Evropska direktiva o plačilnih storitvah (PSD2) določa, da od 3. maja 2022 spletnih nakupov brez močne avtentikacije ne bo več mogoče izvesti. »Zato je zelo pomembno, da si uporabniki na pametni telefon pravočasno naložijo ustrezno aplikacijo oziroma si zagotovijo rešitev, ki jo za potrjevanje spletnih plačil ponuja banka ali hranilnica,« so opozorili v Združenju bank Slovenije (ZBS). Pregled načinov pri posameznih bankah je v spodnji tabeli.

Večkrat smo že omenjali, da močna uporabniška zaščita (Strong Customer Authentication, SCA) pomeni avtentikacijo kupca z dvema od treh elementov, med katerimi kratkih sporočil ni več. Elementi so naslednji:

Nekaj, kar potrošnik je (biometrični podatki, denimo prstni odtis ali obraz).

Nekaj, kar potrošnik ve (geslo, koda pin, odgovor na varnostno vprašanje).

Nekaj, kar potrošnik ima (pametni telefon ali druga mobilna naprava).

Večina bank se je odločila za aplikacijo na telefonu, najsi bo to namenska aplikacija za potrjevanje, mobilna banka ali mobilna denarnica (slednja omogoča brezstično plačevanje s telefonom), kar pomeni kombinacijo stvari, ki jo potrošnik ima (telefon), in nečesa, kar je (odklepanje z biometričnimi lastnostmi), ali kar ve (odklepanje z geslom ali kodo). Ponekod je tudi možnost potrjevanja s čitalnikom kartic, priključenim na osebni računalnik.

Še vedno bodo obstajale izjeme, kot so plačila manjših vrednosti in ponavljajoče se transakcije. V prvem primeru lahko trgovec določi, do katerega zneska ni potrebna dodatna avtentikacija, nekako tako, kot v trgovini za določena brezstična plačila ni treba vpisati PIN-a v terminal POS. Drugo pa so seveda digitalne naročnine, kjer bi bilo povsem nepraktično vsakič znova od naročnika zahtevati potrditev plačila. »Če nekdo v procesu ne bo pravočasno zagotovil vseh ustreznih prilagoditev, plačila spletnega nakupa na spletnih mestih s plačilnimi karticami od 3. maja 2022 ne bo mogoče izvesti,« so še zapisali v ZBS.

Težava direktive pa je že od začetka v tem, da ne zapoveduje teh pravil za vse trgovce in izdajatelje kartic, temveč le za tiste s sedežem znotraj Evropske unije oz. Evropskega gospodarskega prostora (ta vključuje še Islandijo, Lihtenštajn in Norveško). Tako kitajskim in še mnogim drugim spletnih trgovinam, Paypalu in drugim ni treba upoštevati načela SCA. Glede na to, da EU načrtuje denimo Akt o digitalnih storitvah, ki bo reguliral ponudnike ne glede na državo, od koder izhajajo, bi tudi direktivo PSD2 po mojem mnenju morali dopolniti, da bi zahtevala močno avtentikacijo od vseh trgovcev in finančnih institucij.

Naslovna fotografija: DepositPhotos

The post Čez en teden konec sms-ov za potrjevanje spletnih nakupov appeared first on Tehnozvezdje.

Za tiste, ki ste zgrešili lanske članke o tem in morda letos še niste kupovali na spletu ali pa malce začudeno pogledali, ko ste to počeli prvič v 2021, ponovimo še enkrat, kaj zahteva evropska direktiva o plačilnih storitvah (PSD2). Ena od novosti v njej je močna uporabniška zaščita (Strong Customer Authentication, SCA) in ta predpostavlja avtentikacijo kupca z dvema od treh elementov. Ti elementi pa so:

• Nekaj, kar potrošnik je (biometrični podatki, denimo prstni odtis ali obraz)

• Nekaj, kar potrošnik ve (geslo, koda pin, odgovor na varnostno vprašanje)

• Nekaj, kar potrošnik ima (pametni telefon ali druga mobilna naprava)

Več o osnovah in vseh pomembnih podrobnostih novega načina potrjevanja spletnih nakupov si lahko prebereš v članku Za spletno nakupovanje potrebujete pametni telefon na spletnem portalu Vse bo v redu Zavarovalnice Triglav.

Poglejmo postopek skozi aplikacijo NLB Pay (na Androidu ali iOS-u), ki je pri največji slovenski banki tista za potrjevanje nakupov. Ko kupec pride do konca postopka v spletni trgovini in klikne kupi, se nakup še ne zaključi, ampak se prikaže stran z obvestilom, da je treba zadevo potrditi oz. avtorizirati. Na telefon pride (potisno) obvestilo, ki pozove k odprtju aplikacije. Telefon je že tisti element »Nekaj, kar potrošnik ima.« Sledi najprej odklepanje telefona in potem še aplikacije. Oboje je lahko zaščiteno biometrično (kar uporabnik je) ali s PIN-om oz. geslom (kar uporabnik ve). Ko vstopi v aplikacijo, ga tam pričaka nekaj informacij. Najprej odštevalnik, kajti za potrditev nakupa je pet minut časa, sicer propade. Nato datum in čas, ko je bil nakup sprožen. Če takrat lastnik telefona ničesar ne kupuje, že lahko ve, da gre za poskus zlorabe njegove kreditne kartice in lahko klikne zavrni ter potem ukrepa naprej. Če je v resnici kupec, potem gremo naprej. Naslednja postavka je ime trgovca in pod njim v okvirčku znesek nakup. Če se vse to ujema, smo že skoraj na koncu. Prikazane so še zadnje štiri številke plačilne kartice in ko je kupec prepričan, da je vse tako, kot mora biti, pritisne na Potrdi, in s tem je postopek končan. Pride le še obvestilo o uspešnem plačilu.

Ideja metode SCA je v tem, da bi bilo manj zlorab plačilnih kartic. Če mora lastnik kartice potrditi nakup, jo morebitni tatovi (kartice ali pa samo njenih številk) težje izkoristijo za svoje nakupe. Zato je seveda pomembno, da res vsi trgovci (in banke) to vpeljejo. Po novem letu sem še opravil kakšen nakup brez dodatne opisane metode, a jih ni bilo veliko. Poleg tega pravila ne veljajo za trgovce s sedežem zunaj EU. Vsaj pri tistih, ki jih pravila obvezujejo in jih morda še ne spoštujejo, ne bi bilo nič narobe, če se jih kupci izogibajo, dokler zadeve ne uredijo. Vse dotlej so potencialna točka, kjer lahko nepridipravi vnovčijo tuje kartice.

Zanimivo je tudi, da pri nekaterih plačilnih storitvah še naprej ostaja v veljavi stari. Plačevanje s pomočjo Paypala je tak primer, saj še vedno zahteva prepis gesla iz sms-a, pa bi seveda lahko uredili potrjevanje z aplikacijo. Vendar jim, ker so ameriški ponudnik, ni treba. Včasih si želim, da bi šla EU malo dlje v svojih zahtevah. Naj vsi, ki želijo ponujati storitve tu, upoštevajo enaka pravila.

Pri kar nekaj bankah sploh ni več na voljo alternativne metode, samo še ta z aplikacijo na pametnem telefonu. Kar je mogoče za koga zoprno, ker ali nima ustrezne naprave ali pa ne (bi) uporablja(l) aplikacije. Toda, smo v letu 2021, in verjetno se bodo morali tudi zadnji tehnoamiši sprijazniti, da je pametni telefon danes nepogrešljivo orodje. Starejšim pa zagotovo lahko pri nakupih pomagajo otroci in vnuki.

Naslovna fotografija: DepositPhotos

The post Ignoriraj spletne trgovine, ki še niso uvedle novega načina potrjevanja nakupov appeared first on Tehnozvezdje.

Močna uporabniška zaščita ali po angleško strong customer authentication (SCA) je ključni del omenjene direktive, znane tudi po kratici PSD2. Ta predvideva tri možne načine za avtentikacijo kupca pri spletnem poslovanju. Da je res on, lahko potrdi z nečim, kar ve, kar ima in kar je. Pri vsakem nakupu pa morata uporabiti dva od teh treh varnostnih elementov. Tisto, kar ve, je geslo, koda PIN ali kakšna druga prijavna informacija. Za reč, ki jo ima, se običajno predvideva pametni telefon z ustrezno aplikacijo. Nekaj, kar je uporabniku lastno (kar je), pa so biometrične značilnosti, denimo prstni odtis ali obraz. Tako bo običajni postopek nakupa tak, da bo potrošnik vpisal ali med shranjenimi našel svojo plačilno kartico, kliknil plačaj in potem na svoj telefon dobil obvestilo, naj v aplikaciji potrdi nakup. Tako bo moral odkleniti najprej telefon in nato še – z geslom, PIN-om, prstnim odtisom ali prepoznavo obraza – vstopiti v aplikacijo ter pritisniti na gumb potrdi nakup. Brez tega zadnjega koraka s telefonom bo zadeva v spletni trgovini propadla.

Doslej so nekatere banke v navezi s trgovci zahtevale vpis enkratne kode, ki jo je uporabnik dobil po sms-u. Varnost že pri tem sistemu ni bila slaba, a industrija je vseeno prepričana, da je novi še varnejši. Pri sms-u so določene luknje, saj je denimo mogoče potvoriti kartico SIM ali preusmeriti sporočilo, in občasno smo brali o kakšni taki epizodi v južnoameriških državah. Poleg tega na ukradenem telefonu ni težko prebrati kode, celo brez odklepanja. Res pa v Evropi zlorab tovrstnega sistema skoraj ni bilo. Pri nekaterih plačilih celo ni bilo treba ničesar potrditi in tako je lahko na spletu kupoval vsakdo, ki je imel v roki kartico ali pa vsaj njene kompletne podatke (številko, trimestno varnostno kodo in pravilno ime lastnika).

Ideja močne uporabniške zaščite je v tem, da bi v kar največji meri preprečila zlorabe. Četudi se kdo dokoplje do telefona, mora še vedno ali razbiti geslo oz. PIN (težko) ali ponarediti biometrične lastnosti, ki bi pretentale sistem za odklepanje (zelo težko). Tudi tovrstno potrjevanje sicer ne bo v uporabi vedno in povsod. V osnovi naj bi se sprožilo pri nakupih nad 30 evri, vsi zneski pod to vrednostjo, če jih ne bo za več kot 120 evrov na dan, ostajajo brez dodatne avtentikacije. Tako kot pri brezstičnem plačevanju s kartico ni treba vedno vpisovati PIN-a. Bodo pa tudi nekatere izjeme. Lahko bo uporabnik sam dodal določene trgovce na seznam »zaupanja vrednih«, čeprav se mi to ne zdi najboljša ideja. Izvzete bodo tudi ponavljajoče se transakcije in sploh tiste, ki jih ne začne potrošnik, temveč ponudnik. Tako ne bo treba vedno znova, po možnosti ob čudnih urah, potrjevati plačil različnih spletnih naročnin in še česa. Postopek SCA bo stekel zgolj pri sklenitvi naročnine (to transakcijo sproži potrošnik), vse nadaljnje mesece pa ne več. In tudi za bančna nakazila v spletni ali mobilni banki direktiva ne predvideva tovrstnega potrjevanja. Razlika v primerjavi s spletnimi nakupi je v tem, da mora za uporabo spletne oz. mobilne banke komitent opraviti avtentikacijo v fizični poslovalnici. Tam se morajo prepričati, da to je to res on. Od tam naprej pa je sam odgovoren za gesla in prijavne podatke. Še vedno pa večina bank vsaj za nakazila prejemnikom, ki jih komitent ne uvrsti na seznam, mogoče pa celo za vsa, zahteva potrditev. Običajno je to z enkratno kodo, ki jo ali banka pošlje po sms-u ali pa jo uporabniku generira določena naprava oz. aplikacija.

Dodatna ovira pri nakupu?

Že dolgo poslušamo, da bi moralo biti spletno nakupovanje kar najbolj enostavno in da se marsikdo ustavi pred tistim zadnjim korakom, ko ima sicer želene izdelke že v »košarici«. Zato so tudi uvajanje močne uporabniške zaščite nekateri kritiki označili za dodajanje nove ovire, ki potrošnikom ne bo všeč in bo zmanjšala število spletnih nakupov. Saj vemo, kako močno se največji svetovni trgovec že kakšnih dvajset let hvali s svojim sistemom »kupovanja z enim klikom.« Toda zagovorniki dvonivojske varnosti, kar močna uporabniška zaščita v osnovi je, trdijo, da bo na dolgi rok koristila tudi trgovcem. Soočali se bodo namreč z nižjim odstotkom prevar in lahko si obetajo boljših ocen za svoje storitve.

Jih pa do tja čaka še nekaj dela. Vzpostavitev sistema za SCA ni povsem trivialna. Najprej ga mora pripraviti banka, nato pa se mora vanj vključiti še trgovec, kar zahteva nekaj posredovanja podatkov, dela na zalednih sistemih, testiranja in še česa. Med pandemijo pa se mnogi trgovci, morda še bolj drugod po Evropi kot v Sloveniji, soočajo z večjim obsegom naročil in v tem času ne želijo spreminjati ničesar, kar bi lahko povzročilo težave, poslabšalo uporabniško izkušnjo in morebiti odgnalo kupce drugam. Drugi pa se, prav tako zaradi spremenjenih razmer, usmerjajo v nove poslovne priložnosti, in temu posvečajo ves čas in trud, tehnološke nadgradnje pa tako ostajajo nekoliko v ozadju. V veliki prednosti so seveda tisti trgovci in banke, ki so glavnino dela opravili že pred izbruhom pandemijo. Morda že celo lani, kot da bi veljal prvotni rok.   

Od slovenskih bank je tovrstno potrjevanje spletnih nakupov doslej ponudila NLB, ki je funkcionalnost vključila v aplikacijo NLB Pay. To je v osnovi mobilna denarnica, ki na androidnih telefonih s pomočjo tehnologije NFC nadomešča brezstično kartico, kot je Maestro ali Mastercard. Pred časom je aplikacija prišla še na sistem iOS in zdaj je v njej na obeh platformah še funkcija potrjevanja nakupov. Podprlo jo je že precej trgovcev, a nekateri se bodo priključili še v prihodnjih tednih in mesecih. Morda bo že kmalu sledila še katera od bank, v zadnjih treh mesecih leta pa bi načeloma morale to možnost zagotoviti vse.

Naslovna fotografija: Deposit Photos

The post Do konca leta dodaten nivo varnosti za kupovanje po spletu appeared first on Tehnozvezdje.

Ideja SCA, kot dela bančne direktive PSD2, ki sicer delno že velja – prav zaradi nje denimo trgovci ne smejo več šele ob koncu nakupnega procesa prikazati dodatnih stroškov za plačilo s kreditno kartico in podobnih – je hkrati poenostaviti spletne nakupe in jih narediti varnejše. Tako naj bi kupec potrdil, da je res on, z dvema od treh elementov. Kot smo že pisali, so ti trije elementi naslednji: Nekaj, kar imaš. Nekaj, kar veš. In nekaj, kar si. Doslej je bila najbolj razširjena oblika potrditve nakupa enkratna koda v sms-u, ki jo kupec vtipka v spletni trgovini. Vse do zadnjega so banke menda upale, da bo to priznano kot ustrezna, varna metoda, vendar večina tolmačenj direktive pravi, da gre tu zgolj za en element – nekaj, kar imaš (torej telefon, kartica SIM z določeno številko in sms). Manjka še ena od drugih dveh, zato so nekatere banke po naših informacijah razmišljale še o uvedi dodatne številke PIN (nekaj, kar veš), ki bi jo bilo treba vpisovati pri spletnih nakupih z določeno kartico. Toda tak način prav nič ne poenostavlja in izboljšuje uporabniške izkušnje, pa tudi varnosti v resnici ne, ker so s temi kodami vedno težave, kje so shranjene in kdo vse jih pozna.

Način, ki ga zagovarjata kartična ponudnika Mastercard in Visa, je z obvestilom na pametni telefon in potrditvijo nakupa s tistim, s čimer uporabnik vstopa v mobilno banko, najbolje s prstnim odtisom ali prepoznavo obraza (nekaj, kar posameznik je), lahko pa tudi z geslom ali PIN-om. Ko torej v spletni trgovini vpišem (ali kliknem na shranjeno) številko kreditne kartice in kliknem plačaj, na telefon dobim obvestilo, kliknem nanj, da me preusmeri v bančno aplikacijo, vstopim z biometrično avtentikacijo in nazadnje potrdim nakup. Potem gre proces v spletni trgovini samodejno najprej, saj od zalednega sistema dobi podatek, da je plačilo »avtenticirano«. Izpolnjena sta elementa imeti (telefon) in biti (biometrična prepoznava) ali vedeti (geslo). Na ta način bi po mnenju predstavnikov Mastercarda tudi pretežno preprečili še tisto malo prevar pri spletnih nakupih, kolikor jih je v Sloveniji. Kajti zdaj lahko kdo koga pretenta po telefonu, da mu najprej zaupa številko kartice in potem še enkratno geslo, ki pride po sms-u. Ko pa bi tak »kupec«, ki bi ga nekdo želel zlorabiti za svoj nakup, videl obvestilo s podatki o znesku, trgovcu in morda še čim, bi bilo prevare najbrž konec. V vsakem primeru pa bo še »rezervna« metoda za vse tiste, ki ne uporabljajo pametnega telefona. To bo verjetno kakšna kombinacija potrditvenega sms-a in gesla ali PIN-a.

Kdaj bodo novost dokončno vpeljali, je še nejasno. Zelo verjetno bo prehodno obdobje dolgo eno leto, a nekatere države lobirajo za še daljši odlog. Tudi tistim, ki so že pripravljeni, se še ne splača vključiti novega načina, ker bi se lahko zgodilo, da bi bilo kakšno plačilo zavrnjeno, saj nekdo drug v verigi ne bi imel ustreznega sistema. Veljajo pa tudi izjeme. Med njimi so denimo platforme, kakršna je PayPal, pa verjetno tudi Apple Pay in podobne, kjer se ponudnik plačilnega sistema in banka kot izdajatelj kartic (če gre plačilo sploh s kartice) dogovorita, kako bosta identificirala potrošnika in ali je to treba storiti vsakič, kar je navsezadnje povezano s tem, kdo nosi odgovornost za morebitno poplačilo, če se vendarle zgodi prevara. Če plačilo ni s kartico, je stvar ponudnika platforme, kako ga bo zaščitil. Spletnim trgovinam s sedežem zunaj EU ni treba upoštevati teh pravil. In prav tako ne neevropskim izdajateljem kartic.

Kot smo pisali, pa v kratkem prihaja tudi sprememba pri fizičnih brezstičnih nakupih, ki prav tako zahteva določene prilagoditve zalednih sistemov in predvsem terminalov POS. Z 18. oktobrom ali pa vsaj do konca oktobra bo meja za plačila brez PIN-a zrasla na 25 evrov z zdajšnjih 15 evrov. V veljavi pa ostajata varovalki. Po eni je treba po petih zaporednih brezstičnih transakcijah brez PIN-a tega znova vpisati, tudi če je znesek nižji od 25 evrov. Potem pa je tu še skupna meja takih nakupov, preden je nujen PIN, najvišja dovoljena je 150 evrov, nekatere banke jo imajo postavljeno tudi nižje. Problem, ki je sicer obstajal že zdaj, a so potrošniki nanj zelo redko naleteli, pa je v neprilagojenosti terminalov POS na ta pravila. Terminal namreč pošlje plačilni zahtevek sistemu, ta ugotovi, da je presežen števec ali skupni dovoljen znesek za brezstična plačila brez kode, in nazaj sporoči, da »ne bo šlo.« Toda marsikateri terminal takrat preprosto zavrne transakcijo, namesto da bi vprašal za PIN. Tako je treba vse skupaj ponoviti plačilo z vtikanjem kartice. Kar pa lahko pomeni hudo težavo, če ima kupec s seboj samo telefon z mobilno denarnico. Ali bodo vsi terminali POS nadgrajeni pravočasno, bomo šele videli.

Vsekakor pa je tudi to razlog, da bi morale vse mobilne denarnice delovati po metodi CDCVM (Consumer Device Cardholder Verification Method), pri kateri se avtentikacija uporabnika zgodi na napravi. Mobilna denarnica lahko deluje po tem principu ali »kot kartica« (card-like). Pri slednjem se terminalu predstavi kot klasična kartica in POS tako »ne ve«, da uporabnik plačuje s telefonom. Na ta način delujejo vse mobilne denarnice slovenskih bank (NLB Pay, Abadenarnica, Wave2pay pri Intesi Sanpaolo), ki tudi temeljijo na isti platformi. Pri načinu CDCVM pa se telefon terminalu predstavi kot mobilna naprava in dogovorita se za prvo metodo, ki jo oba podpirata. Po domače povedano telefon sporoči, da je že prepoznal uporabnika – biometrično ali kako drugače – in da tega ni treba početi še enkrat. Zato potem odpade vpisovanje PIN-a kartice v terminal. Kot nam je znano, vsaj v Mastercardu spodbujajo tudi banke, da bi pri svojih mobilnih denarnicah prevzele način CDCVM, ki ga uporabljajo vse od bank neodvisne plačilne platforme (Apple Pay, Garmin Pay, G Pay in ostale). Kdaj to dejansko lahko pričakujemo, še ni znano, vsekakor pa je to tisti korak naprej v uporabniški izkušnji, ki ga zgolj s prenosom kartice na telefon nismo deležni v polni meri.

***

Naslovna fotografija: Deposit Photos

The post Boljši način potrjevanja spletnih nakupov prihaja, toda z zamudo appeared first on Tehnozvezdje.

Močna avtentikacija kupcev (SCA), ki jo to jesen uvaja direktiva PSD2, od ponudnikov finančnih storitev zahteva, da pri izvedbi plačila obvezno uporabijo vsaj dva od treh obstoječih tipov za overjanje identitete. Ti trije tipi pa so:

• Poznavanje nečesa (informacija, ki jo ve samo uporabnik)
• Imetje (reč, ki jo poseduje samo uporabnik)
• Neločljivo povezana lastnost (nekaj, kar uporabnik je)

Pri prvi točki so najbolj pogoste kode PIN in podobna dokaj lahko zapomnljiva in enostavno uporabljiva, a vseeno težko uganljiva gesla. Za drugo točko v največji meri pridejo v poštev pametni telefoni, tretja pa se večinoma nanaša na biometrične lastnosti, kot so prstni odtisi, obraz, očesni elementi in podobno. Smisel vsega skupaj pa je, da je zgolj »shekanje« enega tipa identifikacije premalo in da to nikakor ne vpliva na ostala dva. Torej, če mi nekdo ukrade telefon in mu ga uspe odkleniti, še vedno ne ve niti moje kode niti ne more ponarediti biometrije. Ali če slučajno ugane PIN, se mora še vedno polastiti tudi telefona. V praksi pa bo zadeva izgledala tako, da bo uporabnik ob avtentikaciji nakupa dobil poziv, naj ga denimo s prstnim odtisom potrdi na telefonu, s čimer bo v bistvu v enem koraku uporabil dva tipa overjanja. Obvestilo za potrditev bo seveda prišlo samo na izbrani telefon in nikamor drugam.

Direktiva predvideva tudi izjeme, kdaj avtentikacija ni potrebna. Med te (med drugimi) sodijo transakcije manjših vrednosti, transakcije, ki jih začne trgovec, in fiksne naročnine. Pri prvih je želja ponuditi enako udobje kot pri brezstičnem plačevanju v trgovinah, gostinskih lokalih in drugod, kjer lahko do 15 evrov nakupujemo brez vtipkavanja PIN-a. Kot trdijo v Mastercardu se je ta način izkazal za odličnega in zlorab praktično ni. Pri transakcijah, sproženih od trgovca, so imeli pisci direktive v mislih predvsem naročnine s spremenljivim zneskom, dodatke k naročninam in podobno. Ponudnik bo na osnovi kartice, shranjene v njegovem sistemu (ob prvem vnosu oz. shranjevanju bo kupec šel skozi standarden postopek dokazovanja pristnosti z dvema elementoma), zahteval transakcijo, in če bo kartični center ocenil, da zadeva ne izgleda kot zloraba, bo to plačilo odobril. Za naročnine pa je sploh smiselno, da ne zahtevajo potrditve naročnika, kajti to bi se lahko dogajalo ob čudnih urah in bi vnašalo veliko zmede in nejevolje.  

Mastercardova raziskava je sicer ugotovila, da imajo biometrično avtentikacijo v naši regiji najraje v Bosni in Hercegovini, najmanj pa ji zaupajo prav slovenski uporabniki. Kot pravi povzetek raziskave, je za Slovence pri izbiri metode »odločilen dejavnik varnost bančnega računa in osebnih podatkov.« Pri nas še vedno največ potrošnikov najraje uporablja in najbolj zaupa načinu s potrditvenim sms-om, ki pa v resnici ni najbolj varen, saj se da »ugrabiti« telefonsko številko oz. kartico SIM, zato bo za mnoge »najboljši« način z jesenjo izginil. Vseeno pa je raziskava po podatkih Mastercarda potrdila, da je prav telefon daleč najbolj priljubljena naprava za avtentikacijo.

Kot vedno še naprej ostaja težava, kako si zapomniti gesla in kode. Kajti tudi pri biometriji je v ozadju koda, ki omogoča vstop v sistem, odklepanje telefona, itd, če biometrična prepoznava odpove. Zato se je treba zavedati, da je vsaka zaščita s prstnim odtisom, obrazom, očmi ali čim drugim varna le toliko, kolikor je močna nadomestna koda. Slovenci sicer nadpovprečno uporabljamo dodatno zaščito za zaklepanje telefonov, saj nas ima vsaj en način nastavljen kar tri četrtine uporabnikov pametnih telefonov. Omenjena raziskava je še razkrila, da si polovica potrošnikov v državah srednje in vzhodne Evrope gesla večinoma zapomni, četrtina pa si jih zapiše v zvezek. V Sloveniji si več kot polovica anketirancev gesel ne shranjuje, spreminja pa jih le poredkoma, manj kot enkrat letno. Industrija sicer želi, da bi statična gesla, pogosto shranjena na nepravih mestih in poznana več kot enemu človeku, sčasoma izginila, nadomestila pa bi jih dinamična, sproti generirana gesla ali druge metode, kakršna je WebAuthn. Ta prav tako izkorišča telefon, računalnik in drugo, kar že imamo pri roki, da lahko potrdimo svojo istovetnost. Do takrat, ko bo to razširjeno, pa vseeno ni napačno poskusiti s katerim od upravljalnikov gesel.

Naslovna fotografija: DepositPhotos

The post Le še redki spletni nakupi brez potrjevanja z dvema varnostnima elementoma appeared first on Tehnozvezdje.

Podobno raziskavo je družba opravila tudi pred tremi leti (2016) in primerjava s takratnimi podatki pokaže, da preko spleta nakupuje 23 odstotkov več ljudi, za enak delež pa se je povečalo tudi število tistih, ki račune plačuje preko aplikacij spletnega plačevanja. 48 odstotkov pa je priznalo, da uporabljajo tudi plačilne aplikacije, kot je na primer novost v Sloveniji Apple Pay, če so na voljo. 

Slovenci se ne razlikujejo veliko od drugih Evropejcev, v primeru digitalnih transakcij nas zanimajo stroški in varnost, želimo pa tudi nižje cene spletnih storitev, ko so vsebine na zahtevo, potovanja in aplikacije za plačevanje. Pri teh nas najbolj razveseljujejo hitrost (77 odstotkov), preprostost uporabe (70 odstotkov) ter takojšnja dostopnost (68 odstotkov). Med tistim, ki jih ne uporablja, pa bi jih 46 odstotkov začelo, če bi bili prepričani o njihovi varnosti. 

Ko gre za naš denar, raje dvakrat premislimo, kot pa da bi ga zaradi neznanja ali slabosti tehnologij po neumnosti izgubili. Je pa težava verjetno večplastna, saj so spletni varnostni mehanizmi dokaj zapleteni, česar pa ne razumemo dobro, temu tudi težje zaupamo. Zgolj 41 odstotkov vprašanih ima nekaj znanja o spletni varnosti, 42 odstotkov pa je priznalo, da o nevarnostih na internetu vedo bore malo. Kadar se glede varnosti pojavijo dvomi, 52 odstotkov dodatne informacije in pomoč poišče na spletu. 

Še vedno soočamo tudi z deljenjem naprav, kar doda kamenček v mozaik zapletenosti spletne varnosti. Osebni računalniki, med katere sodijo tudi prenosniki, še zdaleč niso osebni, saj jih več kot polovico (55 odstotkov) uporablja več kot en član družine. Se pa vse bolj zavedamo prednosti uporabe ločenih e-poštnih naslovov za različne namene. Z njimi znižamo tveganja, saj če nam vdrejo v enega, so ogrožene le storitve, pri katerih smo ga uporabili za prijavo, ne pa vse, kot je običajno, če imamo samo enega. 53 odstotkov vprašanih uporablja ločene e-poštne naslove, 42 odstotkov pa tudi redno preverja nastavitve zasebnosti v svojih računih družbenih omrežij.

Ker do spleta pogosteje kot z računalnikom dostopamo prek telefona, je kajpada tudi to napravo treba varovati. Še posebej naprave s sistemom Android. Dve tretjini ali 74 odstotkov vprašanih je na svojih telefonih naložilo dodatno zaščito. Se pa uporabniki veselimo tudi močnejšim mehanizmom overjanja identitete (SCA). 58 odstotkov meni, da je potrebna tudi pri plačevanju v trgovini, kar 71 odstotkov pa je prepričanih, da je nujna pri spletnih nakupih. 

»Vse močnejše zaupanje v digitalno tehnologijo vodi do opravljanja zahtevnejših in pomembnejših opravil prek mobilnega telefona in ostalih naprav. Varnost bančnega računa in osebnih podatkov je zato za Slovence pri izbiri plačilne metode odločilen dejavnik. Uporaba biometrije za overjanje identitete potrošnikom podaja pozitivno uporabniško izkušnjo in večji občutek varnosti, prednosti biometrije pa so jasno razvidne, saj je biološke značilnosti izjemno težko kopirati, poleg tega pa so priročne,« je dejal Luka Gabrovšek, poslovni direktor Mastercard Slovenija.

The post Navajeni na plastiko se veselimo večje varnosti appeared first on Tehnozvezdje.