Hasła jednorazowe wysyłane za pośrednictwem SMS-ów w znacznym stopniu ułatwiły korzystanie z banku w internecie, a przy tym podniosły bezpieczeństwo korzystania z serwisów transakcyjnych. Dzięki nim wyłudzenie danych autoryzacyjnych stało się o wiele trudniejsze. Wcześniej przestępcy potrafili nakłonić klientów do podania kilku następujących po sobie haseł z papierowej listy. Ale z czasem i hasła SMS-owe zostały skompromitowane, bo złośliwe aplikacje potrafią je przechwytywać. Poza tym przepisywanie cyferek z telefonu na komputer jest mało wygodne. Do tego nie wszyscy klienci mają nawyk sprawdzania, czy numer rachunku odbiorcy przelewu zgadza się z tym w SMS-ie z hasłem jednorazowym, co naraża ich na fraud.

Przeczytajcie także: Biometria naczyń krwionośnych oka już w Polsce

Dlatego od dłuższego czasu mówi się, że hasła jednorazowe przesyłane za pomocą SMS-ów muszą zostać czymś zastąpione. O tym, że da się to zrobić, przekonał już Bank Millennium, który kilka miesięcy temu umożliwił potwierdzanie transakcji kartowych w internecie odciskiem palca na smartfonie. W ten sposób hasła SMS-owe w usłudze 3D Secure zostały wyeliminowane dzięki odpowiedniej funkcji w aplikacji mobilnej. Teraz podobną drogą idzie mBank.

Właśnie ruszył pilotaż usługi o nazwie Mobilna autoryzacja. Rozwiązanie polega na zastąpieniu haseł jednorazowych powiadomieniem push w aplikacji mobilnej. Miałem okazję je przetestować. Działa to w ten sposób, że po zleceniu operacji w internetowym systemie transakcyjnym aplikacja mobilna telefonu generuje komunikat push, informujący o czekającej na potwierdzenie operacji. Jeżeli klient się na to zdecyduje, jest proszony o zalogowanie się do aplikacji, po czym widzi stronę z informacjami o transakcji, jaką chce przeprowadzić. Może ją zatwierdzić albo odrzucić. Komunikat jest aktywny przez pięć minut od zlecenia i wygląda w ten sposób:



Jak widzicie, znajduje się tu cały numer rachunku odbiorcy (środkowa część została rozmyta przeze mnie) i jest prezentowany na przejrzystej planszy. Pozwala to łatwo zorientować się użytkownikowi, czy potwierdza własnoręcznie zleconą płatność, czy też ktoś próbuje go oszukać. W SMS-ie autoryzacyjnym dostajecie zwykle tylko część numeru konta odbiorcy "naściubioną" drobnymi cyframi, co może sprawiać niektórym problemy z jej odczytaniem.

Przeczytajcie także: Hakerzy okradli rosyjski bank centralny

Mobilna autoryzacja na pewno jest rozwiązaniem wygodniejszym niż przepisywanie haseł z SMS-ów i sprawia wrażenie bezpieczniejszej. mBank twierdzi w materiałach informacyjnych na temat wprowadzanego przez siebie rozwiązania, że opiera się ono o najnowsze rozwiązania kryptograficzne i technologiczne. Zabezpieczenia stosowane przez mechanizm Mobilnej autoryzacji wykorzystują szyfrowanie SSL/TLS 1.2 co gwarantuje pełną poufność komunikacji. Ponadto wszystkie przetwarzane przez urządzenie mobilne dane chronione są w pamięci operacyjnej i nie są dostępne dla innych aplikacji. Mobilna autoryzacja zapewniać ma także zaawansowane mechanizmy utrudniające między innymi kopiowanie aplikacji na inne urządzenie, czy też inżynierię wsteczną cokolwiek to oznacza.

Szczerze mówiąc nie mam już wątpliwości, że hasła SMS-owe stracą swój prym wśród metod potwierdzania transakcji. Pytanie, czy na rzecz pomysłu proponowanego przez mBank. Wydaje mi się, że rozwiązanie biometryczne zaproponowane przez Millennium jest jeszcze wygodniejsze i bezpieczniejsze. Inna sprawa, że mBank już ma logowanie odciskiem w apce na iOS więc tam pewnie działa to jak w Millennium. Mam Androida i nie mogę tego sprawdzić. Wszyscy klienci mBanku otrzymają dostęp do Mobilnej autoryzacji wraz z debiutem aplikacji trzeciej generacji, który spodziewany jest w przyszłym roku.