Dobrym modelem jest rejestracja aplikacji w systemie z użyciem dodatkowego elementu zaufania, takiego jak klucz startowy, udostępniany poza głównym kanałem komunikacji. Po zarejestrowaniu, po obu stronach uzgodnione zostają informacje związane z daną aplikacją w konkretnym urządzeniu. Próba modyfikacji oprogramowania spowoduje alarm lub zablokowanie aplikacji, podobnie nieautoryzowane przeniesienie jej na drugi telefon.

"Chociaż nie jest to w pełni dwuskładnikowe uwierzytelnienie, aplikacja umożliwia identyfikację z użyciem numeru seryjnego telefonu, danych w karcie SIM lub certyfikatu umieszczonego w telefonie. W przypadku przeniesienia aplikacji do innego telefonu albo nie będzie ona działać, albo będzie wymagać ponownej rejestracji w systemie teleinformatycznym banku z użyciem dodatkowych elementów zaufania" - mówi Michał Sieczko.

Poważną zaletą aplikacji mobilnej jest potencjalnie znacznie silniejsza ochrona przekazywanej informacji oraz lepsza identyfikacja urządzenia w porównaniu do serwisu internetowego. Przeglądarka korzysta tylko z SSL, przy czym bank nie może w żaden sposób upewnić się, że z serwisem łączy się właściwy użytkownik. Zabezpieczenie WWW przed przejęciem sesji wcale nie jest proste, tymczasem aplikacja mobilna może - razem z wiadomościami związanymi z obsługą operacji na rachunku bankowym - przesyłać informacje uwierzytelniające.

"Dla lepszej ochrony stosuje się wielokrotne ukrywanie informacji - część komunikatów może być zaszyfrowana z użyciem szyfru RC-4, a następnie całość zaszyfrowana algorytmem AES-256. Produkt takiego szyfrowania jest wysyłany w połączeniu SSL, przy czym każdy z używanych kluczy jest generowany inaczej. Dzięki stosowaniu różnych kluczy i dołączeniu informacji uwierzytelniających w każdym zestawie wysyłanych i odbieranych danych, przejęcie sesji w aplikacji mobilnej jest niesłychanie mało prawdopodobne" - wyjaśnia Michał Sieczko.