Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
novice
Objavljeno: 2.9.2020 14:00 | Teme: varnost

Abanka po združitvi z NKBM uvaja… - manj kompleksna gesla za vstop v ebanko

5. februarja je Abanka postala članica skupine NKBM. Banka NKBM, oz. njihov lastnik, ameriški sklad Apollo, je namreč takrat zaključil z nakupom Abanke. S prvim septembrom združitev prinaša tudi novosti, ki smo jih deležni uporabniki - denimo zahtevo po manj kompleksnemu geslu za vstop v ebanko Abanet.

Na nenavadno odločitev banke nas je obvestil bralec, ki je bil ob prijavi v ebanko obveščen, da mora zamenjati geslo. Če se uporabniki navadno razburjamo zaradi zahtev po vedno bolj kompleksnih geslih (vedno večja dolžina gesel, vsaj ena številka, vsaj ena črka, vsaj ena velika črka, poseben znak…), gre tukaj razburjenje v drugo smer – Abanka namreč od uporabnika zahteva geslo dolžine 6 znakov (natančno šest!), vsi znaki pa morajo biti številke! Abanka/NKBM torej od uporabnika zahteva geslo, ki ima le milijon različnih kombinacij, kar je danes za strojno preverjanje mačji kašelj.

Res je sicer, da to geslo za vstop v banko ne zadostuje, ampak uporabnik na svoj telefon dobi še dodatno geslo, ki ga mora prepisati v vnosno polje (dvostopenjska avtentikacija), pa vendar. Če so pri Abanki/NKBM mnenja, da je ključni del, ki zadeva varnost prijave, ravno ta SMS, bi lahko geslo tudi popolnoma ukinili…

Sploh pa – tudi to, da so banke pred časom zapustile uporabo certifikatov in dodatno varnost zaupale SMSom, ne diši po pretirani varnosti. Kot smo zapisali v Monitorjevi posebni varnostni številki, leta 2018:

»V teoriji računalniške varnosti pravimo, da se pristnost preverjanja na podlagi tega, kar imamo, poznamo (gesla) in smo (biometrika). Dvostopenjska prijava (TFA) pomeni, da za avtorizacijo uporabimo dve različni komponenti in je podpomenka večstopenjske avtentikacije (MFA). Svojčas so bili v e-bančništvu priljubljeni različni fizični kalkulatorji, pogosto pa se je kot TFA uporabljala tudi sekundarna koda, ki smo jo prejeli kot SMS. Ta način ima nekaj pomanjkljivosti, predvsem pa v oči bode ranljivost mobilnih protokolov. Raziskovalci so že večkrat pokazali, da ni prav težko prestrezati sporočil SMS. SS7 (Signalling System No. 7), s katerim komunicirajo telefoni in omrežja, ima vrsto lukenj, ki omogočajo zasledovanje, prisluškovanje, pretvarjanje in prestrezanje. Nič ne kaže, da bi SS7, ki je bil razvit leta 1975, v prihodnosti zakrpali.« Navsezadnje lahko prejeti SMS prestreže tudi zlonamerna aplikacija na telefonu.

  

Objavljamo še odgovor, ki smo ga na naše vprašanje dobili iz NKBM:

Spletna banka Abanet in mobilna banka Abamobi, ki sta blagovni znamki Nove KBM, ohranjata visoke standarde varnosti v elektronskem poslovanju. Spremembo smo uvedli zaradi spremenjene politike gesel, glavni razlog pa je usmerjenost banke k izboljšavi uporabniške izkušnje za naše stranke. To spremembo smo pred časom že uvedli tudi v spletni banki Bank@Net in mobilni banki mBank@Net, pozitivni odzivi strank pa potrjujejo, da je bila naša odločitev pravilna. Prav tako se pravilnost odločitve potrjuje z nedavno pridobljenima nazivoma najboljša spletna in najboljša mobilna banka v Sloveniji, ki smo ju prejeli v neodvisni raziskavi podjetja za analizo slovenskega digitalnega bančništva E-laborat  in v katero so bile vključene vse spletne in mobilne banke na slovenskem trgu.

Sistem prijave v spletno banko deluje po enakem principu kot ga uporabljajo številne tuje banke, odlikuje pa ga močna avtentikacija strank (SCA). Ob tem je pomembno poudariti, da od časa uvedbe enakega sistema politike gesel v Novi KBM do danes nismo zaznali nobenega varnostnega incidenta.

V nadaljevanju povzemamo ključne varnostne elemente, ki smo jih uvedli pri dostopu do spletne in mobilne banke.

Dostop do spletne in mobilne banke je tudi po spremembi zagotovljen z močno avtentikacijo z uporabo dveh varnostnih elementov:

- statičnega 6-mestnega številčnega gesla, ki spada v skupino »nekaj, kar veste«,

- enkratnega SMS gesla, ki je veljavno omejen čas, in ga stranka prejme na predhodno potrjeno številko mobilnega telefona, zato spada v skupino »nekaj, kar imate«.

Poleg tega izvajamo dodatne ukrepe za zagotavljanje ustrezne ravni elektronske varnosti:

- stalno, še posebej pa ob spremembah, ki vplivajo na varnostne elemente digitalnih kanalov, izvajamo varnostne preglede, ki jih opravijo neodvisni, zunanji izvajalci;

- v postopku nastavitve in preverjanja avtentikacijskih elementov so implementirane kontrole in namenska orodja, s katerimi lahko odkrijemo in onemogočimo sistematično odkrivanje gesel z večkratnim ponavljanjem;

- tudi pri številčnem geslu so v uporabi pravila, s katerimi preprečimo nastavitev enostavnih gesel kot so zaporedna števila in enostavni vzorci.

- če uporabnik petkrat zapored vnese napačno 6-mestno številčno geslo, se mu dostop do spletne oz. mobilne banke avtomatsko zaklene za določen čas. 

SMS-žeton, ki je veljaven časovno omejeno obdobje, stranka pa ob vsaki prijavi v spletno ali mobilno banko prejme novega, nudi ustrezno stopnjo varnosti in je kompatibilen z direktivo PSD2, kot že poudarjeno pa je za stranko tudi prijaznejši, priročnejši in enostavnejši za uporabo. Z njegovo uporabo standarde varnosti v primerjavi s prejšnjim sistemom dvigujemo, strankam pa omogočamo, da isto 6-mestno numerično geslo uporabljajo na vseh drugih digitalnih kanalih opravljanja bančnih storitev, na primer v kontaktnem centru, kjer proces avtentikacije prav tako poteka z uporabo SMS žetona. 

Združena banka ima jasno vizijo postati najboljša banka v Sloveniji in prepričani smo, da bo k temu pomembno prispevala digitalizacija, ki ostaja naše prednostno razvojno področje. Zato bomo tudi v prihodnje uvajali ukrepe, ki dolgoročno povečujejo zadovoljstvo strank z izboljšano uporabniško izkušnjo.

Zaradi morebitnih tveganj ob izgubi oz. odtujitvi telefona, uporabnikom vedno svetujemo skrbno ravnanje z napravami in vzpostavitev ustreznih varnostnih mehanizmov (gesla za zaklepanje telefona, pošte ...). Ob sumu zlorabe avtentikacijskih elementov morajo uporabniki, takoj, ko je to mogoče, preklicati dostop do elektronskih oz. mobilnih poti. Za to je strankam na voljo telefonska številka 01/47 18 283, ki je dosegljiva stalno, tudi ponoči in ob dela prostih dnevih. Za pomoč in vprašanja nas stranke lahko pokličejo tudi v kontaktni center na brezplačno telefonsko številko 080 13 60.

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Kaj se zgodi, če Samsungov Galaxy Z Fold prepognete 200.000-krat?

    Kaj se zgodi, če Samsungov Galaxy Z Fold prepognete 200.000-krat?

    Ustvarjalec vsebin tech-it je s prenosom v živo na YouTubu izvedel maratonski test, v katerem je ročno odprl in zaprl Samsung Galaxy Z Fold 7 kar 200.000-krat

    novice
    Objavljeno: 8.8.2025 10:00
  • Programerska naloga, ki je ni rešil nihče

    Programerska naloga, ki je ni rešil nihče

    Vsako leto se najboljši dijaki v programiranju na svetu merijo na olimpijadi iz informatike, kjer nastopa tudi slovenska ekipa. Tekmovalci v dveh tekmovalnih dneh rešujejo šest nalog, kodo pa pišejo v jeziku C++. Ene izmed nalog letos ni rešil nihče izmed 330 tekmovalci.

    novice
    Objavljeno: 6.8.2025 07:00
  • <span><span>Xiaomi predstavil pametni ventilator</span></span>

    Xiaomi predstavil pametni ventilator

    Xiaomi je v poletni vročini za evropske trge predstavil Smart Desktop Air Circulation Fan, kompakten pametni ventilator, zasnovan za močan pretok zraka v manjših prostorih. 

    novice
    Objavljeno: 6.8.2025 11:00
  • Microsoft bo ukinil enoto GitHub

    Microsoft bo ukinil enoto GitHub

    Ko je Microsoft leta 2018 prevzel GitHub, se ni nič bistvenega spremenilo, saj je ostal samostojna enota z istim direktorjem. A Thomas Dohmke, ki je od leta 2021čas vodil GitHub, je napovedal odhod iz podjetja, saj ima druge podjetniške cilje. Microsoft zamenjave ne bo iskal.

    novice
    Objavljeno: 13.8.2025 05:00
  • HBO Max bo še otežil deljenje gesel

    HBO Max bo še otežil deljenje gesel

    Warner Bros. Discovery bo od prihodnjega meseca začel strožje uveljavljati prepoved deljenja gesel na pretočni storitvi HBO Max. 

    novice
    Objavljeno: 8.8.2025 09:00
  • Linus Torvalds spet ponorel

    Linus Torvalds spet ponorel

    Linus Torvalds, izumitelj in še vedno glavni skrbnik Linuxa, je vedno slovel kot vzkipljiv človek, zato tudi njegov zadnji izbruh ni zelo presenetljiv. Ob pripravi nove verzije jedra 6.17 jih je pošteno napel Palmerju Dabbeltu, ki je predložil kopico popravkov za RISC-V. Torvalds je, milo rečeno, ponorel.

    novice
    Objavljeno: 14.8.2025 05:00
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Julij-avgust 2025 Prelistaj! Spletni nakup Arhiv številk
Julij-avgust 2025

Uvodnik
Strojni svetovni splet

Mnenja
Dočakal sem prihodnost

Nove tehnologije
Koliko hitrosti je dovolj? Povezani na poti Pregon!

Fokus
Elektronski papir v barvah Neznosna lahkost branja RLCD - Renesansa LCD Uvodnik: Strojni svetovni splet

Dosje
Ali androidi sanjajo o električnih ovcah?* Med trirazsežnim navdušenjem in strahom

Monitor Pro
Oblak je temelj digitalne preobrazbe Prihodnost sodelovanja in digitalnih komunikacij Uvodnik - Je oblak vsemogočen?

Na zvezi
Kariera v IT

Zgodovina
Kralj omrežij Mikroračunalniški roboti

Odprta scena
Teleskop kot tveganje za državno varnost Zakaj nas mora skrbeti za prihodnost čipov

Prenosni računalniki
Zmogljivost stane!

Telefoni
Prenovljeni srednji razred

Preizkusi
Kupil sem ZX Spectruma Previdni korak naprej Projektor v žepu

Nasveti
Oblačni triki

Mobilno
Applove nagrade Če hodiš, lahko plešeš Naš izbor na Androidu Naš izbor na iPhonu

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov