wtorek, 18 listopada 2014

Transakcje internetowe będziemy zatwierdzać bez haseł


Czy wyobrażacie sobie bezpieczną transakcję w internecie kartą bez autoryzacji kodem weryfikacyjnym czy hasłem jednorazowym? Wkrótce to może być rzeczywistość. Nad taką koncepcją uwierzytelniania płatności online pracują organizacje płatnicze. Na pewno będzie wygodniej, ale czy bezpieczniej?

Obecnie płacąc za coś w internecie kartą bankową transakcję autoryzujemy najczęściej kodem weryfikacyjnym z rewersu karty. W przypadku MasterCarda kod ten to CVC a w przypadku Visy – CVV. Część banków wdrożyła system 3D-Secure, pozwalający na potwierdzanie transakcji jednorazowym hasłem sms-owym na tej samej zasadzie, jak odbywa się to w przypadku autoryzacji przelewów w systemie transakcyjnym.

Ale oba sposoby są niewygodne. Zwłaszcza, jeżeli zakupów dokonujemy na urządzeniu mobilnym, co zdarza się coraz częściej. Organizacje płatnicze chcą więc zaprojektować nową generację zabezpieczeń, skuteczniejszych i przyjaźniejszych użytkownikom, niż te znane do tej pory. Wczoraj MasterCard w enigmatycznym komunikacie poinformował o rozpoczęciu wraz z Visą prac nad nowym standardem autoryzacji transakcji. Poprosiłem o nieco więcej szczegółów w tej sprawie.

Z banku w komórce korzysta już ponad 3 mln Polaków. A wśród Was już ponad połowa ma aplikację bankową na smartfonie. http://www.opieniadzachpopolsku.blogspot.com/2014/11/juz-poowa-z-was-korzysta-z-banku-w.html

Niestety, okazało się, że prace nad tą koncepcją są naprawdę na bardzo wstępnym etapie i na razie nie wiadomo kiedy nowy system zostanie udostępniony klientom. Wiadomo natomiast jak w praktyce ma wyglądać autoryzacja transakcji. System ma wykorzystywać dane na temat użytkowników i ich zachowań w taki sposób, aby nie pojawiały się żądania wpisania hasła w momencie zakupu. Jeśli operacja będzie zgodna z typowym dla posiadacza wzorem dokonywania transakcji, proces uwierzytelnienia będzie automatyzowany.

Jak się domyślam chodzi więc o to, że jeżeli co tydzień w piątek popołudniu będziecie robić zakupy spożywcze w internetowym hipermarkecie na kwotę do 300 zł, to taka transakcja będzie przez system przyjęta jako zgodna ze wzorcem i nie wymagająca potwierdzenia jakimkolwiek hasłem. Autoryzacja będzie wymagana tylko wtedy, gdy transakcja będzie nietypowa. W takiej sytuacji zostaną wykorzystane jednorazowe hasła i dane biometryczne. MasterCard chwali się, że już przeprowadza testy zatwierdzania płatności poprzez identyfikację twarzy i głosu.

Tu znajdziecie kilka prostych sposobów na to, jak zwiększyć bezpieczeństwo korzystania z kart płatniczych. http://www.opieniadzachpopolsku.blogspot.com/2014/10/proste-sposoby-na-wieksze.html

Pomysł wygląda ciekawie. Na etapie koncepcji wydaje się, że może także zapewniać odpowiedni poziom bezpieczeństwa. Myślę, że jego namiastkę znam np. z systemu transakcyjnego ING Banku Śląskiego, który część przelewów jednorazowych „puszcza” bez autoryzacji hasłem jednorazowym. Najczęściej są to transakcje na niewielkie kwoty lub do odbiorców, do których wysyłam pieniądze często, ale z jakichś powodów jeszcze nie zdefiniowałem ich jako stałych. Z mojego punktu widzenia jest to bezpieczne. Pytanie tylko, czy jeżeli organizacje płatnicze wprowadzą taki typ uwierzytelniania na szerszą skalę, na rynku nie upowszechnią się pomysły jak go obejść. Bo, że każdy system da się złamać chyba przekonywać nikogo nie trzeba…


Fot. na licencji CC

3 komentarze:

Gizmo Portfel24 pisze...

Pomysł wydaje się ciekawy do momentu w którym system się pomyli.. Niektóre transakcje do tej pory są słabo zabezpieczane. Ja cały czas zastanawiam się nad fenomenem karty kredytowej. Przecież jakby taka karta kredytowa wypadła mi z portfela (dlatego nie noszę jej ze sobą) to każda osoba która by ją znalazła mogłaby za jej pomocą dokonać zakupów w internecie bo wszystkie potrzebne dane jak na tacy zamieszczone są na karcie - chyba że się mylę?

Jacek Uryniuk pisze...

Zgadza się, i nie tylko kredytowa, każda, która ma limity na transakcje internetowe. Dlatego warto nimi aktywnie zarządzać.

marek pisze...

Jak coś takiego prowadzą to stanie się to motorem napędowym dla hakerów. Już nie będą musieli myśleć o pinie czy tym kodzie z tyłu karty tylko o tym żeby ją skopiować i zobaczyć gdzie najczęściej robimy zakupy. Ja dlatego korzystam z limitów żeby kiedyś nie mieć niespodzianki