ING przechodzi na kontrowersyjną autoryzację

Od 19 maja w ING klient (indywidualny lub mała firma) nie będzie pytany o hasło jednorazowe w czasie dokonywania każdej transakcji. Po zleceniu przelewu specjalny algorytm oceni, czy transakcja wymaga autoryzacji kodem jednorazowym. Klienci mogą się więc spodziewać, że przy wielu przelewach po prostu nie będą pytani o autoryzację.

Jeśli kod autoryzacyjny zostanie wygenerowany, będzie on zawierał również opis transakcji, której dotyczy (obejmując takie informacje jak np. typ transakcji, kwota oraz wybrane cyfry rachunku beneficjenta). Dzięki temu klient może sprawdzić poprawność dyspozycji, jaka zostanie wykonana po zatwierdzeniu. Ważność kodu mija po 30 minutach od momentu udostępnienia go przez bank.

W informacji prasowej ING czytamy, że funkcjonalność ta jest zgodna z najnowszymi światowymi trendami w dziedzinie bezpieczeństwa transakcji dokonywanych w bankowości internetowej. Dyspozycja jest oceniana m.in. na podstawie typowego profilu zachowań użytkownika. Niektórzy klienci ING uważają jednak, że nowa metoda autoryzacji obniża poziom bezpieczeństwa i służy jedynie zaoszczędzeniu na SMSach.

O wątpliwościach dotyczących nowych metod autoryzacji w ING pisaliśmy już w marcu. Michał Iwan z firmy F-Secure powiedział nam wtedy, że w obliczu ostatnich ataków na banki zabezpieczenia w postaci identyfikatora i hasła wydają się niewystarczające. Możliwe jest natomiast, że w ING do wykonania przelewu wystarczą właśnie login i hasło.

Więcej na ten temat w DI: Jedno hasło mniej = większe bezpieczeństwo?