Od 14 listopada 2024 r. klienci Banku Pekao S.A. podczas logowania do serwisu internetowego Pekao24 mogą korzystać z logowania dwuskładnikowego z użyciem klucza sprzętowego. To kolejna funkcja wdrożona w tym roku w bankowości elektronicznej Pekao, której zadaniem jest wzmacnianie bezpieczeństwa podczas logowania i korzystania z serwisów banku.
Uwierzytelnianie dwuskładnikowe to logowanie się na swoje konto, np. do banku, podczas którego użytkownik dwukrotnie potwierdza swoją tożsamość. Pierwszy etap logowania jest standardowy i polega najczęściej na wpisaniu loginu np. numeru klienta lub adresu mailowego oraz hasła. Po wpisaniu tych danych zostaniemy poproszeni o przejście do drugiego etapu weryfikacji, czyli np. wpisania kodu, który dostaniemy w wiadomości SMS lub potwierdzenia logowania w aplikacji. Do tej pory użytkownicy serwisu Pekao24 mogli korzystać z logowania dwuskładnikowego z użyciem aplikacji PeoPay – po wprowadzeniu danych logowania do serwisu internetowego dodatkowo mogli uwierzytelnić się w aplikacji na telefonie. Ta opcja wymaga posiadania aktywnej aplikacji PeoPay, dzięki której klienci mają możliwość swobodnego zarządzania swoimi finansami. Teraz logowanie dwuskładnikowe zostało rozszerzone o możliwość potwierdzenia swojej tożsamości za pomocą klucza sprzętowego.
Klucz sprzętowy to niewielkie urządzenie z wejściem USB, które wyglądem przypomina pendrive. Klienci mogą je zakupić we własnym zakresie spośród urządzeń dostępnych na rynku. Niektóre klucze zabezpieczone są dodatkowo PIN-em, który należy ustawić podczas pierwszego użycia. Należy sprawdzić, czy wybrany klucz będzie pasował do naszego urządzenia, na którym logujemy się do Pekao24. Bankowi specjaliści rekomendują klucz U2F obsługujący standard FIDO2.
Zabezpieczenie takim kluczem sprawia, że nikt poza użytkownikiem nie zaloguje się do serwisu internetowego, nawet jeśli pozna jego dane do logowania (numer klienta oraz hasło).
Aby zacząć korzystać z takiego zabezpieczenia należy na początku włączyć opcję logowania dwuskładnikowego, a następnie dodać klucz sprzętowy. Zalecane jest posiadanie i sparowanie więcej niż jednego klucza na wypadek utraty lub uszkodzenia jednego z nich.
– W bankowości elektronicznej Banku Pekao cały czas pracujemy nad tym, żeby udostępniać klientom nowe procesy dotyczące np. zakupu produktów i usług banku czy też samoobsługi. W naszych działaniach bezpieczeństwo danych i pieniędzy naszych klientów są zawsze najwyższym priorytetem. Dlatego tak ważne jest poszerzanie wachlarza funkcji, które koncentrują się na tym, żeby cyberbezpieczeństwo wzmacniać. Możliwość logowania za pomocą klucza sprzętowego jest kolejnym punktem, który w ostatnim czasie dopisujemy do listy funkcji wzmacniających już istniejące bankowe zabezpieczenia – mówi Bartosz Zborowski, dyrektor Departamentu Innowacji i Kanałów Zdalnych w Banku Pekao S.A.
Wśród funkcji bezpieczeństwa wdrożonych w tym roku jest także możliwość szybkiej blokady dostępów do bankowości elektronicznej i kart. Polega na tym, że w sytuacji nagłego zagrożenia, czyli np. przejęcia przez osoby trzecie naszych danych do logowania lub kradzieży karty płatniczej, możemy szybko zablokować dostęp do wszystkich kanałów bankowości elektronicznej – serwisu internetowego, telefonicznego i aplikacji PeoPay oraz zablokować karty, tak aby nikt nie mógł z nich skorzystać. Kiedy już upewnimy się, że nasza bankowość i nasze karty są bezpieczne, możemy je odblokować na infolinii bankowej lub w dowolnym oddziale banku.
– W Banku Pekao, dzięki programowi edukacyjnemu cyberPEKAO, staramy się edukować i zwiększać świadomość klientów i pracowników w obszarze cyberbezpieczeństwa. Zachęcamy do korzystania z uwierzytelniania wieloskładnikowego, nie tylko przy logowaniu do bankowości elektronicznej, ale również podczas codziennego korzystania z internetu. Podwójna weryfikacja tożsamości zwiększa bezpieczeństwo danych i ogranicza ryzyko niepowołanego dostępu do kont. Nawet jeśli przestępca pozna hasło, to bez drugiego składnika uwierzytelniania, nie będzie mógł zalogować się na konto. Dlatego udostępniliśmy naszym klientom, korzystającym z serwisu internetowego Pekao24, dwie metody autoryzacji – przy użyciu klucza sprzętowego lub aplikacji mobilnej PeoPay – dodaje Michał Nagórka, dyrektor Centrum Bezpieczeństwa Banku w Banku Pekao S.A.
Potwierdzenie tożsamości pracownika poprzez wysyłaną przez niego wizytówkę to jeszcze jedna z funkcji wspierających poczucie bezpieczeństwa naszych klientów. Podczas rozmowy pracownik banku wysyła do klienta powiadomienie push w aplikacji PeoPay lub informację w serwisie internetowym Pekao24. Po zalogowaniu się klient otrzymuje wizytówkę ze szczegółowymi danymi pracownika. Klient prosząc o podanie tych danych upewnia się, że rzeczywiście rozmawia z pracownikiem banku. Jednocześnie pracownik banku może poprosić klienta o autoryzację wysłanej do niego wizytówki, aby mógł swobodnie kontynuować rozmowę bez weryfikacji dodatkowych danych klienta. Dla osiągnięcia maksymalnego poziomu bezpieczeństwa, bank świadomie wykluczył wiadomości SMS jako narzędzie do weryfikacji tożsamości pracownika.