Inteligo wprowadza nowe sposoby autoryzacji

Dostałem wiadomość, że polski bank Inteligo wprowadza możliwość autoryzacji za pomocą tokena, czyli urządzenia generującego hasła jednorazowe. Ucieszyłem się, ale moja radość nie trwała długo, bowiem Inteligo wybrało najgorszą możliwą formę tokena: aplikacja na telefon.

Dlaczego najgorszą? Mamy takie sposoby autoryzacji transakcji:

* hasło (wielorazowe)

Hasło można zgadnąć, łatwo też podsłuchać np. wyspecjalizowanym wirusem szpiegowskim, hasło się nie zmienia więc złodziej ma dużo czasu na opróżnienie konta.

* kod jednorazowy z kartki/zdrapki

Konto można okraść wykorzystując techniki socjotechniczne (phishing), kartę kodów można ukraść razem z portfelem. Poza tym jest to zupełnie dobra metoda.

* kod SMS

Różnica względem jednorazowego kodu ze zdrapki jest przede wszystkim taka, że kartą kodów codziennie nie wymachujemy w autobusie czy na ulicy, gdzie niezbyt praworządni obywatele mogą nam chcieć telefon zabrać w celu uzyskania "korzyści majątkowej" jak to określają prawnicy.

Poza tym telefon łatwo upuścić i rozbić, bateria może się rozładować tuż przed wysyłaniem Bardzo Ważnego Przelewu, a jeśli mamy starszy telefon i z niego łączymy się do banku, to może nie dać się odebrać SMS bez przerywania połączenia z bankiem. Dodatkowo SMS-y mogą czasami nie docierać jeśli przenosimy numer do innej sieci, albo za granicą.

* aplikacja tokena

Programik na telefon wyliczający odpowiednie hasło jednorazowe. Ma większość wad hasła SMS-owego, za wyjątkiem problemów z przenoszeniem numeru do innej sieci i roamingiem. Poza tym posiadany telefon musi być wspierany przez producenta danego tokena. Żaden z moich dwóch telefonów nie jest oficjalnie wspierany przez token Inteligo.

* token sprzętowy

Mały gadżecik w kształcie breloczka z wyświetlaczem, albo kalkulatorka, generujący hasła jednorazowe. Wbudowana bateria wytrzymuje kilka lat. Wady: cena (token kosztuje 200-300PLN) i konieczność wizyty w banku w celu pobrania albo wymiany urządzenia. Jest odporny na upadki i noszenie z kluczami, nie przyciągnie uwagi złodzieja.

Szczególnie irytujące jest to, że z punktu widzenia systemu autoryzacji, nie ma żadnej różnicy między tokenem programowym (aplikacją na telefon) i sprzętowym, a jednak pozbawiono klientów możliwości wyboru, aby kto chce - mógł ściągnąć token na telefon, a kto nie chce - dokupić sprzętowy.

Szkoda.

AKTUALIZACJA

Okazuje się, że Inteligo nie pozbawia klientów możliwości stosowania tokenów sprzętowych oraz stosowania aplikacji tokena na nowe modele telefonów. Udogodnienia te będą wprowadzone już wkrótce - więcej informacji tutaj. Za wprowadzenie w błąd przepraszamy.

[Na podstawie inteligo.pl]

Janusz A. Urbanowicz

Więcej o: