25.07.2006
BZ WBK zmienił logowanie
Uaktualnienie z maja 2007: jak wyszło wkrótce po napisaniu tego tekstu, ta zmiana była heroldem maskowanego hasła. Bank po wielu miesiącach wdraża stopniowo maskowane hasła dla (docelowo) wszystkich klientów. Wcześniej ta zmiana była szkodliwa z punktu widzenia użyteczności. Dlaczego: przeczytaj dalej.
BZ WBK zmienił panel logowania do serwisu transakcyjnego dla klientów (BZWBK24 internet). W dość oryginalny sposób, a - jak głosi informacja na stronie wejściowej - “w trosce o bezpieczeństwo naszych Klientów”.
Dotychczas w jednym formularzu podawało się NIK (identyfikator klienta) oraz PIN (hasło). Podaję dwie liczby, wciskam ENTER i jestem zalogowany.
Obecnie na pierwszej stronie podaje się NIK. Wciska się ENTER i przechodzi do drugiej strony, na której czeka nas cudeńko:
Obecnie jest 12 pól na cyfry PIN-u. Mój PIN ma kilka cyfr. Gdy wpisuję jedną cyfrę, kursor (focus) automatycznie przeskakuje do następnego, więc wpisywanie PIN-u jest właściwie tak samo wygodne, jak dotąd. Na pewno jest jednak bardziej skomplikowane, myślę, że część użytkowników będzie zdziwiona i może nie zrozumieć, o co chodzi.
W sumie w zwykłym przypadku (te zwykłe przypadki są najważniejsze) proces wydłużył się więc o oczekiwanie na załadowanie tej dodatkowej strony do podawania PIN-u i konieczność dodatkowego wciśnięcia klawisza ENTER lub kliknięcia przycisku Akceptuj na tej stronie.
Dodatkowo dostępna jest “klawiatura ekranowa” - okienko, w którym można klikając wpisać swój numer PIN (zamiast wciskać klawisze) - znów nie jestem pewien, jaka jest idea, czy to ma być zabezpieczenie przed szpiegującymi programi rejestrującymi wciskane klawisze?
Formularz do wpisania PIN-u generowany jest poprzez JavaScript, co rodzi drobne problemy z dostępnością, jednak system transakcyjny także wykorzystuje JavaScript, przynajmniej do niektórych funkcji. Wydaje mi się jednak, że można by rozwiązać to trochę bardziej elegancko, tj. bez tego JS.
Co do uzasadnienia podanego przez Bank (troska o bezpieczeństwo) - nie wiem dokładnie, w jakim stopniu zwiększa to bezpieczeństwo systemu. Prawdopodobnie idea polega na tym, aby oddzielić podawanie NIK-u od podawania PIN-u i jednocześnie wymusić korzystanie z JS przez mechanizm, który miałby symulować klienta (np. podejmując masowo próbę włamania na jakieś konto). Jeśli tak jest, to wydaje mi się jednak, że zdeterminowany włamywacz po prostu przetworzy ten kod JS na kod własnego narzędzia albo podłączy się pod jakąś przeglądarkę open source.
Jeśli ktoś z Was zna się na takich zabezpieczeniach i mógłby wyjaśnić, co dokładnie zyskuje BZ WBK z rozdzielenia podawania NIK od PIN w ten sposób i użycia chyba trochę ukrytej funkcji JavaScript, z chęcią poczytam (np. tutaj w komentarzach).
Pamiętaj, że mówisz o banku, w którym wysłanie przelewu do rzadko wspieranego znajomego wymaga wejścia w “ustawienia,” zamiast w “przelew złotowy.” ;)
Denerwuje mnie ten nowy formularz po kilka razy dziennie.
Jakkolwiek lubię BZWBK, tak nowy system logowania jest dla mnie beznadziejny.
Masowe próby odpadają - BZ WBK od dawna ma mechanizm blokujący konto po trzech błędnych próbach zalogowania.
Zastanawiam się jednak, czy przypadkiem nie chodzi o zablokowanie (bądź raczej - utrudnienie) zapamiętywania loginu (NIK) i hasła (PIN) w przeglądarkach.
Ach! Racja, przecież jest blokada konta od razu.
Nie wiem więc, o co chodzi.
Czemu formularz Was denerwuje?
Krótko:
Nie wiem, czemu może służyć rozdzielenie ekranu podawania loginu i podawaniu hasła. W żaden sposób nie podwyższa to bezpieczeństwa (może mnie ktoś z tego błędu wyprowadzi).
Wirtualna klawiatura zabezpieczeyć może przed sprzętowym keylogerem, natomiast jeśli zainstalowany zostanie jakikolwiek rootkit, to i tak jest to pozamiatane.
Komentarz? Kolejna iluzja bezpieczeństwa.
@nbw:
No ale po co utrudniać zapamiętywanie? Przecież to tylko półśrodek. Powinny być hasła jednorazowe.
BZ WBK nadal stosuje stały numer PIN?
Powiedziałbym nawet iluzja iluzji bezpieczeństwa…
Nie wiem czy słyszeliście, ale jakiś czas temu firmie Techtrans z Elbląga jakiś hakier wyczyścił konto do zera (było na nim z tego co wiem ponad 600tyś PLN). Wątpie czy zrobił to “na chybił trafił” - raczej zrobił to od środka…
carstein: numer PIN można zmienić, także w samym systemie transakcyjnym.
Piotr: co to znaczy “od środka”? Hmm, i jaki to ma związek z systemem transakcyjnym? Mogę dać Ci dostęp do mojego systemu transakcyjnego (w BZ WBK) - nie wyczyścisz mojego konta bez tokena. Do którego, nawet gdybym Ci go dał, jest oczywiście osobne hasło. ;)
Jakieś powody, i to dość ważne, jednak mieli, prawda? Tak zakładam…
Jeśli o przyzywczajenia chodzi, to jedynie muszę przestawić się z sekwencji NIK [tab] PIN [enter] na NIK [enter] PIN [enter], co nie jest jakimś specjalnym wyzwaniem. Na bezpieczeństwie tego typu rozwiązań się nie znam, więc się nie wypowiem, ale w kwestii wygody - dla mnie, osobiście - nic się nie zmieniło.
Patrys: token rozwiązuje problemy z przelewami :)
Elsindel: od środka, czyli że zapuścił jakiegoś trojana do podsłuchu hasełek albo coś w tym stylu… Równie dobrze to mógła być osoba tam pracująca… BZ WBK ma dobre zabezpieczenia, BPH Sezam też kiedyś miał (nie wiem jak teraz) ale przecież nie wszyskie banki myślą za swoich użytkowników - bo to oni są zazwyczaj najsłabszym ogniwem zabezpieczeń…
Jeśli chodzi o utrudnienia w korzystaniu z banków internetowych, to dla mnie irytujący jest ficzer wprowadzony jakiś czas temu w inteligo. Przy dokonywaniu jakiejkolwiek operacji pieniężnej (może nie tylko, nie patmiętam) wymagane jest podanie hasła jednorazowego. Wszystko było ok, tylko nie wiem dlaczego jakiś czas temu numer hasła które należy wpisać wyświetlany jest jako… obrazek (captcha). Może i zwiększyło to w jakiś sposób bezpieczeństwo, ale przede wszystkim sprawiło że nie mogę skorzystać z banku jeśli nie mam włączonych obrazków. Na szczęście hasła jednorazowe są pobierane po kolei, więc nauczyłem się to obchodzić, ale pozostaje pytanie - po co?
I jeszcze jedno - czy was bank poinformował w jakiś sposób o zmianach w procedurze logowania? Ja o zmianie w Inteligo dowiedziałem się dopiero gdy próbowałem dokonać przelewu - korzystając z gprsa z wyłączonymi obrazkami oczywiście. :)
No to bede musial znow zapamietac numer NIK
od dluzszego czasu w operze mialem zapamietane te dane :/
krst: nic bzwbk nie poinformowal
MBank zawsze informuje o takich zmianach
czara, krst: BZ WBK nie ma, o ile pamiętam, żadnego kanału komunikacji elektronicznej. Konkretnie, nie znają mojego numeru telefonu komórkowego (żeby wysłać mi SMS) ani mojego adresu e-mail (żeby wysłać mi list) - chyba nigdy o nie nie prosili. A szkoda. :(
Tak mi się zdaje, że ten podział na okienka (jedno okienko dla jednej literki hasła) może oznaczać, że nowe numery PIN, czy jak się tam hasła w bzwbk nazywają są dłuższe i system prosi o wprowadzenie tylko kilku losowych liter hasła (dezaktywując nieinteresujące okienka dla ułatwienia wprowadzania). Stare hasła być może pozostają w trybie kompatybilności, dopóki się ich nie zmieni, czy coś (w końcu ciężko żądać podzbioru z czteroznakowego hasła, nie? ;) A może dopiero wdrażają takie coś i to jest pierwszy objaw. Ciężko zgadnąć, dość, że takie właśnie rozwiązanie jest w ING (podaje się bodaj 5 znaków). A jaki zysk? Ano taki, że ciężko wyłapać pełne hasło nawet jak się poinstaluje jakieś świństwa na komputerze, z którego użytkownik się loguje. Pomijając oczywiście, że znakomita większość klientów z całą pewnością zapisze sobie to swoje hasło na karteczce i ponumeruje literki, żeby było wygodniej.
A, i w ING też jest klawiaturka przeciwkeyloggerowa. Jakaś nowa moda pewnie…
s: zweryfikuję tę wersję — zmienię sobie wkrótce PIN i sprawdzę, co się dzieje. Swoją drogą, formularz online zmiany PIN-u w BZ WBK też jest zabawny :)
Spróbuję się jakoś dowiedzieć, skąd taka zmiana — ciekawe, co mi odpowiedzą.
e, to jeszcze nic, powinni prosić o losowe cyfry z PIN, jeszcze na dodatek w losowej kolejności. albo najlepiej o wszystkie ale w losowej kolejności :)
pawel:
Co ma token do tego, że lista odbiorców jest w ustawieniach? Jeśli nie przypiszę komuś krótkiej nazwy, to muszę dokładnie tam wejść, żeby wysłać mu przelewem pieniądze.
Elsindel:
Denerwuje mnie, bo zaczynam pisać PIN, zanim się strona przeładuje i np. wpisuję sobie jego część w pole od NIKu.
Carstein:
W życiu nie zamienię numeru, który pamiętam na hasła jednorazowe. Od potwierdzania transakcji jest token albo SMS.
> W życiu nie zamienię numeru, który pamiętam na hasła jednorazowe. Od potwierdzania transakcji jest token albo SMS.
Albo takiej możliwości po prostu nie ma, przy niektórych “elektronicznych” kontach.
Współpraca z klientem w BZWBK jest dość kiepska.
s: skoro musisz podawać tylko kilka liter z hasła, to znaczy, że w systemie bankowym hasło nie jest przechowywane w formie zaszyforwanej (jako hash). W życiu bym nie zaufał takiemu bankowi…
Co do klawiaturki przeciwkeylogerowej, to kolejna iluzja bezpieczeństwa. Jeśli już w systemie jest zainstalowany keyloger, to co szkodzi wyposażyć go w funkcje, które zczytują wysyłane pakiety przed zaszyfrowaniem? Wtedy możesz nawet mieć autoryzację poprzez gwizdanie w określonej tonacji do mikrofonu, bez znaczenia.
Patrys: też używam tokena, z tym, że ja używam go też do logowania (w połączeniu ze stałym hasłem)
@cerstein: prawda, prawda. W takim wypadku ciężko mi sobie wyobrazić rozwiązanie w którym hasło jest przechowywane w formie skrótu. Tyle, że banki mają to do siebie, że przechowują sporo ciekawych informacji wcale nie w bezpiecznej formie (że tylko wspomnę o pełnych numerach kart kredytowych klientów). Cała zabawa polega na tym, żeby odpowiednio zadbać o niewypłynięcie tych danych.
A klawiaturka — dopóki nikt nie mówi “słuchajcie, zrobiliśmy taką klawiaturkę i teraz to już się możecie zupełnie bezpiecznie logować, joł”, to moim zdaniem jest to dobre. Eliminuje wszelkiego rodzaju uniwersalne keyloggery i wymaga napisania loggera specjalnie dla danej implementacji klawiaturki, który przechwyci dane (nie pakiety) przed zaszyfrowaniem. Oczywite, że możliwe jest przechwycenie właściwie wszystkiego, jeśli ma się fizyczny dostęp do systemu, z którego następuje logowanie, niemniej wymaga to zdecydowanie większych umiejętności, niż ściągnięcie jednego z pierdylionów keyloggerów i nauczenie go reagowania na połączenie z mbankiem, czy czym tam innym, albo zostawienie jak jest i logowanie wszystkich formularzy na pałę.
Jest to jakiś tam krok na przód (jak duży, to tylko analitycy ryzyka BZWBK wiedzą) i wydaje mi się, że jeżeli marketing nie przekuje tego na slogan w postaci “super duper mechanizmu zapewniającego pełne bezpieczeństwo”, to jest to dobry objaw. W przeciwnym wypadku, faktycznie może to zrobić więcej złego, niż dobrego, ale póki co marketing milczy ;)
s: to, że banki mają mocno średnie podejście do bezpieczeństwa to wiem już od dawna (http://security.psnc.pl/reports/e-banking_polska_ssl_report.pdf).
Zgadzam się ze stwierdzeniem, że utrudni to użycie standardowych narzędzi - niemniej jednak większość ataków i tak opiera się o podejście mocno zindywidualizowane, więc jest to troche iluzoryczne poczucie bezpieczeństwa.
Jeśli marketing milczy na temat tego wynalazku, który tak naprawdę wcale bezpieczeńtwa nie podnosi, to coś tu jest nie tak. Banki teraz mogą konkurować praktycznie tylko za pomocą własnego wizerunku (bo oprocentowanie jest w zasadzie wszędzie takie same), a bezpieczeństwo to jeden z jego elementow. Dlaczego więc nie próbują użyć tego wynalazku w tym kontekście?
@carstein: zgadza się, że zabezpieczenia systemów transakcyjnych bywają wątpliwej jakości. Jedynym pocieszeniem jest fakt, że z reguły, ze względu na swój wizerunek, banki “biorą na siebie” straty powstałe wskutek problemów z bezpieczeństwem (popraw mnie, jeśli się mylę, ale swego czasu doszły mnie słuchy o “cichym” uzupełnianiu niedoborów na kontach pechowców).
Tym niemniej, wniosek z tego jest taki, że bardziej opłaca im się pokrywać ewentualne straty powstałe w wyniku naruszenia bezpieczeństwa, niż inwestować w jego poprawę. I być może w tym przypadku z bilansu ryzyka wyszło, że tego typu rozwiązanie zmniejszy straty na tyle, że jego wdrożenie jest opłacalne. Czy analitycy mieli rację i czy analiza była wykonana rzetelnie, to już zupełnie inne zagadnienie, jednak nie podejrzewałbym instytucji finansowej tego kalibru o wydawanie pieniędzy na wdrożenie takiego rozwiązania, bez zbilansowania zysków i strat najlepiej jak tylko jest to możliwe.
Osobną sprawą jest wykorzystanie tego w marketingu. Nie wiem czemu nie trąbią o tym, być może jest to tylko fragment budowania wizerunku “bezpiecznego banku” i dopiero po wdrożeniu całości usłyszymy o tym w mediach. Niemniej faktem jest, że częścią bilansu może być spodziewany efekt marketingowy, a to z punktu wiedzenia bezpieczeństwa raczej nie wróży dobrze.
@els: sorki, że budujemy Ci swoje babki w Twojej piaskownicy. Mam nadzieję, że Cię to nie wkurza :)
co to jest numer NIK skad go wziasc?
Ktoś kto podjął sie tych zmian powinien być zwolniony !
Array
Witam
Mam nadzieję, że wątek nie jest jeszcze zamknięty i uzyskam odpowiedz na moje pytanie.
Otóż czy rozdzielenie procesu logowania na dwa etapy nie podnosi stanu użyteczności tego procesu.
Możliwe ze bank wykonał testy użyteczności i stwierdzili ze proces logowania sprawia problemy użytkownikom gdyż muszą oni wpisać NIK i PIN na jednej stronie bez sprawdzenia poprawności tych numerów. Podczas wprowadzenia danych użytkownik mógł się pomylić albo przy NIK albo przy PIN. Teraz ta sytuacja nie ma prawa mieć miejsca. Najpierw następuje walidacja NIK. Jeżeli jest on poprawny idziesz dalej w przeciwnym przypadku popraw. Podobna sytuacja jest z numerem PIN.
A jednym z głównych zadań usability jest ochrona użytkownika przed błędami.
Proszę mnie poprawić, jeżeli się mylę.
Ilocyfrowy ma być ten PIN bo ja mam czterocyfrowy a miejsca jest na 12