A kto powiedział, że wewnętrzne, domyślne kodowanie JavaScript jest zgodne z kodowaniem strony? Tak się składa, że to akurat Unicode (utf-32 little endian).
Popatrzyłem sobie na ten kod javascript i on NIE będzie działać poprawnie, gdy damy mu tekst w utf-32 (z resztą na górze tego pliku mamy informację, że będziemy operować na 8-bitowych znakach). Najważniejsza jest tutaj funkcja "str2binb". Zamienia ona napis na tablicę liczb, w której każda liczba odpowiada kolejnym czterem znakom (tworzy liczbę 32-bitową, gdzie każde 8 bitów odpowiada kolejnemu znakowi). Problemem jest, gdy potraktujemy tę funkcję literą, gdzie faktycznie składać się ona będzie z więcej niż 8-bitów, na przykład 'ś', czyli bajtów 81 oraz 1. Funkcja ta bierze pod uwagę TYLKO pierwszy bajt znaku, tj. 81.
Z resztą, widać to tutaj (żeby uzyskać liczbę 347 w JavaScript musiałem zamienić ją ręcznie; gdybym użył samego charCodeAt, dostalibyśmy wynik 81):
http://revik.one.pl/private/kodowanie.php
Musisz sprawdzić jeszcze w jakiej formie te dane trafiają do funkcji na stronie banku. Jeżeli faktycznie jest to UTF-32 (nie są nigdzie zamieniane) to.. według mnie teoretycznie możliwe jest zalogowanie się z innym hasłem niż faktyczne, gdy zawiera ono polskie znaki. Gdy zamiast 'ś' podamy '[' (oba zwrócą identyczną liczbę przez charCodeAt(0)), też będziemy mogli się zalogować.
edit: dodałem przykład odnośnie powyższego.
źródło: http://revik.one.pl/private/kodowanie.phps