Niemieckie banki rezygnują z uwierzytelniania kodem SMS
Niemieckie banki szybko reagują na unijne prawo, które każe zrezygnować z uwierzytelniania logowania i weryfikacji transakcji metodą jednorazowych haseł SMS. Nowe zasady powinny być stosowane w instytucjach finansowych od 14 września br.
Metoda One Time Password (OTP) od lat budziła zastrzeżenia, głównie za sprawą coraz częstszych ataków cyberprzestępców. Wykorzystywali oni luki w protokole SS7 (Signalling System 7), używanym w sieciach telefonii komórkowej, które pozwalały na niezauważalne przejęcie numeru telefonu użytkownika. W efekcie umożliwiały śledzenie jego aktywności, w tym również przechwytywanie wiadomości SMS wykorzystywanych w bankowości internetowej.
Unia każe, banki muszą
Unijna dyrektywa w sprawie usług płatniczych (PSD – Payment Service Directive) w 2015 r. doczekała się znowelizowanej wersji zwanej PSD2, która objęła również regulacje dotyczące mechanizmów tzw. silnego uwierzytelniania klienta (SCA – strong customer authentication). Według PSD2 wszelkie operacje finansowe lub handlowe prowadzone przez konsumentów w UE muszą być autoryzowane przy użyciu mechanizmu zgodnego z SCA. Tymczasem większość stosowanych mechanizmów OTP opartych na SMS-ach nie odpowiada tym wymogom.
Wdrożenie unijnych przepisów odnoszących się do silnego uwierzytelniania klientów i wydanie opinii na temat akceptowanych standardów powierzono Europejskiemu Urzędowi Nadzoru Bankowego. Opinia ukazała się 21 czerwca br. Co ważne, banki i instytucje finansowe na wdrożenie przepisów związanych z unijna dyrektywą PSD2 mają czas do 14 września br.
Spośród działających w Niemczech banków kilka już zadeklarowało termin rezygnacji z uwierzytelniania jednorazowym kodem SMS: Postbank planuje zrobić to już w sierpniu, Raiffeisen Bank i Volksbank – jesienią, a Consorsbank – do końca roku.
