Abanka po združitvi z NKBM uvaja… - manj kompleksna gesla za vstop v ebanko

5. februarja je Abanka postala članica skupine NKBM. Banka NKBM, oz. njihov lastnik, ameriški sklad Apollo, je namreč takrat zaključil z nakupom Abanke. S prvim septembrom združitev prinaša tudi novosti, ki smo jih deležni uporabniki - denimo zahtevo po manj kompleksnemu geslu za vstop v ebanko Abanet.

Na nenavadno odločitev banke nas je obvestil bralec, ki je bil ob prijavi v ebanko obveščen, da mora zamenjati geslo. Če se uporabniki navadno razburjamo zaradi zahtev po vedno bolj kompleksnih geslih (vedno večja dolžina gesel, vsaj ena številka, vsaj ena črka, vsaj ena velika črka, poseben znak…), gre tukaj razburjenje v drugo smer – Abanka namreč od uporabnika zahteva geslo dolžine 6 znakov (natančno šest!), vsi znaki pa morajo biti številke! Abanka/NKBM torej od uporabnika zahteva geslo, ki ima le milijon različnih kombinacij, kar je danes za strojno preverjanje mačji kašelj.

Res je sicer, da to geslo za vstop v banko ne zadostuje, ampak uporabnik na svoj telefon dobi še dodatno geslo, ki ga mora prepisati v vnosno polje (dvostopenjska avtentikacija), pa vendar. Če so pri Abanki/NKBM mnenja, da je ključni del, ki zadeva varnost prijave, ravno ta SMS, bi lahko geslo tudi popolnoma ukinili…

Sploh pa – tudi to, da so banke pred časom zapustile uporabo certifikatov in dodatno varnost zaupale SMSom, ne diši po pretirani varnosti. Kot smo zapisali v Monitorjevi posebni varnostni številki, leta 2018:

»V teoriji računalniške varnosti pravimo, da se pristnost preverjanja na podlagi tega, kar imamo, poznamo (gesla) in smo (biometrika). Dvostopenjska prijava (TFA) pomeni, da za avtorizacijo uporabimo dve različni komponenti in je podpomenka večstopenjske avtentikacije (MFA). Svojčas so bili v e-bančništvu priljubljeni različni fizični kalkulatorji, pogosto pa se je kot TFA uporabljala tudi sekundarna koda, ki smo jo prejeli kot SMS. Ta način ima nekaj pomanjkljivosti, predvsem pa v oči bode ranljivost mobilnih protokolov. Raziskovalci so že večkrat pokazali, da ni prav težko prestrezati sporočil SMS. SS7 (Signalling System No. 7), s katerim komunicirajo telefoni in omrežja, ima vrsto lukenj, ki omogočajo zasledovanje, prisluškovanje, pretvarjanje in prestrezanje. Nič ne kaže, da bi SS7, ki je bil razvit leta 1975, v prihodnosti zakrpali.« Navsezadnje lahko prejeti SMS prestreže tudi zlonamerna aplikacija na telefonu…