Phone ID - tak nazywa się projekt firmowany przez Henryka Kułakowskiego, znanego wcześniej m.in. ze spółki mPay
Dziś, aby zalogować się na rachunek osobisty, musicie znać ID klienta, który podajecie na stronie swojego banku razem z hasłem zazwyczaj składającym się z ciągu cyfr, liter i innych znaków. Taki sposób logowania nie jest zbyt wygodny. Po pierwsze wiele banków wciąż uniemożliwia nadawanie tzw. przyjaznych loginów, więc ID to kilka czy kilkanaście cyfr. Do tego hasło powinno być często zmieniane, co dodatkowo utrudnia spamiętanie tego wszystkiego.
Ponadto opisany sposób logowania naraża Was na niebezpieczeństwo ujawnienia wrażliwych danych osobom niepowołanym. Wykorzystują to przestępcy parający się phishingiem. Rozsyłają spam i nakłaniają do logowania na stronie otwartej z linka zawartego w mejlu. Taka strona jest zwykle łudząco podobna do oryginalnej, ale faktycznie to podróbka stworzona tylko w celu wyłudzenia loginu i hasła.
Przeczytajcie także: Hasło jednorazowe będzie potrzebne także do logowania
To między innymi dlatego już wkrótce logowanie na konto będzie musiało być zabezpieczone tzw. silnym uwierzytelnieniem. Wprowadza to dyrektywa PSD II, która ma zostać zaimplementowana do polskiego prawa za dwa lata. A to oznacza, że banki będą wymagać od klientów autoryzacji logowania hasłem jednorazowym w sposób analogiczny jak dziś autoryzuje się przelewy jednorazowe. To jeszcze bardziej skomplikuje cały proces a wciąż nie będzie do końca bezpieczne, bo przestępcy potrafią już przejmować SMS-y z hasłami jednorazowymi.
Tymczasem Henryk Kułakowski, współtwórca prekursora płatności mobilnych na polskim rynku, czyli spółki mPay, uważa, że znalazł lekarstwo na wszystkie te bolączki. Właśnie opatentował nowy sposób identyfikacji klientów, który może być wykorzystywany nie tylko przez banki do logowania na konto czy autoryzacji różnego rodzaju transakcji, ale także przez wszystkie inne instytucje obsługujące klientów na odległość. Zdaniem Kułakowskiego jego patent doskonale sprawdzi się na przykład w e-administracji.
Przeczytajcie także: To bank ma dbać o to, by klient nie został zhakowany
Phone ID, bo tak wstępnie nazywa się ten pomysł, do identyfikacji osób wykorzystuje numer telefonu komórkowego klienta. Kułakowski zakłada, że dziś każdy już ma komórkę, więc nowa metoda będzie powszechnie dostępna. Zwłaszcza, że Phone ID zadziała także na telefonach starszej generacji a nie tylko na smartfonach. Ponadto z faktu, że telefon komórkowy to narzędzie bardzo osobiste, wynika, że jego ewentualną utratę każdy zauważy niemal natychmiast. Zastrzeżenie numeru spowoduje, że nikt nie będzie mógł się za jego pomocą zalogować się do banku.
Aby móc się zalogować w dowolnym miejscu przy pomocy Phone ID, w bazie danej instytucji trzeba będzie przypisać do swojego nazwiska numer telefonu komórkowego. Większość banków już dziś tego wymaga od osób autoryzujących przelewy hasłami SMS-owymi. Następnie trzeba będzie wejść na stronę internetową banku i odnaleźć tam zakładkę logowania. Może ona wyglądać na przykład tak:
Jak widzicie, nie będziecie musieli podawać żadnych loginów ani haseł. Po kliknięciu w pole "login" system wygeneruje komunikat z numerem telefonu.
Potem wystarczy wybrać ten numer na komórce (np. korzystając z kodu QR) i zadzwonić. System rozpozna Was i po uzyskaniu połączenia będziecie musieli jedynie podać swój kilkucyfrowy PIN by znaleźć się na rachunku. Jeśli ktoś posiada telefon z czytnikiem linii papilarnych, może nim zastąpić PIN. W wersji demo, którą miałem okazję testować, działa to naprawdę szybko. Rozwiązanie może być także wykorzystywane do autoryzacji przelewów. W tej sytuacji nie będzie już potrzebny PIN. Wystarczy wykonanie połączenia na wskazany numer.
Zdaniem Kułakowskiego Phone ID jest zgodny z wymogami dyrektywy PSD II, wygodniejszy niż dzisiaj stosowany standard logowania, bo nie wymaga pamiętania loginu i długiego hasła a do tego bezpieczniejszy, bo nie naraża klientów na coraz bardziej przemyślany phishing. A czy ma wady? Gdy o nie pytam, Kułakowski mówi, że trudno je wymienić, ale jeżeli miałby ich szukać, to powiedziałby, że są nim przyzwyczajenia ludzi. Ci nawykli już do obecnego standardu logowania i trzeba będzie trochę pracy, by przekonać ich do nowego sposobu.
Przeczytajcie także: ZBP ostrzega przed nowym atakiem
Z mojego punktu widzenia jakąś wadą mogą być także koszty połączeń wykonywanych przez klientów, choć w dobie taryf "no limit" znaczenie tego mankamentu będzie maleć. Cały czas widzę też przestrzeń do oszustw, bo przestępcy mogą rozsyłać spam phishingowy z linkami do stron z fałszywym numerem telefonu. Na szczęście wybranie przez klienta takiego numeru nie pozwoli przestępcom na przejęcie kontroli nad rachunkiem. Ale może na przykład narazić na koszty związane z połączeniem z numerem płatnym.
Natomiast na korzyść Phone ID mogą przemawiać, oprócz już wykazanych zalet, także potencjalne oszczędności banków na SMS-ach autoryzacyjnych. W przypadku Phone ID ich po prostu nie ma. Sukces tego rozwiązania będzie więc pewnie zależeć od tego, jak szybko uda się Kułakowskiemu przekonać do niego jakiś bank, na którym w praktyce można będzie przetestować i wypromować wszystkie zalety Phone ID. Bo rozwiązanie wydaje się ciekawe.