Jeden z Czytelników Dziennika Internautów opisał w liście do redakcji niespotykany i niepokojący sposób logowania do Domu Maklerskiego BZ WBK. Czytelnik korzystał z hasła składającego się z blisko 20 znaków ale zauważył, że wystarczy wpisać pierwsze 8 znaków aby się zalogować. Co więcej, logowanie było możliwe nawet wtedy, gdy po 8 pierwszych znakach znalazły się całkowicie losowe znaki.

Dopiero dziś udało nam się otrzymać odpowiedź BZ WBK. Kierownik Zespołu Marketingu i CRM Agata Wypychowska wyjaśniła przede wszystkim, że Dom Maklerski BZ WBK S.A. oprócz numeru NIK stosuje, dwa rodzaje haseł uwierzytelniających Klienta (kod PIN) – jest to hasło maskowane lub hasło zwykłe. Dodatkowym opcjonalnym zabezpieczeniem do haseł jest token.

Wcześniej stosowane hasło zwykłe zawierało od 6 do 8 znaków. Ten typ hasła nadal funkcjonuje i wymusza od Klienta poprawne wprowadzenie wszystkich sześciu, siedmiu lub ośmiu zdefiniowanych wcześniej znaków. 10 maja Dom Maklerski BZ WBK S.A. umożliwił korzystanie z hasła maskowanego, które składa się z co najmniej dziesięciu i maksymalnie dwudziestu znaków.

Ponieważ nie ma przymusu zmiany hasła na maskowane, nadal istnieje możliwość logowania się z użyciem hasła zwykłego. W celu zachowania spójności obu systemów logowania przy definiowaniu nowego kodu PIN system wymaga od Klienta wprowadzenia od dziesięciu do dwudziestu znaków oraz określenia hasła jako zwykłego lub maskowanego. System podczas definiowania zapamiętuje wszystkie wprowadzone znaki bez względu na to jaki typ hasła został wybrany przez Klienta.

Przy logowaniu z użyciem hasła maskowanego Klient musi poprawnie wprowadzić losowo wybrane znaki kodu PIN, natomiast jeżeli Klient posiada kod PIN zdefiniowany jako hasło zwykłe - musi poprawnie wprowadzić tylko pierwszych osiem znaków.

- System pozwala wprowadzić kolejne, dowolne znaki ze względu na funkcjonowanie nowego typu hasła, które jest dłuższe, ale ich nie weryfikuje co jest konsekwencją pierwotnego ograniczenia długości hasła zwykłego do ośmiu znaków. Taka konstrukcja definiowania kodu PIN pozwala zachować zgodność ze starszymi wersjami logowania oraz daje Klientowi wygodę późniejszej zmiany hasła zwykłego na maskowane bez konieczności podawania nowego hasła, ponieważ wszystkie zdefiniowane znaki hasła zostały przez system zapamiętane – tłumaczyła Agata Wypychowska.

Pracowniczka BZ WBK dodała jeszcze, że na stronach internetowych BZ WBK klienci są informowani, że nowy typ hasła jest bezpieczniejszy. Okresowo podczas logowania system przypomina klientowi o możliwości zmiany typu hasła uwierzytelniającego, zachęcając tym samym do korzystania z hasła maskowanego. Wyboru sposobu logowania zawsze dokonuje klient.