Bank Millennium dołączył do grona moich banków i w trakcie eksploracji jego uroków jedna rzecz rzuciła mi się w oczy z pewnym niepokojem.
Właśnie zostałem klientem Banku Millennium. Złapali mnie na oprocentowanie kont oszczędnościowych. Ale to oczywiście był tylko początek dużej zabawy w eksplorację jak system bankowy robi to, jak robi tamto.
Hasło w Banku Millennium może być tylko cyfrowe
Mam pewne obawy co do tego jak Bank Millennium podchodzi do haseł. Spotkałem się w polskiej bankowości po raz pierwszy z takim rozwiązaniem. Otóż hasło może być tylko ciągiem cyfr. Bank Pekao, mBank, ING, Credit Agricole, Alior, BNP Paribas, PKO BP – każdy z tych serwisów do zabezpieczeń i wpisywania hasła podchodzi nieco inaczej, ale co do zasady internauta ma dość sporo swobody w kształtowaniu swojego hasła. Tymczasem w Banku Millennium wprawdzie możemy dowolnie ustalić swój login (nazywany MilleKodem), ale hasło ma być numerem.
Dlaczego uważam takie hasło za kiepski pomysł?
Kiedy przeanalizujemy doniesienia o okradzionych polskich internautach, to bardzo szybko okazuje się, że wcale nie zawiódł system ochrony konkretnego banku, tylko przede wszystkim interfejs organiczny – człowiek, który w jakiś bezmyślny sposób podał dane cyberprzestępcom.
Jestem zdania, że hasło cyfrowe, takie dłuższe od kodu PIN, jest bardzo trudne do zapamiętania. Prawdopodobieństwo, że ktoś po prostu poda sobie ciąg ośmiu cyfr, a następnie je zapamięta, jest bardzo nikłe. W konsekwencji rozwiązanie tego typu rodzi szereg ryzyk po stronie użytkownika:
- zapisze sobie hasło do banku na papierze lub w komputerze/smartfonie – a tym samym stanie się ono łatwo dostępne
- ustawi jakiś banalny ciąg cyfr typu 11112222 czy 12345678
- zacznie korzystać z numerów, które zna na pamięć – NIP, PESEL, data urodzenia swoja, żony, dzieci, rodziców
- użyje jako hasła numeru telefonu
W praktycznie każdym z tych wariantów hasło jest paradoksalnie (bo przecież ciąg liczb wydaje się o wiele większą filozofią, niż jakieś słowo) bardziej podatnym na ewentualne złamanie. A teraz pamiętajmy, że domyślny login do banku też jest liczbą i nie każdy musi umieć go zmienić, i robi się po prostu niewygodnie.