Informatyzacja banków (cz.4)

Tak czy inaczej jednak, bankowość internetowa w wydaniu oferowanym przez polskie banki nie stanowi w chwili obecnej interesującej oferty dla firm, wyłączywszy firmy bardzo małe, jedno- lub co najwyżej kilkuosobowe. Przy liczbie przelewów, jakie realizuje codziennie nawet średniej wielkości firma, sposób pracy z systemem bankowości internetowej, wymagający ręcznego wpisywania danych do przeglądarki WWW i akceptowania każdego przelewu z osobna, jest uciążliwy i nieefektywny, a w dużych firmach wręcz niewykonalny. Dla firm korzystniejsze jest w takiej sytuacji używanie systemów home-bankingu, gdzie dane do przelewów mogą być wcześniej przygotowane off-line (w tym także wygenerowane automatycznie przez program finansowo-księgowy) i przesłane zbiorczo do banku podczas jednego połączenia. Wadą systemów home-bankingu jest jednakże to, że wymagają one dedykowanego oprogramowania i pracują z wykorzystaniem bezpośredniego połączenia modemowego z serwerem banku, a nie poprzez Internet. Jak na razie, żaden z banków internetowych nie oferuje możliwości przygotowywania przelewów off-line i następnie "hurtowego" wysyłania ich do banku, aczkolwiek wprowadzenie takiej opcji obiecuje już od jakiegoś czasu Pekao SA.
Jako że chodzi o nasze pieniądze, szczególna uwaga należy się bezpieczeństwu wirtualnych banków. Najprostszą i najpowszechniejszą metodę autoryzacji, sprowadzającą się do podania loginu i hasła, należy - z uwagi na względną łatwość podszycia się pod właściwego użytkownika osób niepowołanych - uznać za niewystarczającą. Wprawdzie połączenie przeglądarki z serwerem banku jest szyfrowane protokołem SSL z 128-bitowym kluczem, tak więc podsłuchanie hasła w sieci jest niemożliwe, można je jednak poznać np. przy użyciu konia trojańskiego zainstalowanego na komputerze użytkownika, czy w wielu przypadkach nawet zgadnąć (wielu użytkowników wybiera proste hasła, związane np. z imionami członków rodziny, numerami telefonów, numerami rejestracyjnymi samochodów itp.). Z tego powodu każdy bank stara się uzupełnić swój system o jeszcze jakiś dodatkowy element pozwalający zweryfikować tożsamość użytkownika (wyjątkiem jest tu Handlobank, gdzie do autoryzacji używany jest tylko login i hasło).
Można tu znów zaobserwować dwa podejścia. Część banków korzysta ze specjalnych urządzeń kryptograficznych, tzw. tokenów, które wydawane są klientowi przy podpisywaniu umowy. Urządzenia te, przypominające wyglądem breloczek lub mały kalkulator, mogą działać na dwa sposoby. Te prostsze generują tzw. hasła jednorazowe - zmieniające się co kilkadziesiąt sekund ciągi cyfr, które wyświetlane są na wbudowanym w token wyświetlaczu. Cyfry te generuje generator pseudolosowy, zsynchronizowany z analogicznym generatorem znajdującym się w serwerze banku. Tylko wówczas, gdy na ekranie logowania wpiszemy prawidłowy dla danej chwili ciąg cyfr z tokena, zostaniemy wpuszczeni do systemu. Tokeny tego typu stosuje Lukas Bank.
C.D.N.