Kilka godzin temu napisałem, że PKO Bank Polski rozpoczął prace nad mobilną autoryzacją. Jak się okazuje nie jest jedyny. Nowy sposób autoryzowania transakcji chce wdrożyć ING Bank Śląski.
Mobilna autoryzacja może być alternatywą dla kodów SMS. Obecnie takie rozwiązanie działa już w mBanku i T-Mobile Usługi Bankowe. Klienci tych banków w trakcie zlecania przelewu mogą zamiast SMS-a z kodem jednorazowym otrzymać powiadomienie push z aplikacji mobilnej. W powiadomieniu znajdują się informacje o realizowanej dyspozycji. Żeby zatwierdzić operację trzeba podać kod PIN do aplikacji.
Bankowcy przekonują, że takie rozwiązanie jest bezpieczniejsze niż kody jednorazowe przesyłane SMS-em. Chociażby dlatego, że w powiadomieniu można zamieścić więcej informacji na temat zlecanej dyspozycji niż w krótkim SMS-ie.
Do niedawna to kody SMS były uważane za jedno z najbezpieczniejszych narzędzi autoryzacyjnych. Jednak wraz z upowszechnieniem się smartfonów, zaczęły pojawiać się złośliwe aplikacje przechwytujące kody jednorazowe. Dziś wiele ataków pshishingowych nakierowanych jest właśnie na pozyskanie hasła z SMS-a. Okazuje się też, że SMS można przekierować. O ataku na niemieckich klientów, podczas którego wykorzystano tę metodę pisał niedawno Michał Kisiel na łamach Bankier.pl.
Jednak nie tylko bezpieczeństwo przemawia za tym, by szukać nowych sposobów autoryzowania transakcji. Banki wydają grube miliony na wysyłkę kodów SMS. Zdaniem ekspertów z Obserwatorium.biz jest to kwota sięgająca rocznie nawet 70 mln zł. Dlatego pojawiają się mobilne autoryzacje i systemy wykorzystujące biometrię. Oprócz wspomnianego już PKO BP, mobilną autoryzację chce udostępnić swoim klientom BZ WBK.