Codzienny rytuał
Każdy uczestnik badania używa loginu i hasła, ale dla 94 proc. to tylko pierwszy krok – niemal wszyscy dokładają drugi składnik w postaci kodu SMS lub dodatkowego PIN-u. 62,5 proc. potwierdza tożsamość biometrią (odcisk palca lub twarz), 44,4 proc. korzysta z autoryzacji push, a 14,3 proc. – z fizycznych kluczy U2F/FIDO. Ten ostatni wynik jest wysoki na tle Europy, bo wymaga od użytkownika inwestycji w dodatkowy sprzęt.
Choć biometria cieszy się popularnością, tylko 16,7 proc. uważa ją za obowiązkową. Sprzętowy klucz – jeszcze mniej, bo 6,9 proc. Inaczej jest z SMS-ami – mimo wad i ryzyka ataków SIM-swap, 90,3 proc. wskazuje je jako element minimalnego pakietu bezpieczeństwa. To oznacza, że banki i brokerzy nie zrezygnują z nich z dnia na dzień – konieczna będzie długa kampania edukacyjna.
Największe zagrożenie to nadal człowiek
Phishing, vishing, złośliwe oprogramowanie, ransomware – metody ataku są coraz bardziej wyszukane. Przestępcy często zdobywają dane logowania nie przez łamanie zabezpieczeń, a dzięki nieuwadze użytkownika. Wielu internautów używa tych samych haseł w różnych serwisach, zapisuje je w przeglądarkach, ignoruje ostrzeżenia. Podstawy higieny cyfrowej – unikalne hasła, menedżer haseł, 2FA najlepiej oparte o aplikacje uwierzytelniające, a nie SMS – mogą znacząco zmniejszyć ryzyko.
Sprawdź polecane oferty
RRSO 21,36%
W pięciostopniowej skali 85,6 proc. badanych wystawiło obecnym zabezpieczeniom „czwórkę”, a 4,9 proc. „piątkę”. To oznacza, że ponad 90 proc. czuje się bezpiecznie. Jednocześnie aż 43 proc. zmienia hasła rzadziej niż raz do roku, a 8,3 proc. nie pamięta, by robiło to kiedykolwiek. Coraz powszechniejsze jest przekonanie, że silne hasło i 2FA są skuteczniejsze niż częsta zmiana łatwych haseł – to zgodne z rekomendacjami NIST i ENISA.
Doświadczenie robi różnicę
Większość respondentów ma za sobą 4–6 lat korzystania z bankowości internetowej i inwestycji online. Pamiętają wprowadzenie PSD2, rozwój aplikacji mobilnych i wysyp ataków phishingowych. Nic dziwnego, że są w stanie ocenić zarówno minusy SMS-ów, jak i plusy FIDO. Ofiarą udanego oszustwa w ostatnich 12 miesiącach padło tylko 0,7 proc. badanych – ale 16,1 proc. nie wie, czy ktoś próbował ich zaatakować, co pokazuje, jak potrzebna jest edukacja.
Banki, brokerzy i giełdy będą musiały stopniowo przechodzić z SMS-ów na nowocześniejsze standardy – passkeys czy uwierzytelnianie behawioralne – ale tak, by nie wzbudzić oporu klientów przyzwyczajonych do kodów z wiadomości. Największe ryzyko to nadal czynnik ludzki – brak czujności, klikanie w podejrzane linki, wiara w fałszywe telefony z banku. Kluczem będzie połączenie silnej technologii, intuicyjnej obsługi i ciągłego podnoszenia świadomości.
