Partnerzy strategiczni
Partnerzy wspierający
Partnerzy wspierający
Partner merytoryczny

Chyba już czas zapomnieć o hasłach jednorazowych. Nowy sposób autoryzacji transakcji od mBanku

Mobilna autoryzacja, bo tak nazywa się to rozwiązanie, pozwala na potwierdzanie przelewów realizowanych w serwisie internetowym za pośrednictwem aplikacji mobilnej

Hasła jednorazowe wysyłane za pośrednictwem SMS-ów w znacznym stopniu ułatwiły korzystanie z banku w internecie, a przy tym podniosły bezpieczeństwo korzystania z serwisów transakcyjnych. Dzięki nim wyłudzenie danych autoryzacyjnych stało się o wiele trudniejsze. Wcześniej przestępcy potrafili nakłonić klientów do podania kilku następujących po sobie haseł z papierowej listy. Ale z czasem i hasła SMS-owe zostały skompromitowane, bo złośliwe aplikacje potrafią je przechwytywać. Poza tym przepisywanie cyferek z telefonu na komputer jest mało wygodne. Do tego nie wszyscy klienci mają nawyk sprawdzania, czy numer rachunku odbiorcy przelewu zgadza się z tym w SMS-ie z hasłem jednorazowym, co naraża ich na fraud.

Przeczytajcie także: Biometria naczyń krwionośnych oka już w Polsce

Dlatego od dłuższego czasu mówi się, że hasła jednorazowe przesyłane za pomocą SMS-ów muszą zostać czymś zastąpione. O tym, że da się to zrobić, przekonał już Bank Millennium, który kilka miesięcy temu umożliwił potwierdzanie transakcji kartowych w internecie odciskiem palca na smartfonie. W ten sposób hasła SMS-owe w usłudze 3D Secure zostały wyeliminowane dzięki odpowiedniej funkcji w aplikacji mobilnej. Teraz podobną drogą idzie mBank.

Właśnie ruszył pilotaż usługi o nazwie Mobilna autoryzacja. Rozwiązanie polega na zastąpieniu haseł jednorazowych powiadomieniem push w aplikacji mobilnej. Miałem okazję je przetestować. Działa to w ten sposób, że po zleceniu operacji w internetowym systemie transakcyjnym aplikacja mobilna telefonu generuje komunikat push, informujący o czekającej na potwierdzenie operacji. Jeżeli klient się na to zdecyduje, jest proszony o zalogowanie się do aplikacji, po czym widzi stronę z informacjami o transakcji, jaką chce przeprowadzić. Może ją zatwierdzić albo odrzucić. Komunikat jest aktywny przez pięć minut od zlecenia i wygląda w ten sposób:



Jak widzicie, znajduje się tu cały numer rachunku odbiorcy (środkowa część została rozmyta przeze mnie) i jest prezentowany na przejrzystej planszy. Pozwala to łatwo zorientować się użytkownikowi, czy potwierdza własnoręcznie zleconą płatność, czy też ktoś próbuje go oszukać. W SMS-ie autoryzacyjnym dostajecie zwykle tylko część numeru konta odbiorcy "naściubioną" drobnymi cyframi, co może sprawiać niektórym problemy z jej odczytaniem.

Przeczytajcie także: Hakerzy okradli rosyjski bank centralny

Mobilna autoryzacja na pewno jest rozwiązaniem wygodniejszym niż przepisywanie haseł z SMS-ów i sprawia wrażenie bezpieczniejszej. mBank twierdzi w materiałach informacyjnych na temat wprowadzanego przez siebie rozwiązania, że opiera się ono o najnowsze rozwiązania kryptograficzne i technologiczne. Zabezpieczenia stosowane przez mechanizm Mobilnej autoryzacji wykorzystują szyfrowanie SSL/TLS 1.2 co gwarantuje pełną poufność komunikacji. Ponadto wszystkie przetwarzane przez urządzenie mobilne dane chronione są w pamięci operacyjnej i nie są dostępne dla innych aplikacji. Mobilna autoryzacja zapewniać ma także zaawansowane mechanizmy utrudniające między innymi kopiowanie aplikacji na inne urządzenie, czy też inżynierię wsteczną cokolwiek to oznacza.

Szczerze mówiąc nie mam już wątpliwości, że hasła SMS-owe stracą swój prym wśród metod potwierdzania transakcji. Pytanie, czy na rzecz pomysłu proponowanego przez mBank. Wydaje mi się, że rozwiązanie biometryczne zaproponowane przez Millennium jest jeszcze wygodniejsze i bezpieczniejsze. Inna sprawa, że mBank już ma logowanie odciskiem w apce na iOS więc tam pewnie działa to jak w Millennium. Mam Androida i nie mogę tego sprawdzić.  Wszyscy klienci mBanku otrzymają dostęp do Mobilnej autoryzacji wraz z debiutem aplikacji trzeciej generacji, który spodziewany jest w przyszłym roku.

Zostaw komentarz

Jacek Uryniuk

Redaktor naczelny
Aktywny od: 22.01.2015
Dodał: 2495 artykułów

Inne artykuły tego autora:

Większość banków z Polski oferuje już aplikacje mobilne. Sprawdźcie swoją wiedzę na ich temat. Quiz Cashless

Trudno dziś wyobrazić sobie, by bank mógł uchodzić za nowoczesny nie posiadając w ofercie dobrej aplikacji na smartfony. Zapraszam na krótki test wiedzy na temat tego rozwiązania

Banki z Polski prowadzą już 204 oddziały w stylu cashfree. Najnowszy raport Cashless

Najwięcej placówek bez tradycyjnej obsługi kasowej posiada ING – prawie 100

ZBP w Sejmie: nadzór powinien przemyśleć wprowadzenie zakazu inwestycji w kryptowaluty

Zdecydowane stanowisko w stosunku do cyfrowych pieniędzy szef ZBP Krzysztof Pietraszkiewicz przedstawił dziś podczas posiedzenia Komisji Finansów Publicznych

Już tysiąc urzędów w projekcie terminalizacji. KIR chwali się wynikami rządowego programu

W terminalach płatniczych zainstalowanych w ramach projektu do końca października zrealizowano bez mała 130 tys. transakcji

Banki SGB wprowadzają nowe, wspólne konto z kartą i aplikacją mobilną. W przyszłym roku zaoferują Android Pay

Nowy rachunek kosztuje tylko jednego złotego miesięcznie, a tak niska prowizja nie jest obarczona koniecznością spełniania żadnych dodatkowych warunków

Pokaż wszystkie artykuły tego autora →

Zapisz się do newslettera

Najczęściej czytane

Cashless na Youtube

Q5mv9oSMmys
Nie możecie się dostać na konto? Karta nie działa? Awaria w banku? Chcecie się podzielić informacją, która może być ciekawa dla innych? Napiszcie do nas.