-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Niemieckie banki wycofują się z potwierdzania transakcji SMS-ami

12 lipca 2019, 11:32 | W biegu | komentarzy 14
Tagi: ,

Jak pokazuje historia, SMS-y to nie jest idealna metoda dodatkowej autoryzacji transakcji finansowych. M.in. stąd już bardzo konkretne działania kilku konkretnych niemieckich banków:

  • Postbank planuje wycofać się z SMS-ów do końca sierpnia
  • Raiffeisen Bank, Volksbank, Consorsbank – w okolicach końca roku
  • Deutsche Bank i Commerzbank (właściciel mBanku) – też idą w tą stronę, choć banki nie wskazały terminu

Zmiany następują też w związku z dyrektywą PSD2, w której SMSy nie są zbyt mile widziane w kontekście silnego uwierzytelnienia (SCA poniżej to Strong Customer Authentication). Update: jak słusznie wskazuje jeden z czytelników, dokładniej rzecz biorąc SMS-y nie są mile widziane jako tzw. knowledge element w SCA:

SCA

A dodatkowo, część rozwiązań bazujących na SMS-ach przestanie być niedługo zgodna z dyrektywą:

By contrast, a number of existing approaches within e-commerce, for card payments in particular, would not be compliant with SCA. This includes approaches in which card details printed in full on the card are used as stand-alone elements or used in combination with a communication protocol such as EMV® 3-D Secure or with only one compliant SCA element (such as SMS OTP).

Więcej o ruchach niemieckich banków w tym temacie – tutaj.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. yoss

    SMS OTP jest jak najbardziej uznawany przez EBA jako faktor w SCA. Kwestia tylko tego jakiego typu.
    Niektórzy postulowali żeby uznawać SMS OTP jako faktor wiedzy – na co EBA się nie zgodziła.

    Natomiast SMS TOP jako faktor posiadania (wskazuje na posiadanie karty SIM powiązanej z numerem tel. zarejestrowanym w banku) jest ok, wskazuje to linkowany w artykule dokument oraz bezpośrednia odpowiedź EBA w tym temacie:
    https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039

    Odpowiedz
  2. kristoferes

    Czyli dzielimy się z bankami swoimi danymi biometrycznymi, jeśli w przyszłości będizemy chcieli zrobić e-przelew. A czy regulator przewidział rejestr takich skompromitowanych danych telemetrycznych internautów? Endshuligung Her Helmud, ale nie możemy włączyć Panu dodatkowego uwierzytelniania po barwie głosu, bo Pana głos wyciekł w radiu Mosqa, gdzie udzielał Pan obszernego wywiadu i audycja jest do odsłuchania na ich stronie :-D.

    Odpowiedz
  3. Mariusz

    Hmm Czy nie z Niemiec pochodzi system SOFORT, ten, w którym podaje się UID i hasło do konta bankowego na stronie – delikatnie mówiąc – nie bankowej?

    Odpowiedz
    • ano. to rozwiązanie jest hardcorowe, ale prawnie nikt tego jeszcze nie rozwalił :/

      Odpowiedz
  4. gosc

    Ale wprowadzaja cos lepszego? Bo nie mam czasu czytac taraz.
    Szczerze nie rozumiem tego.
    –> Zeby sie wycofac z SMS trzeba wprowadzic lepszy „pomysl”.
    –> Zazwyczaj SMS sam lub duplikat karty SIM nie wystarczy zeby sie zalogowac. Chyba ze ja jestem zbyt zacofany technologicznie.

    Odpowiedz
    • Kronos
      Odpowiedz
      • gosc

        Dzieki, bo nawet po przeczytaniu miałem problem ze zrozumieniem.

        I nawet te dodatkowe urzadzenie weryfikacyjne
        https://www.youtube.com/watch?v=jltx8ifPKy8
        jest interesujace, bo przestepca go miec nie moze, jesli nam osobiscie nie ukradl.

        Odpowiedz
      • tymik

        a coś, co nie wymaga posiadania smartfona?
        bo mi bank oferuje autoryzację ze swojej apki, ale nie chcę na nią przechodzić, bo co, jak mi smartfon padnie i będę używał jakiegoś dumb phone’a, który tylko dzwoni i smsuje?

        Odpowiedz
    • Monter

      No właśnie, co w zamian SMS-ów?
      Chyba nie planują przejść na jakieś appki smartfonowe?

      Generalnie przydałoby się w interfejsach banków jakieś ograniczenie kwotowe – do jakiej kwoty mało upierdliwa autoryzacja, a od jakiej telefon z banku przed wykonaniem przelewu. I coś na kształt geoblokady, bo raczej mało możliwe, abym nagle zlecał przelew z drugiego końca świata.

      Odpowiedz
  5. Karol

    Przecież SMS to jedyny sposób aby uchronić się przed WebInjection, tylko w smsie mamy szanse sprawdzić prawdziwy numer rachunku (jeśli nie mamy przejętej komórki).

    Odpowiedz
    • Nie jedyny :-) Choć oczywiście zapobiegł on na pewno milionom fraudów

      Odpowiedz
      • Karol

        Nie jedyny? Jakie są jeszcze rozwiązania przesyłające numer rachunku innym medium?
        kod zdrapka i token są „jednokierunkowe” więc chyba niczym poza SMSem nie dostaniemy inf. zwrotnej z numerem do sprawdzenia.

        Odpowiedz
        • Olek

          A autoryzacja z poziomu aplikacji bankowej? Tam są pełne informacje dot przelewu

          Odpowiedz
          • Karol

            Zgadza się, ale komunikacja nadal jest przez internet. :)
            A ja bardziej myślałem o innym medium i takim całkowicie niezależnym kanałem był SMS.

Odpowiedz