Bezpieczeństwo przyszłości

W popularnym mBanku należy podać swój numer identyfikatora i hasło, które użytkownik może sam sobie zdefiniować. Stosowane są tez dodatkowe procedury, by np. wykonać przelew. Klient mBanku otrzymuje w tym celu listę haseł jednorazowych i korzysta z numerów – każdy numer przypisany jest innej transakcji. Podobnie jest w innych bankach, choć np. w Kredyt Banku klient nie podaje całego hasła dostępu, ale niektóre jego znaki (numery losowane są przez automat). Coraz więcej banków, do których należą m. in. Volkswagen Bank direct, Bank Zachodni WBK czy Lukas Bank, oferuje swoim klientom token. Jest to rozwiązanie o tyle bezpieczne, że token generuje ciąg cyfr według indywidualnego wzoru, a osoba, która chce skorzystać ze swojego konta, logując się, wpisuje odczytany z tokena kod do systemu bankowego, który dokonuje porównania kodu z wytworzonym przez siebie. To jeszcze nie wszystko – by odczytać kod z tokena, trzeba też znać nadany numer PIN. Token nie jest jednak bezpłatny, odbiorca musi wnieść stosowną opłatę, by go otrzymać.

Póki co większość banków, również na świecie, korzysta ze standardowych modułów uwierzytelnienia, czyli haseł statycznych, kart zdrapek, list kodów, tokenów. Poszukiwania doskonalszych rozwiązań cały czas jednak trwają.

– Ostatnio rozmawialiśmy z pewną amerykańską firmą poszukującą rozwiązania, które ograniczy przestępstwa związane z płatnościami w internecie. Okazuje się, ze w ostatnim roku banki straciły na takich procederach ponad 2 mld USD. Wstępne pomysły są takie: zmodyfikować systemy bankowe w ten sposób, by każda transakcja powyżej pewnej kwoty była potwierdzana hasłem jednorazowym. W mojej ocenie najlepszym rozwiązaniem byłoby właśnie wykorzystanie telefonu komórkowego jako dostawcy owych haseł. Rozwiązanie to jest bowiem najtańsze w utrzymaniu i najbardziej przyjazne użytkownikowi, który nie musi nosić dodatkowych kart czy tokenów – tłumaczy Patryk Brozek z firmy Wheel zajmującej się bezpieczeństwem bankowych transakcji. Wheel rozmawia obecnie z kilkoma bankami na temat wdrożenia systemu CERB i aplikacji JavaToken. CERB może pracować równolegle z kartami zdrapek czy listami kodów. – Liczymy się z faktem, że nie każdy posiada telefon komórkowy, dlatego nie oczekujemy od banków, by definitywnie rezygnowały z dotychczasowych metod uwierzytelnienia. Wprowadzenie systemu CERB obniży jednak znacząco koszty związane z bezpieczeństwem logowania użytkowników i potwierdzania transakcji – dodaje Patryk Brożek.

Co do innych, jeszcze bardziej zaawansowanych możliwości uwierzytelnienia transakcji, ciągle prowadzone są prace związane z wykorzystaniem technik biometrycznych, czyli odcisków palca oraz rozpoznawania twarzy czy głosu. W przyszłości można spodziewać się również prób integracji systemów bankowych z rodzimą infrastrukturą klucza publicznego i wykorzystaniem kwalifikowanych certyfikatów.