Probleme la noul Internet Banking de la BT

BT a reusit sa creeze o aplicatie functionala, o bijuterie tehnica, insa de neutilizat.

Ce mi-a sarit in ochi prima oara, inca din momentul in care un consilier client foarte de treaba mi l-a prezentat, a fost un foarte grav risc de securitate. Tot ce tine un strain de contul meu de la BT este un mic device care este activat cu un simplu cod de 4 cifre. Atat.

Dupa ce m-am autentificat, m-a incantat aspectul profesional al aplicatiei. Dar admiratia mea s-a oprit acolo: aplicatia e stufoasa, inutil de complicata. A fost probabil facuta de un grup de programatori prea entuziasti si prea putin experimentati.

Am sa incep cu securitatea, si chiar cu un exemplu. Iata cum ar putea ataca cineva conturile sefului sau, care (probabil) nu-si cara cu el token-ul la baie:

  1. Ar activa un remote desktop si s-ar uita la un loopback al camerei web integrate in mai orice laptop (sau instalata pe un sistem desktop).
  2. Asteapta ca acesta sa vina la munca si sa acceseze BT24.
  3. Priveste ca la TV cum seful introduce codul de acces. Singurul cod de acces.
  4. Astepta ca utilizatorul sa plece de la computer, da buzna, intra in cont si executa ce plati doreste.

Chiar si fara camera, rau-voitorul se poate uita cu coada ochilui cand utilizatorul introduce codul. Fiind doar cifre, aranjate in dreptunghi, cu butoane pe care trebuie sa apesi ferm, nu are nevoie de prea multa perspicacitate sa detecteze codul. (Pe o tastatura ce calculator e mult mai complicat de identificat o parola pentru ca utilizatorul scrie mai repede, are palmele deasupra tastaturii si, pe de alta parte, numarul de combinatii este mult mai mare)

Cand le-am prezentat anomalia, BT mi-a zis ca un element suplimentar de siguranta ar fi numele contului, un lucru care m-a facut sa zambesc tâmp: e format dintr-o bucata a contului IBAN si initialele numelui meu. Adica fix informatiile la care are acces oricine.

Voi continua cu descrierea aplicatiei BT24. Au reusit sa o complice atat de mult incat am refuzat sa o utilizez, intorcandu-ma la varianta veche (creata, de asemenea, fara pic de ergonomie). Au fost nevoiti sa o intrerupa pe cea veche, ca altfel (probabil) nimeni nu ar fi adoptat-o pe cea noua.

Un screen dragut si destul de bine gandit te intampina. Insa, de aici in colo, mai totul e pe dos:

  • meniurile sunt de nefolosit, merg prost
  • au un sistem de tab-uri inutile, care incurca ingrozitor
  • sistemul de aprobare al tranzactiilor, desi sigur, e incomod
  • cautarea si navigarea prin tranzactii e un chin
  • generarea extraselor de o perioada mai lunga necesita un nesfarsit set de clickuri
  • soldul imi apare intr-o parte cu o valoare, in alta cu alta valoare

Imi pare rau sa vad irosita atata munca: cu putin efort ar putea fi o aplicatie buna. Se pare ca Banca Transilvania nu prea e prietena cu termenul de “Usability”. In acest moment, solutia de internet banking de la BT este groaznica si nu da semne de insanatosire.