Kilka dni temu dostałem z mBanku maila, zachęcającego mnie już po raz kolejny do włączenia czegoś co się nazywa mobilną autoryzacją. O co chodzi ? Chodzi o zmianę sposobu autoryzacji operacji na rachunku. Od wieków chyba najpopularniejszym sposobem potwierdzenia były hasła sms, teraz banki coraz częściej zachęcają do potwierdzania operacji przy użyciu ich dedykowanych aplikacji do bankowości mobilnej. Czy to ma sens ?
Jak każde rozwiązanie, tak i to na pewno ma swoich zwolenników jak i przeciwników. Ja nie bardzo mogę znaleźć pozytywne aspekty takiej autoryzacji. Wydaje mi się, że jest to rozwiązanie mniej bezpieczne i na dodatek mniej ergonomiczne niż hasła sms. Weźmy przykładową sytuację step by step.
Przelew przy użyciu komputera, komórka leży obok na biurku.
Potwierdzenie przy użyciu haseł sms
- zlecam przelew na komputerze
- otrzymuję sms-a
- unoszę komórkę ( w moim przypadku automatycznie po wykryciu twarzy wyświetla mi się treść sms-a)
- wpisuję na komputerze 8 cyfr i voila temat zamknięty
Potwierdzenie przy użyciu mobilnej autoryzacji
- zlecam przelew na komputerze
- unoszę komórkę
- jest już automatycznie odblokowana ale muszę jeszcze przejść do ekranu głównego z aplikacjami wykonując swipe
- odszukuję i uruchamiam aplikację banku
- autoryzuję się w aplikacji
- zatwierdzam operację
Dla mnie wygląda jakbym musiał zrobić 2 czynności więcej. I chyba zabiera mi to więcej czasu niż przepisanie kodu z sms-a. A jak to się ma do bezpieczeństwa ? Bankowcy starają się przekonać nas, że w aplikacji jest bezpieczniej. Bo np. ktoś mógłby sklonować naszą kartę sim…więc otrzymywać nasze sms-y, bo komórka może być zawirusowana i przekaże sms-a do potencjalnego złodzieja bandyty. Taaaak 🙂 Uhm… a co z bezpieczeństwem aplikacji jeśli jednak tą komórkę mamy zawirusowaną ?
W przypadku podanym powyżej, możnaby się pokusić o podmianę danych przelewu wewnątrz aplikacji a jeśli zlecenie przelewu realizowalibyśmy przy użyciu komórki bez użycia komputera to już w ogóle sytuacja jest dramatyczna. Bo jednorazowe odblokowanie zawirusowanej komórki z aplikacją bankową przy użyciu której zarówno zlecamy jak i autoryzujemy przelew daje szkodnikom pełny dostęp do wykonywanej operacji. Jest tu używany jeden kanał komunikacji i jeden punkt potencjalnego ataku czy też wystąpienia błędu.
Czemu jednak skoro ja, prosty człek, mam wątpliwości to banki namawiają nas do tego typu rozwiązań ? Kasa misiu, kasa 🙂 Smsy są po stronie banku…a operatorzy je liczą i wystawiają rachunek 🙂 Odpalenie aplikacji mobilnej to już transfer danych po stronie klienta 🙂 Acha…Czyli jakby jasne.
Dziękuję, zostanę jednak póki co przy hasłach jednorazowych. I polecam wszystkim w szczególności przy dużych kwotach i głównie przy Androidach – realizację przelewów przy użyciu tandemu komputer/hasło sms czy też komputer/token sprzętowy.
A może się mylę…Correct me 🙂