysyłają fałszywe e-maile. Przeprowadzają ataki z wykorzystaniem włamań. Klienci są coraz bardziej świadomi ryzyka. Rozwijają się narzędzia poprawiające bezpieczeństwo. Organizowane są szkolenia z cyberbezpieczeństwa. Niebezpiecznik prowadzi takie wykłady. Ocena wykładu „Jak nie dać się zhackować” to 9,34/10.

Sugestie i rozwiązania problemów z autoryzacją

Klienci i eksperci sugerują poprawki. Banki powinny wprowadzić listę zaufanych urządzeń. Powinna być dostępna w panelu klienta. Należy umożliwić usuwanie urządzeń z listy. Unieważnienie ciasteczek zaufanych urządzeń jest potrzebne. Powinno być możliwe na stronie banku. Wdrożenie U2F lub innych rozwiązań jest ważne. Rozwiązania te powinny być niezależne od telefonu.

• Unieważnij ciasteczka zaufanych urządzeń na stronie banku.
• Wprowadź listę zaufanych urządzeń w panelu klienta.
• Wdróż obsługę U2F lub innych rozwiązań niezależnych od telefonu.
• Umożliwiaj usuwanie urządzeń z listy zaufanych.
• Zwiększ transparentność w zarządzaniu zaufanymi urządzeniami.
• Popraw obsługę starszych systemów iOS.
• Oferuj alternatywne metody autoryzacji dla użytkowników bez smartfonów.
• Ogranicz konieczność ponownego autoryzowania ciasteczek przy aktualizacjach przeglądarek.

Poprawa obsługi starszych systemów jest konieczna. Dotyczy to starszych wersji iOS. Alternatywne metody autoryzacji są potrzebne. Chodzi o użytkowników bez smartfonów. Ograniczenie ponownej autoryzacji ciasteczek ułatwi życie. Dzieje się to przy aktualizacjach przeglądarek. Przeglądarki jak Firefox i Chrome mogą pomóc. Używaj profili lub trybów prywatnych. Może to obejść limit ciasteczek.

Wykres przedstawia orientacyjny poziom zgłaszanych problemów w bankach po wejściu PSD2.

Wykres przedstawia szacowany udział metod autoryzacji po wdrożeniu PSD2.