Napisał do mnie Patryk Brożek z firmy WHEEL o ciekawym rozwiązaniu, które udało się wprowadzić ostatnio do AppStore. W dużym skrócie dzięki WHEEL być może już niedługo w polskich bankach będzie można autoryzować operacje za pomocą telefonu komórkowego, a w szczególności za pomocą iPhone.1.
Ponieważ jestem kompletnym laikiem w tym temacie, zadałem Patrykowi kilka pytań, które powinny nieco przybliżyć całą sprawę (odpowiedzi, nie pytania).
Rozumiem, że dzięki waszemu systemowi można uruchomić np. autoryzację przelewów w bankach za pomocą telefonowej wersji tokenów? Pamiętam jeszcze mój token w Lukas Banku, czy to taki sam koncept jest?
CERBToken to nie tylko hasła jednorazowe jak w przypadku tokena znanego z Lukas Bank. CERBToken oferuje znacznie więcej możliwości i gwarantuje dużo większe bezpieczeństwo. Poza hasłami jednorazowymi, które w naszym przypadku stosowane są wyłącznie do logowania, nasza aplikacja posiada funkcjonalność “podpisu” transakcji z wykorzystaniem technologii challenge-response.
Brzmi trochę enigmatycznie ale jest to prosty proces polegający na tym, że klient banku po wpisaniu danych do przelewu i ich zatwierdzeniu otrzymuje od banku kod operacji (challenge), który wprowadza do aplikacji. Po wprowadzeniu tego kodu, aplikacja wyświetla dane o realizowanym przelewie. Jest to o tyle ważne, że jeżeli w tym momencie nastąpi atak i kod operacji zostanie podmieniony, na telefonie pojawią się błędne dane i użytkownik doskonale wie, że to nie jest jego transakcja.
Wtedy ją zwyczajnie odrzuca. Jeżeli dane się zgadzają użytkownik je akceptuje po czym dostaje kod odpowiedź (response), który wpisuje pod przelewem jako jego uzupełnienie. Jeżeli kod ten jest poprawny – przelew zostanie realizowany. W ten sposób nasza aplikacja chroni przed atakami typu phishnig i przez niezależnych ekspertów uznawana jest za najskuteczniejsze obecnie zabezpieczenie dokonywania przelewów i innych transakcji aktywnych (powodujących zmianę
środków na koncie).
Odpowiadając na Twoje pytanie – koncept jest zbliżony, ale wzbogacony o dodatkowe funkcjonalności gwarantujące znacznie wyższe bezpieczeństwo.
Na waszej stronie wyczytałem, że wspólnie z Eurobankiem zaoferowaliście to rozwiązanie klientom. Czy to oznacza, że używając waszej aplikacji na iPhone czy BlackBerry można autoryzować jakieś operacje w banku?
Póki co Eurobank posiada aplikacje wykonaną wyłącznie w technologii Java. Wkrótce ma się to zmienić i mogę tylko powiedzieć, że ciężko nad tym pracujemy. Nowe banki, które w niedługim czasie zaoferują podobną usługę opartą o nasze rozwiązanie będą udostępniały aplikacje na wszystkie platformy od pierwszego dnia świadczenia tej usługi. Oczywiście na iPhona również.
Aplikacja CERBToken, która obecnie znajduje się w AppStore jest dedykowana dla wersji korporacyjnej. Jest kilkadziesiąt tysięcy użytkowników systemu CERB w różnych polskich firmach, gdzie nasz system zabezpiecza logowanie do VPNów, poczty, intranetu itp. Ci użytkownicy mogą już ściągać aplikację CERBToken z AppStore. Dostają od nas również wersje na Windows Mobile, BlackBerry i oczywiście Javę.
Czy oprócz Eurobanku jakieś inne polskie/zagraniczne banki pracują nad integracją waszego rozwiązania?
Tak. Prowadzimy bardzo zaawansowane rozmowy z kilkoma kolejnymi bankami. Na początku i w połowie przyszłego roku powinno być o nich głośno. Więcej na chwilę obecną powiedzieć nie mogę.
Jeśli wysyłanie hasła do przelewu SMSem określimy jako 5 w 10-punktowej skali, gdzie znajdzie się CERBToken?
CERBToken to bez wątpienia 10! SMSy to była niezła odpowiedź na phishing, który w owym czasie pojawił się w Polsce. CERBToken to technologia, która jest bezpieczniejsza od SMSów, a poza tym wyzbyta wszystkich wad typu niedochodzące wiadomości, brak zasięgu oraz duży koszt. CERBToken jest znacznie tańszy w utrzymaniu dla banków niż hasła wysyłane w tekstowych wiadomościach. Myślę, że w przeciągu najbliższych 2,3 lat technologia tokenów na telefon będzie w Polsce standardem.
- „W szczególności”, bo to Apple Blog w końcu…” (↩)
Yp8EpoUR5pU/tG3Q
jasiu
