Kod Jana Wirtualnego

Niebawem mBank zaproponuje klientom nowy system autoryzacji transakcji przeprowadzanych za pośrednictwem Internetu. Alternatywą dla drukowanych haseł jednorazowych będą kody wysyłane przez SMS.

Niebawem mBank zaproponuje klientom nowy system autoryzacji transakcji przeprowadzanych za pośrednictwem Internetu. Alternatywą dla drukowanych haseł jednorazowych będą kody wysyłane przez SMS.

W mBanku wszystkim zależy, żeby debiut nowego systemu autoryzacji transakcji internetowych zbiegł się z piątą rocznicą powstania banku, czyli pod koniec listopada br. Nowy system będzie funkcjonować równolegle ze starym. Prace koncepcyjne nad jego opracowaniem trwały od dwóch lat.

Po staremu, czyli z kartką w portfelu

Aby lepiej zrozumieć innowację przygotowywaną przez mBank, trzeba zapoznać się pobieżnie z obecnie obowiązującym modelem autoryzacji.

Klient posługuje się ośmiocyfrowym identyfikatorem i hasłem. Identyfikator nadany jest przez bank i klient powinien pamiętać go jak numer PIN.

Wijciech Bolanowski, odpowiada w mBanku za kanały dostępu do usług. Doktor nauk medycznych, pediatra. Najlepszym recenzentem pomysłów na usprawnienie dostępu do mBanku jest jego ojciec, klient banku.

Wijciech Bolanowski, odpowiada w mBanku za kanały dostępu do usług. Doktor nauk medycznych, pediatra. Najlepszym recenzentem pomysłów na usprawnienie dostępu do mBanku jest jego ojciec, klient banku.

Identyfikator i hasło wystarczą do przeprowadzenia rutynowych operacji w mBanku. Pozostałe operacje - definiowanie i zlecanie przelewów, zmiana istotnych danych osobowych czy zamawianie nowych usług - wymagają dodatkowej autoryzacji. Polega ona na podaniu na zakończenie transakcji kodu wydrukowanego na tzw. liście haseł jednorazowych. Listę zawierającą 50 kodów bank wysyła klientowi pocztą. Przy każdej czynności wymagającej dodatkowej autoryzacji system prosi klienta o wpisanie kolejnego kodu z listy.

Zaletą listy haseł jest rozsądny poziom bezpieczeństwa przy stosunkowo niskim koszcie. Jest też wada - chcąc mieć dostęp do pełni operacji na rachunku, użytkownik musi mieć przy sobie listę haseł. Poza tym to jeszcze jeden element, którego należy fizycznie strzec.

Kod w telefonie, czyli bezpieczniej i wygodniej

Nowy system autoryzacji jest również oparty na dwukanałowej autoryzacji. W roli drugiego kanału listę haseł jednorazowych zastępują wiadomości SMS. Użytkownik loguje się do systemu tak samo jak w starym modelu - wpisuje identyfikator i hasło. Gdy przechodzi do fazy potwierdzenia transakcji, na telefon komórkowy użytkownika zostaje wysłana wiadomość SMS. Zawiera szczegółową informację o dokonywanej transakcji i przyporządkowany jej kod autoryzacyjny.

Powiązanie kodu autoryzacyjnego z kontekstem transakcji wyróżnia mBank na tle innych, które autoryzują transakcje internetowe z użyciem SMS. Wiadomość wysyłana do klientów mBanku opisuje transakcję, np. przelew do PZU na kwotę 250 zł. Dodatkowo w treści zapisanych jest ostatnich 8 cyfr numeru rachunku, z którego przelewane są pieniądze oraz sześć pierwszych i dwie ostatnie cyfry rachunku docelowego. Autorzy rozwiązania starali się, żeby SMS-y nie były zbytnio przeładowane informacjami. "Wyświetlanie całego 26-cyfrowego rachunku powodowałoby, że część użytkowników przewijałaby SMS-a w dół, nie czytając go dokładnie. Osiem cyfr wystarczy, by klient zorientował się, czy na pewno na ten rachunek chce przelać środki" - mówi Wojciech Bolanowski, odpowiedzialny za kanały dostępu w mBanku.

Kontekst transakcji ma kapitalne znaczenie dla bezpieczeństwa. Kod autoryzuje tylko tę jedną konkretną transakcję opisaną w treści SMS-a. Jeśli transakcja zostanie anulowana przez użytkownika, nie będzie on mógł użyć tego samego kodu do przeprowadzenia następnej transakcji. Według Wojciecha Bolanowskiego ta cecha daje rozwiązaniu mBanku przewagę nad tokenami. Kod generowany przez token również autoryzuje tylko jedną, przeprowadzaną w danym momencie transakcję, ale na skutek braku informacji o jej kontekście, użytkownik nie może mieć 100-proc. pewności, że autoryzował swoją transakcję i nikt jej "po drodze" nie zmienił.

"Kod nie musi być wprowadzony do systemu transakcyjnego mBanku od razu po otrzymaniu SMS-a. Jeśli rozładuje się komórka, albo klient nie ma jej przy sobie, transakcja będzie czekać na autoryzację" - mówi Wojciech Bolanowski.

SMS jak list

Wprowadzanie nowego systemu autoryzacji w niewielkim stopniu zwiększy wydatki banku, mimo że koszty SMS-ów wysyłanych przez bank będą stanowić poważną pozycję w budżecie. Dyrektor mBanku twierdzi, że koszty autoryzacji przez SMS i hasła jednorazowe są porównywalne. W przypadku list haseł jednorazowych kosztowna jest produkcja - maszyny drukujące, papier, koperty oraz wysyłka. Bank od początku rygorystycznie przestrzegał zasady, że w innym miejscu hasła są drukowane, a gdzie indziej przypisywane są poszczególnym klientom.

W pewnym momencie mBank rozważał wykorzystanie w nowym systemie autoryzacyjnym tokenów zintegrowanych z telefonem komórkowym. Szybko okazało się jednak, że to rozwiązanie niszowe i drogie. Tradycyjne komórki są nie do pobicia - telefony komórkowe ma 99% klientów mBanku.

Istotne cechy nowego systemu autoryzacji mbanku

  1. Dwukanałowa autoryzacja - hasło i SMS - dająca wysoki poziom bezpieczeństwa.

  2. Wygoda wynikająca z wykorzystania w procesie autoryzacji telefonu komórkowego - powszechnie używanego urządzenia, które użytkownicy zazwyczaj noszą przy sobie.

  3. Użytkownik nie wprowadza żadnych danych na klawiaturze telefonu; do autoryzacji wystarcza odczytanie wiadomości SMS i przepisanie zawartego w niej kodu w oknie przeglądarki internetowej.

  4. Wiadomość SMS wysyłana do użytkownika zawiera kod autoryzacyjny wraz z kontekstem transakcji. Danym kodem można autoryzować tylko tę jedną konkretną transakcję.

  5. System poprzez wysłanie wiadomości SMS ostrzega o próbach przeprowadzenia transakcji na rachunku użytkownika bez jego wiedzy.

  6. Użytkownik nie ponosi kosztów podwyższonego poziomu bezpieczeństwa. Nie musi inwestować w zakup nowych zabezpieczeń, np. tokenów, kart chipowych.

Jan Wirtualny to fikcyjny klient mBanku, który pojawia się w demonstracyjnych wersjach produktów bankowych.