Telefon jak token

Meridea oferuje system zabezpieczający transakcje online przy wykorzystaniu telefonów komórkowych wyposażonych w aplikację Java.

Meridea oferuje system zabezpieczający transakcje online przy wykorzystaniu telefonów komórkowych wyposażonych w aplikację Java.

Firma Meridea zaprezentowała ostatnio oprogramowanie Meridea Intelligent Authentication, które umożliwia wykorzystanie telefonu komórkowego jako tokena zabezpieczającego transmisje danych i autoryzację transakcji bankowych. Podstawowym elementem systemu jest 50-kilobajtowa aplikacja Java, która jest instalowana w telefonie komórkowym podczas uruchamiania konta bankowego.

Gdy użytkownik loguje się do banku w celu przeprowadzenia zdalnej transakcji, system generuje wstępny, jednorazowy kod dostępu, który powinien być następnie wprowadzony do aplikacji Java w telefonie, która analizuje jego autentyczność i w przypadku jej potwierdzenia prezentuje szczegółowe informacje o planowanej transakcji oraz wyświetla następny kod identyfikacyjny PIN umożliwiający ostateczne potwierdzenie polecenia dla systemu bankowego.

Tego typu rozwiązanie praktycznie uniemożliwia nieuprawniony dostęp do konta przy wykorzystaniu standardowych metod wyłudzania informacji (phishing) albo kradzieży lub podsłuchania danych, jeśli złodziej nie ukradnie również samego telefonu komórkowego. Popularyzacja takiego systemu zależy od spełnienia dwóch warunków: użytkownik musi mieć telefon komórkowy (to dość realne założenie), a wykorzystywany model powinien umożliwiać instalację aplikacji Java (w Europie ok. 80% nowych telefonów spełnia to założenie).

Bez zbędnych wydatków

W porównaniu do rozwiązań wykorzystujących sprzętowe tokeny, system Meridea nie wymaga dostarczania użytkownikom (i noszenia przez nich) dodatkowego urządzenia. Według przedstawicieli firmy ma to też być rozwiązanie znacznie tańsze - standardowa cena tokena to przynajmniej 10 euro, a koszt implementacji systemu Meridea dla jednego użytkownika jest wstępnie szacowany na 3-4 euro. To niby niewiele, ale w przypadku banku mającego kilka milionów klientów taki system może oznaczać bardzo duże oszczędności. Przede wszystkim programowy token nie wymaga fizycznej wymiany, tak jak zwykły token. Koszty związane z wymianą tokenów są dla banków równie ważne, jak koszty ich zakupu. Odpada także sporo innych problemów obsługiwanych - ze względów bezpieczeństwa - także przez sam bank, jak wymiana baterii czy ponowne ustalanie hasła/PIN-u.

Zastosowanie telefonów komórkowych do autoryzacji transakcji nie jest pomysłem wyjątkowym - tego typu system od 2002 r. oferuje już np. RSA Security (rozwiązanie RSA Mobile do przekazywania jednorazowych kodów wykorzystujący wiadomości SMS - pisaliśmy o tym w CW 33/2002). Rozwiązanie Meridea różni się tym, że nie korzysta z systemu SMS, uniezależniając użytkownika od jego aktualnej dostępności i ewentualnych opóźnień transmisji.

Są pierwsi zainteresowani

Na razie trudno powiedzieć, czy lub kiedy system Meridea Intelligent Authentication znajdzie praktyczne zastosowanie. Zależy to przede wszystkim od zainteresowania banków i instytucji finansowych, które zwłaszcza w Europie i USA ostrożnie podchodzą do nowych pomysłów, wymagających kolejnych inwestycji w infrastrukturę. Przedstawiciele Meridea spodziewają się, że ich system zostanie już wkrótce zaimplementowany w Niemczech i na Dalekim Wschodzie, choć nie ujawniają, które banki są nim zainteresowane.