Bankowość internetowa po polsku

Bank w przeglądarce

Z początkiem listopada na polskim rynku prawie równocześnie zadebiutowały dwa nowe produkty z zakresu bankowości internetowej - Eurokonto WWW banku Pekao S.A. oraz system Sez@m Banku Przemysłowo-Hanlowego.

Bankowość internetowa (internet banking) na świecie obecnie coraz częściej zastępuje lub uzupełnia dotychczas stosowane rozwiązania tzw. bankowości domowej (home banking). Home banking pozwala klientowi banku na dostęp do swojego konta bankowego przy użyciu modemu oraz dedykowanego oprogramowania, które łącząc się modemem bezpośrednio z serwerem banku (nie przez Internet) przesyła wszelkie niezbędne dane. Internet banking pozwala robić to samo bez użycia dedykowanego oprogramowania i potrzeby nawiązywania bezpośredniego połączenia z bankiem - dostęp do konta odbywa się poprzez Internet, za pomocą przeglądarki WWW.

Pierwszy system bankowości internetowej wprowadził w Polsce w ubiegłym roku nieistniejący już Powszechny Bank Gospodarczy S.A. z Łodzi (od 1 stycznia 1999 włączony do banku Pekao S.A.). Koncepcja przyjęta przez PBG nie zakładała uruchomienia dostępu przez Internet do dotychczasowych rachunków prowadzonych w tradycyjnych oddziałach banku, lecz utworzenie odrębnego oddziału wirtualnego, przeznaczonego specjalnie dla "internetowych" kont.

Oddział Elektroniczny PBG S.A. (a od 1 stycznia - Pekao S.A.) działa na rynku już ponad rok - jego oficjalne otwarcie miało miejsce 14 października 1998. Do niedawna konta otwierane w tym oddziale miały wyłącznie charakter bezgotówkowy, to znaczy nie można było do nich uzyskać czeków, kart bankomatowych ani płatniczych. Nie było zatem możliwości wypłaty z takiego konta gotówki: można było jedynie wykonywać przelewy na inne konta. Posiadacz konta w Oddziale Elektronicznym musiał zatem mieć jeszcze jakieś inne konto w tradycyjnym banku, aby za jego pośrednictwem podejmować gotówkę.

Od 1 listopada br. oddział, który zdążył "po drodze" zmienić nazwę na Centrum Bankowości Elektronicznej TELEPEKAO 24, zaoferował w miejsce dotychczasowych kont dla klientów indywidualnych nowy produkt - Eurokonto WWW (warto nadmienić, że nie zmieniły się dotychczasowe zasady obsługi kont firmowych, które w TELEPEKAO również można zakładać). Eurokonto WWW jest odpowiednikiem "zwykłego" Eurokonta prowadzonego w tradycyjnych oddziałach banku Pekao S.A., różniącym się od niego jedynie możliwością obsługi przez Internet oraz nieco niższymi prowizjami od dokonywanych na rachunku operacji. Wciąż jednak zachowana jest koncepcja odrębnego oddziału wirtualnego - nie ma dostępu drogą internetową do rachunków prowadzonych w innych oddziałach banku.

System BPH Sez@m, uruchomiony tydzień później, bo 8 listopada, wychodzi z odmiennego założenia - ma umożliwiać dostęp drogą internetową do wszystkich kont osobistych prowadzonych w banku BPH.

Jak to się robi w Pekao

Aby uzyskać dostęp do systemu bankowości internetowej Pekao, musimy zatem przede wszystkim założyć sobie konto w oddziale wirtualnym. Dokonujemy tego, wchodząc na strony WWW oddziału (http://www.pekao.com.pl/oe/) i wypełniając znajdujący się tam formularz (dotychczasowi posiadacze zwykłych Eurokont w Pekao S.A. powinni równocześnie złożyć prośbę o zamknięcie ich dotychczasowych rachunków i przeniesienie ich do TELEPEKAO). Po upływie 2-4 tygodni otrzymamy zaproszenie do podpisania umowy w wybranym przez nas przy wypełnianiu formularza oddziale banku Pekao S.A. - tzw. oddziale pośredniczącym. W banku otrzymamy tzw. token - niewielkie urządzenie elektroniczne, stanowiące nasz indywidualny "klucz" dostępu do konta. Wraz z tokenem otrzymujemy identyfikator i hasło, umożliwiające zalogowanie się na serwer.

Na stronie WWW, na której logujemy się do systemu, oprócz pól przeznaczonych na wpisanie identyfikatora i hasła, znajdziemy osiem losowych, za każdym razem innych cyfr. Teraz musimy sięgnąć po nasz token. To podobne do małego kalkulatora urządzenie, o wymiarach ok. 5 na 8 cm, jest centralnym elementem systemu bezpieczeństwa zastosowanego w TELEPEKAO; jego zastosowanie ma stanowić gwarancję, że nikt niepowołany nie skorzysta z naszego konta. Token realizuje tzw. metodę challenge-response (pytanie-odpowiedź); na jego klawiaturze musimy wpisać cyfry odczytane z ekranu monitora, a wyświetlacz tokena pokaże nam wówczas inny ciąg ośmiu cyfr, który musimy przepisać w odpowiednie pole strony WWW. Dopiero wtedy system nas "wpuści". Analogiczna sytuacja powtarza się przy wykonywaniu każdego przelewu, zakładaniu lub anulowaniu lokaty terminowej: na ciąg cyfr znajdujący się na ekranie musimy odpowiedzieć innym ciągiem cyfr, wygenerowanym przez token, aby potwierdzić operację.

Jak to się robi w BPH

Pierwsze wrażenie, to niemiła niespodzianka czekająca osoby próbujące wejść na stronę http://www.sezam.bph.pl/ inną przeglądarką niż Microsoft Internet Explorer w środowisku Windows 95/98. Pojawia się komunikat obwieszczający "Niewłaściwa przeglądarka!" i informujący o konieczności skorzystania z MSIE w wersji 4.0 lub wyższej. Odsiewa to na wstępie sporą część potencjalnych klientów banku. Załóżmy jednak, że korzystamy z "jedynie słusznej" przeglądarki. Rejestracja użytkownika w systemie Sez@m rozpoczyna się - co wydaje się być pomysłem bardzo trafnym - od założenia skrzynki pocztowej, przeznaczonej do korespondencji z bankiem. Jako że system BPH Sez@m stworzony jest we współpracy z firmą Optimus Pascal Multimedia - właścicielem portalu onet.pl, skrzynki pocztowe zakładane są w odzwierciedlającej ten alians domenie - bph.onet.pl.

Następnie użytkownik wybiera swoje hasło dostępu do systemu oraz musi określić, czy posiada już konto w banku BPH. Jeżeli tak - trzeba podać jego numer; jeżeli nie - niezbędne jest podanie w dodatkowym formularzu wszystkich danych, potrzebnych do jego założenia. Także i tutaj musimy określić oddział pośredniczący, w którym będziemy podpisywać umowę, gdyż podpisania "papierowej" umowy o prowadzenie rachunku wymaga polskie prawo bankowe (w przypadku, gdy posiadamy już konto w BPH, oddziałem pośredniczącym będzie oczywiście oddział prowadzący to konto).

Teraz zaczyna się najbardziej zawikłana część procesu rejestracji w systemie Sez@m. Komponenty ActiveX, załadowane ze strony BPH na nasz komputer (stąd konieczność używania MSIE pod Windows), generują parę kluczy szyfrowych RSA - publiczny i prywatny. Zamiast jednak - jak należałoby się tego spodziewać - pozostawić klucz prywatny na naszym komputerze, a publiczny wysłać do banku, do serwera banku przesyłane są OBA klucze, z tym, że klucz prywatny zabezpieczany jest dodatkowo hasłem (to już trzecie z kolei, po haśle do skrzynki pocztowej oraz haśle dostępu do serwera).

Gdy po podpisaniu umowy logujemy się do serwera banku, po podaniu nazwy użytkownika i hasła serwer przesyła nam zabezpieczony klucz prywatny. Rezydujący w naszym komputerze komponent ActiveX przechwytuje ten klucz i pyta o hasło do niego. W przypadku podania niewłaściwego hasła klucz nie zostanie poprawnie zdekodowany i nie będzie "pasował" do klucza publicznego znajdująceggo się na serwerze banku. Tylko gdy podamy prawidłowe hasło, będziemy mogli zalogować się do systemu i wykonywać operacje.

Oko w oko

Czas na porównanie obu systemów. Podstawowe funkcje, które powinna zapewniać bankowość internetowa, to wgląd w bieżące saldo i historię operacji na rachunku oraz możliwość dokonywania przelewów na inne konta. Możliwości te obydwa produkty zapewniają w całkowicie zadowalającym stopniu. Poza tymi podstawowymi funkcjami użytkownik Eurokonta WWW ma m.in. możliwość elektronicznego składania wniosków o karty płatnicze oraz limit kredytowy, zakładania i likwidacji lokat terminowych. Z kolei w banku BPH możliwe jest przez Internet składanie zamówień na nowe czeki oraz zastrzeganie czeków utraconych.

Niewątpliwie bardzo wartościową cechą systemu Sez@m jest zintegrowanie go ze skrzynką pocztową, służącą do korespondencji z bankiem - tej opcji bardzo brak kontom w TELEPEKAO. Plusem systemu BPH jest również możliwość obsługi już istniejących kont, podczas gdy w Pekao trzeba zakładać sobie nowe konto w oddziale wirtualnym.

Ogromnym minusem jest natomiast, wspomniana już powyżej, możliwość korzystania z systemu Sez@m tylko za pomocą konfiguracji MSIE 4/Windows 95 (lub wyższe wersje). Choć faktem jest, że konfiguracji takiej używa 80, a może i 90 procent polskich Internautów, to z dyskusji na grupie dyskusyjnej pl.biznes.banki wynika, że w gronie potencjalnych użytkowników bankowości internetowej proporcje te mogą przedstawiać się nieco inaczej - sporo osób używa tam np. Netscape'a w systemach unixowych. Jak by nie było, lekceważenie przez bank grupy potencjalnych klientów korzystających z innych niż "jedynie słuszna" przeglądarek nie wpływa z pewnością pozytywnie na jego obraz - dowodzi jedynie braku profesjonalizmu twórców systemu. Ze stron zagranicznych banków oferujących bankowość internetową, podobnie zresztą jak z TELEPEKAO, można bez problemu korzystać każdą przeglądarką obsługującą bezpieczne połączenia SSL, w każdym środowisku - nawet tekstowym Lynxem. Nigdzie nie spotkałem się z napisami w stylu "tylko Internet Explorer". Ograniczenia tego rodzaju tolerowane mogą być ewentualnie na amatorskich stronach prywatnych, ale nie w tak poważnej instytucji, jak bank.

Bezpieczeństwo

Możnaby bronić BPH argumentem, iż konieczność użycia takiego właśnie oprogramowania wynika z zastosowania technologii ActiveX do wymiany kluczy szyfrowych. I tu jest właśnie kolejny potężny minus po stronie BPH: bezpieczeństwo systemu. System bankowości internetowej powinien być nade wszystko bezpieczny - jeżeli zabraknie bezpieczeństwa, wszelkie inne cechy są mniej istotne. Zabezpieczenia TELEPEKAO są jasne i klarowne: dla skorzystania z konta niezbędny jest token. Bez niego na dobrą sprawę nie ma sposobu przewidzenia, jakie kombinacje cyfr należy wpisać na stronie WWW, aby dostać się do systemu lub wykonać jakąś operację. Jedno-, a nawet kilkukrotne podsłuchanie sesji użytkownika z systemem na nic się nie zda, gdyż za każdym razem genrowane ciągi cyfr są inne. Token dodatkowo zabezpieczony jest sześciocyfrowym PIN-em, który ustalamy samodzielnie, tak więc nawet zgubiony lub skradziony nie będzie nikomu zbyt przydatny, gdyż po trzykrotnym błędnym wprowadzeniu PIN-u ulega zablokowaniu.

Zabezpieczenie za pomocą kluczy prywatnych i publicznych jest równie dobre, jak token, ale pod warunkiem, że klucz prywatny rezyduje na komputerze, z którego dokonujemy transakcji, i nigdzie więcej. Ten model zabezpieczenia realizują tzw. prywatne certyfikaty SSL, obsługiwane przez każdą przeglądarkę z zaimplementowanym SSL-em (a zatem nie trzeba się ograniczać do MSIE). Rozwiązanie BPH jest jednak inne: tu klucz prywatny nie znajduje się na naszym komputerze, lecz jest nam przesyłany przez serwer każdorazowo przy logowaniu. Podważa to sens metody, w której identyfikacja użytkownika opiera się na fakcie posiadania przez niego klucza prywatnego. Fakt stosowania kluczy staje się w takim rozwiązaniu na dobrą sprawę wyłącznie drugorzędną kwestią techniczną; z punktu widzenia użytkownika zabezpieczeniem konta są jedynie dwa hasła (jedno do serwera, drugie do odkodowania klucza), które można poznać np. przez przechwytywanie programem typu koń trojański znaków wprowadzanych z klawiatury. Dodatkowo pogarsza sprawę zastosowanie techniki ActiveX: sama ta technika jako taka jest powszechnie uważana za jedną z największych "dziur" w bezpieczeństwie Windows 95 i Internet Explorera; specjaliści od bezpieczeństwa zalecają wręcz wyłączanie w MSIE obsługi komponentów ActiveX podczas korzystania z Internetu.

Niestety, z przykrością muszę powiedzieć, że orientując się nieco w zagadnieniach kryptografii i bezpieczeństwa sieci komputerowych nie można mieć pełnego zaufania do bezpieczeństwa systemu oferowanego przez bank BPH. Pod tym względem TELEPEKAO wypada znacznie lepiej.

Na horyzoncie rysuje się już trzeci konkurent - system WBK24 Wielkopolskiego Banku Kredytowego (http://www.wbk24.pl/). Na razie umożliwia jedynie bierny dostęp do konta - sprawdzanie salda i historii operacji. W pełnym zakresie ma być uruchomiony w przyszłym roku. Ciekawe, jakie będzie miał zabezpieczenia?

Jarosław Rafa 1999. Tekst udostępniony na licencji Creative Commons (uznanie autorstwa - użycie niekomercyjne - bez utworów zależnych). Kliknij tutaj, aby dowiedzieć się, co to oznacza i co możesz z tym tekstem zrobić. W razie jakichkolwiek wątpliwości licencyjnych bądź w celu uzyskania zgody na rozpowszechnianie wykraczające poza warunki licencji proszę o kontakt e-mailem: raj@ap.krakow.pl.

Wersja HTML opracowana 16.11.99.

Powrót do wykazu artykułów o Internecie Statystyka