Brak możliwości okazania urzędnikowi e-dowodu osobistego, a policjantowi e-prawa jazdy – lub przynajmniej zidentyfikowania człowieka bez konieczności okazania przez niego fizycznego dokumentu – to w XXI wieku skandal. Większość dokumentów może występować już w formie elektronicznej (łącznie z kartami płatniczymi, nie mówiąc już o biletach, czy kartach lojalnościowych). W autoryzacji dostępu zaczyna się używać odcisków palców, barwy głosu oraz układu naczyń krwionośnych (każda z tych technologii jest już oferowana klientom polskich instytucji finansowych). A w urzędach? Owszem, można już płacić telefonem, pojawił się dostęp do niektórych czynności urzędowych przez internet (via platforma ePUAP, do której można wejść przez konto bankowe), ale możliwości przechowywania dowodów tożsamości w smartfonie wciąż brak. Skoro konto bankowe trzymamy w smartfonie, to dlaczego nie możemy legitymować się urzędnikom e-dokumentami?
SMS ZAMIAST DOWODU OSOBISTEGO?
Szefowa resortu cyfryzacji Anna Streżyńska zapewnia, że wkrótce to się zmieni. Jesienią zeszłego roku zapowiedziała utworzenie bazy e-dokumentów, do której będzie można zaglądać w taki sam sposób, w jaki dziś potwierdzamy wysłanie przelewów bankowych przez internet – za pomocą SMS-ów autoryzacyjnych.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Miało to wyglądać tak, że np. policjant, który chce nas wylegitymować, wpisywałby w swojej aplikacji na tablecie nasz PESEL oraz nazwisko i wysyłał zapytanie do „centrali”. A stamtąd popłynąłby SMS autoryzacyjny na naszego smartfona. Podając kod stróżowi prawa, wpuszczalibyśmy go do e-szuflady na ministerialnym serwerze, w której będzie „leżał” nasz e-dowód.
Proste? Ale z ostatnich wypowiedzi minister Streżyńskiej wynika jednak, że koncepcja dostępu do e-dokumentów może być nieco inna. „Istniejące rozwiązania informatyczne umożliwiają realizację takich celów bez SMS-ów. Rozmawiamy jak ułożyć ten projekt od nowa” – powiedziała niedawno w wywiadzie dla TVN24.
UPROSZCZENIE LOGOWANIA? MOBILE CONNECT
Jakie to może być rozwiązanie? Najpewniej chodzi o mobile connect, czyli prosty sposób potwierdzania tożsamości za pomocą smartfona oraz z wykorzystaniem infrastruktury operatorów telekomunikacyjnych. Pierwszą firmą telekomunikacyjną, która od kilku tygodni testuje już to rozwiązanie na wybranych klientach, jest T-Mobile.
Mobile connect polega na tym, że jeśli chcę się zalogować do jakiejś bazy danych, to wpisuję na ekranie logowania – w komputerze lub tablecie – swój numer telefonu, zaś drugą częścią „klucza” jest powiadomienie push wysłane na ten telefon.
Potwierdzam swoją tożsamość klikając „tak” na ekranie smartfona (gdy powiadomienie push zawiera jedynie prośbę o potwierdzenie, że chcę się zalogować w dane miejsce), albo wpisuję w komputerze lub na tablecie kod PIN (może być stałym hasłem albo jednorazowym, wysyłanym za pomocą powiadomienia push).
W pierwszym wariancie telefon jest de facto tokenem sprzętowym, zaś w drugm – może dostarczać w bezpieczniejszy od SMS-a sposób jednorazowe hasło do logowania.
Wprowadzenie mobile connect jako standardu w autoryzacji może zmienić nasze życie. Jeśli na tę technologię postawi Ministerstwo Cyfryzacji, to szybko wprowadzą ją wszyscy operatorzy telekomunikacyjni. I zaoferują ten sposób autoryzacji klientom nie tylko w kontaktach z urzędnikami, ale wszędzie tam, gdzie klient będzie chciał się zalogować – będzie to nowy, zunifikowany sposób potwierdzania tożsamości i autoryzacji dostępu w różne miejsca.
O mobile connect pisali niedawno też moi koledzy z Cashless.pl. Polecam 😉
LOGOWANIE DZIŚ: NIEBEZPIECZNE ALBO NIEWYGODNE
Wyobraźmy sobie, że chcemy zalogować się do sklepu internetowego. A później do innego sklepu, do portalu randkowego, do serwisu VOD, do banku, na konto u operatora telekomunikacyjnego, do biura obsługi klienta w firmie dostarczającej nam prąd… Dziś potrzebujemy do tego wszystkiego tuzina loginów i haseł (zdefiniowanych i zapamiętanych przy rejestracji kont).
Oznacza to albo ryzyko „dekonspiracji” (bo wszystkie te loginy i hasła mamy gdzieś pozapisywane bez gwarancji, że ktoś nie wpadnie w posiadanie tej listy) albo… ryzyko utraty pieniędzy i tożsamości (bo mamy jedno hasło do wszystkiego i jeśli ktoś nam je wykradnie, może spróbować go np. żeby zalogować się w naszym imieniu np. w banku).
Alternatywą dla polityki „jednego hasła” lub zapisywania wszystkich haseł na kartce (opcjonalnie w pliku o nazwie „moje hasła” :-)) jest korzystanie z opcji „zaloguj przez Facebooka”. Ale to z kolei oznacza powierzania wielu danych osobowych – i nie tylko osobowych – amerykańskiemu serwisowi bez żadnej pewności, że nie zostaną kiedyś wykorzystane w niecny sposób.
TELEKOM JAKO CENTRUM AUTORYZACJI
Mobile connect to technologia, która może skończyć z tym chaosem, bo przerzuca potwierdzanie tożsamości użytkownika na firmę telekomunikacyjną, która oferuje jedną „bramkę” do wszystkich miejsc, w których się logujemy. „Loginem” jest zawsze numer telefonu (czyli de facto karta SIM, którą „podpisaliśmy” nazwiskiem przy rejestracji), zaś hasłem smartfon (lub hasło dostarczone na ten telefon pushem).
Niezależnie od tego na jakiej stronie się logujemy – zawsze potrzebny jest tylko ten zestaw danych. Żadnych loginów, PIN-ów, identyfikatorów i haseł, które trzeba byłoby zapamiętywać lub spisywać na karteczkach. Teleoperatorzy, mając działającą i przetestowaną usługę mobile connect zapewne w pierwszym rzędzie zastosują ją w kontaktach z własnymi klientami.
Wiem, że np. T-Mobile już testuje ten sposób autoryzacji klientów do e-kont, na których można konfigurować usługi, kupować telefony, dokupywać pakiety danych itp. – a potem zgłoszą się z podobną ofertą do banków, sklepów i usługodawców, którzy chcieliby ułatwić klientom logowanie przy zachowaniu dotychczasowego poziomu bezpieczeństwa.
JEDNO HASŁO DO WSZYSTKIEGO I… SZYBKIE PŁACENIE?
Usługodawcy prawdopodobnie nie będą mieli nic przeciwko temu, bo dziś ich głównym problemem jest to, iż odwiedzający ich strony internetowe klienci nie chcą się rejestrować (bo to wymaga wymyślania i zapamiętywania kolejnych loginów i haseł). W dalszej perspektywie można sobie wyobrazić połączenie mobile connect z inną technologią – direct billing. Czyli procesu logowania z łatwym zakupem na jeden klik w ciężar rachunku telekomunikacyjnego.
Jeśli klient już się zautoryzował numerem telefonu i powiadomieniem push, to po co miałby używać do płacenia przelewów ekspresowych lub kart płatniczych, skoro jednym klikiem mógłby zlecać firmie telekomunikacyjnej obciążenie danym zakupem jego rachunku za telefon? Oczywiście, są już technologie płatnicze pozwalające płacić jednym klikiem, ale nie wszyscy z nich korzystają. Miejsce na połączenie mobile connect z direct billing niewątpliwie jest.
KTO W PRZYSZŁOŚCI BĘDZIE CENTRUM AUTORYZACJI? BANKI CZY TELEKOMY?
Technologia mobile connect, zwłaszcza jeśli zostanie ogłoszona oficjalnym standardem przez Ministerstwo Cyfryzacji, może wynieść teleoperatorów na zupełnie inną orbitę. Z usługodawców „takich jak wszyscy”, występujących w jednym szeregu z dostawcami prądu, czy bankami, mogą się przeistoczyć w centra uwierzytelniania klientów i w pośredników w płatnościach.
A na tym można zarobić całkiem duże pieniądze. To z kolei mogłoby oznaczać kłopot dla banków, które mają mniej więcej ten sam plan – z pośredników w obrocie pieniędzmi chcą się przekształcić w pośredników między klientami i handlowcami (podsuwających najlepsze opcje zakupowe i ich finansowanie) oraz w centrum autoryzacji tożsamości właśnie.
Banki nie bez przyczyny ochoczo zadeklarowały gotowość przyjmowania wniosków w programie „Rodzina 500+”. I nie bez powodu zaczynają umożliwiać dostęp do kont ePUAP (można na nim załatwić niektóre sprawy urzędowe) z poziomu bankowości elektronicznej. Mobile connect oznacza, że „bramkę” do autoryzacji dostępu w wiele miejsc ustawią telekomy.
Choć z drugiej strony trudno sobie wyobrazić logowanie via konto bankowe np. do serwisów społecznościowych, czy randkowych, więc być może mobile connect aż tak bardzo nie wejdzie bankom w drogę. Aczkolwiek mogę sobie wyobrazić, że bankowcy chcieliby zintegrować konto bankowe z kontem klienta w firmie dostarczającej energię bądź usługi telekomunikacyjne. Mobile connect jest w tym kontekście dla bankowców niebezpiecznym rywalem.
BANKI TEŻ WYKORZYSTUJĄ „PUSH” W AUTORYZACJI
Bankowcy też zaczynają wykorzystywać mobile connect. mBank już teraz, jako pierwszy gracz w branży finansowej, wprowadza autoryzowanie transakcji za pomocą swojej aplikacji mobilnej i powiadomień push. Klient, który ma aplikację mobilną mBanku w smartfonie wkrótce będzie bezpieczniejszy – zamiast SMS-a, którego ktoś może przejąć i spróbować zdalnie wykorzystać, dostanie powiadomienie push, które musi wpisać na swoim smartfonie.
Nawet gdyby złodziej przejął kod, to musi mieć jeszcze smartfona, żeby spróbować wyprowadzić pieniądze z konta klienta. Tyle, że do tego rozwiązania potrzebny jest w miarę nowoczesny smartfon, aplikacja mobilna (większość klientów banków jeszcze z nich nie korzysta, obawiając się o bezpieczeństwa) i aktywny transfer danych w smartfonie (to może rodzić duże koszty w czasie podróży poza Unię Europejską, gdzie transfer danych bywa potwornie drogi).
Mobile connect udostępniany przez teleoperatorów działa nawet na starej Nokii, nie wymaga instalowania żadnych aplikacji (komunikaty są wysyłane po sieci telekomunikacyjnej), ani nie zżera transferu danych.
