Czy wyobrażacie sobie bezpieczną transakcję w internecie kartą bez autoryzacji kodem weryfikacyjnym czy hasłem jednorazowym? Wkrótce to może być rzeczywistość. Nad taką koncepcją uwierzytelniania płatności online pracują organizacje płatnicze. Na pewno będzie wygodniej, ale czy bezpieczniej?

Obecnie płacąc za coś w internecie kartą bankową transakcję autoryzujemy najczęściej kodem weryfikacyjnym z rewersu karty. W przypadku MasterCarda kod ten to CVC a w przypadku Visy – CVV. Część banków wdrożyła system 3D-Secure, pozwalający na potwierdzanie transakcji jednorazowym hasłem sms-owym na tej samej zasadzie, jak odbywa się to w przypadku autoryzacji przelewów w systemie transakcyjnym.

Ale oba sposoby są niewygodne. Zwłaszcza, jeżeli zakupów dokonujemy na urządzeniu mobilnym, co zdarza się coraz częściej. Organizacje płatnicze chcą więc zaprojektować nową generację zabezpieczeń, skuteczniejszych i przyjaźniejszych użytkownikom, niż te znane do tej pory. Wczoraj MasterCard w enigmatycznym komunikacie poinformował o rozpoczęciu wraz z Visą prac nad nowym standardem autoryzacji transakcji. Poprosiłem o nieco więcej szczegółów w tej sprawie.

Niestety, okazało się, że prace nad tą koncepcją są naprawdę na bardzo wstępnym etapie i na razie nie wiadomo kiedy nowy system zostanie udostępniony klientom. Wiadomo natomiast jak w praktyce ma wyglądać autoryzacja transakcji. System ma wykorzystywać dane na temat użytkowników i ich zachowań w taki sposób, aby nie pojawiały się żądania wpisania hasła w momencie zakupu. Jeśli operacja będzie zgodna z typowym dla posiadacza wzorem dokonywania transakcji, proces uwierzytelnienia będzie automatyzowany.

Jak się domyślam chodzi więc o to, że jeżeli co tydzień w piątek popołudniu będziecie robić zakupy spożywcze w internetowym hipermarkecie na kwotę do 300 zł, to taka transakcja będzie przez system przyjęta jako zgodna ze wzorcem i nie wymagająca potwierdzenia jakimkolwiek hasłem. Autoryzacja będzie wymagana tylko wtedy, gdy transakcja będzie nietypowa. W takiej sytuacji zostaną wykorzystane jednorazowe hasła i dane biometryczne. MasterCard chwali się, że już przeprowadza testy zatwierdzania płatności poprzez identyfikację twarzy i głosu.

Pomysł wygląda ciekawie. Na etapie koncepcji wydaje się, że może także zapewniać odpowiedni poziom bezpieczeństwa. Myślę, że jego namiastkę znam np. z systemu transakcyjnego ING Banku Śląskiego, który część przelewów jednorazowych „puszcza” bez autoryzacji hasłem jednorazowym. Najczęściej są to transakcje na niewielkie kwoty lub do odbiorców, do których wysyłam pieniądze często, ale z jakichś powodów jeszcze nie zdefiniowałem ich jako stałych. Z mojego punktu widzenia jest to bezpieczne. Pytanie tylko, czy jeżeli organizacje płatnicze wprowadzą taki typ uwierzytelniania na szerszą skalę, na rynku nie upowszechnią się pomysły jak go obejść. Bo, że każdy system da się złamać chyba przekonywać nikogo nie trzeba…