Bezpieczeństwo zakładania konta bankowego przez Internet

Niemal każdy bank w Polsce umożliwia już założenie konta bankowego przez Internet, bez wychodzenia z domu. Banki oczywiście wydają krocie na zabezpieczenia swoich systemów, więc włamania występują niezwykle rzadko. Jednak podczas logowania się do bankowości internetowej lub podczas zakładania konta, wysyłamy do banku dane z prywatnego komputera, który prawdopodobnie jest dużo gorzej zabezpieczony niż komputery w banku. Aby upewnić się, że dane które przesyłamy są bezpieczne, musimy zatem sprawdzić, czy nasze połączenie z bankiem jest zaszyfrowane przy użyciu protokołu SSL.

Bezpieczne połączenie przy użyciu protokołu SSL

SSL (Secure Socket Layer) to protokół sieciowy, którego zadaniem jest przesyłanie danych pomiędzy nadawcą a odbiorcą w sposób zaszyfrowany, to znaczy tak, aby po drodze niemożliwe było przechwycenie, odczytanie lub modyfikacja danych. SSL jest zatem gwarancją zachowania integralności i poufności przesyłanych informacji.

Transmisja pomiędzy serwerem a końcowym użytkownikiem przechodzi przez mnóstwo urządzeń pośredniczących (serwery dostawców sieciowych, routery itp.). Gdy dane nie są szyfrowane, właściwie na każdym etapie tej drogi może dojść do ich przechwycenia, odczytania, a nawet zmiany. Połączenie SSL zapewnia zaszyfrowanie danych po obu stronach, dzięki czemu transmitowane dane są bezpieczne, co jest ważne nie tylko gdy przesyłamy login i hasło podczas logowania, ale również gdy przesyłamy prywatne dane, takie jak numer PESEL, numer dowodu osobistego, czy imiona rodziców. A tego typu danych bank wymaga podczas zakładania konta.

Jeżeli więc strona internetowa, na której wypełniamy wniosek o założenie konta, korzysta z protokołu SSL – możemy być spokojni, że nasze dane będzie w stanie odczytać tylko bank po drugiej stronie.

Jak rozpoznać czy moje połączenie jest bezpieczne?

Bezpieczeństwo połączenia najłatwiej sprawdzić, patrząc na pasek adresu. Przy zaszyfrowanym połączeniu:

• adres strony powinien zaczynać się od https://, zamiast http://
• na pasku adresu powinna pojawić się ikona kłódki
• pasek adresu powinien być zielony lub zawierać zielony element wskazujący na zabezpieczenie strony (to tzw. zielony pasek adresu).

W zależności od przeglądarki i rodzaju certyfikatu, pasek może przybierać różne formy, ale najważniejsze jest to, żeby można było zweryfikować firmę, dla której został wystawiony i wystawcę certyfikatu. Ta informacja może być w części widoczna bezpośrednio w pasku adresu, a jeżeli nie jest, należy kliknąć w ikonę kłódki i zweryfikować widoczne tam dane.

Nazwa firmy, dla której wystawiony jest certyfikat musi zgadzać się z nazwą firmy (banku), na stronie której jesteśmy – w przeciwnym wypadku może to być sygnał, że ktoś próbuje się podszyć pod bank. Natomiast jeśli chcemy upewnić się co do wiarygodności wystawcy certyfikatu, wystarczy wyszukać w internecie informacje na jego temat. Większość wydawców certyfikatów to firmy z siedzibą w USA, np. GeoTrust, DigiCert, VeriSign, Symantec, Thawte.

Co zawiera certyfikat SSL?

Certyfikat SSL niestety nie jest zbyt czytelną informacją dla laika – poza nazwą firmy dla której został wystawiony i nazwą wystawcy, zawiera dość enigmatyczne dane, takie jak np. rodzaj i wersja użytego szyfrowania (SSL/TLS), numer seryjny certyfikatu i klucze szyfrujące.

Jednak dla nas wystarczy, żeby:

• połączenie wykorzystywało protokół SSL (czyli był widoczny tzw. zielony pasek adresu)
• nazwa firmy, dla której wystawiono certyfikat zgadzała się z nazwą firmy, na której stronie jesteśmy
• nazwa wystawcy certyfikatu była nam znajoma, bądź można było łatwo znaleźć w Internecie informacje potwierdzające jej wiarygodność