Już w przyszłym roku na polskim rynku pojawi się nowe rozwiązanie, które pozwoli zastąpić archaiczne hasła SMS-owe wykorzystywane przy autoryzacji transakcji finansowych. Mobile Connect ułatwi też logowanie oraz bezpieczne potwierdzanie Waszej tożsamości w dowolnym serwisie internetowym
Mam konto w mBanku i właśnie testuję nowy sposób autoryzacji transakcji, który bank udostępnił pilotażowo na początku grudnia. Tradycyjne kody SMS-owe zastąpiono tam nową funkcją aplikacji do bankowości mobilnej. W wielkim skrócie działa to w ten sposób, że po zleceniu operacji w internetowym systemie transakcyjnym aplikacja telefonu generuje powiadomienie push, informujące o czekającej na potwierdzenie operacji. Następnie trzeba się zalogować do aplikacji i potwierdzić transakcję podając PIN.
Kto korzystał z nowej funkcji w mBanku, ten wie, że to dosyć wygodne rozwiązanie, chociaż ciągle wymagające wykonania kliku czynności. Ma też taką wadę, że mogą z niego korzystać tylko klienci posiadający smartfon z dostępem do internetu. Wszystkie te problemy eliminuje rozwiązanie o nazwie Mobile Connect, nad którym pracują operatorzy telefonii komórkowej. Miałem okazję sprawdzić, jak będzie działać w praktyce. Będzie dostępne nie tylko na nowoczesnych smartfonach, ale także na starszych telefonach z klawiaturą klawiszową i aby z niego skorzystać, wystarczy znajdować się w zasięgu sieci komórkowej.
Aby aktywować nową usługę, będziecie musieli zlecić to np. na stronie internetowej swojego operatora komórkowego albo podczas wizyty w serwisie internetowym swojego banku. Wówczas na ekranie komórki pojawi się komunikat wygenerowany przez sieć komórkową, dzięki któremu potwierdzicie chęć aktywacji Mobile Connect. Następnie zostaniecie poproszeni o ustanowienie numeru PIN. I to wszystko. Odtąd za pomocą Mobile Connect będziecie mogli potwierdzać transakcje i logować się do dowolnego serwisu czy aplikacji, której właściciel będzie wspierał Mobile Connect i podpisze z Waszym operatorem komórkowym odpowiednią umowę.
Aby potwierdzić transakcję czy zalogować się gdzieś, będziecie musieli podać swój numer telefonu. W tym momencie na Waszym urządzeniu pojawi się komunikat autoryzacyjny. Potwierdzanie transakcji czy logowanie będzie się odbywać albo poprzez samo naciśnięcie przycisku "OK", albo wymagać będzie podania PIN-u. O tym, która forma zostanie zastosowana, decydować będzie operator usługi, z której będziecie korzystać. A więc np. bank, w którym wykonywać będziecie przelew.
Dane potwierdzające Waszą tożsamość zapisywane będą w bezpiecznym miejscu na karcie SIM. Uprzedzając pytania, w przeciwieństwie do simcentryków, osoba chcąca skorzystać z Mobile Connect nie będzie musiała wymieniać karty w telefonie. Rozwiązanie ma działać na 99,9 proc. SIM-ów będących obecnie w użyciu. Jeśli będziecie wymieniali kartę SIM z innego powodu, zostaniecie ponownie poproszeni o zdefiniowanie PIN-u.
Tak jak w przypadku tokenów używanych w usłudze o nazwie tokenizacja, tak i tutaj podczas logowania czy autoryzacji transakcji nie są wysyłane Wasze dane i podawany PIN, ale ich zaszyfrowane odpowiedniki. Wykorzystywana jest do tego wewnętrzna techniczna sieć operatora. To dlatego przy korzystaniu z usługi, telefonu nie trzeba podłączać do internetu.
Ciekawie to wygląda, prawda? Pytanie kiedy będzie szerzej dostępne. W ubiegłym miesiącu cztery polskie sieci komórkowe podpisały porozumienie w sprawie wdrożenia tego rozwiązania. Jest więc szansa, że już w przyszłym roku pojawi się jego komercyjna wersja, którą telekomy zaoferują bankom, serwisom internetowym, e-sklepom etc. Ponoć są już pierwsi zainteresowani. Natomiast np. w T-Mobile trwają testy systemu. Za jego pomocą kilkaset osób, głównie pracownicy, mogą się logować do serwisu iBOA (w którym zarządza się swoim kontem abonenta, numerami telefonu) ale także np. do usługi "Granie na czekanie".
Operatorzy liczą na to, że w upowszechnieniu nowego standardu pomoże im dyrektywa PSD II i przygotowywane do niej wytyczne techniczne. Mobile Connect zyskałoby, gdyby np. rekomendowano obowiązkowe odejście od coraz mniej bezpiecznych kodów wysyłanych za pomocą wiadomości SMS. Mobile Connect ma także tę zaletę, że jest przygotowany do współdziałania z dostępnymi obecnie rozwiązaniami biometrycznymi a ponadto na życzenie udostępni geolokalizację użytkownika i to niezależnie od tego, czy posiada on w urządzeniu moduł GPS.
Jeśli chodzi o wady tego rozwiązania, to wskazałbym na konieczność współpracy banków z telekomami. Biorąc pod uwagę doświadczenia przy implementacji płatniczych kart simcentrycznych (np. MyWallet), może to być czynnik zniechęcający. Chociaż akurat w przypadku Mobile Connect jest mniej elementów procesu aktywacji usługi, które mogą zaważyć na wytworzeniu negatywnego user experience. Zaletą jest natomiast, jak się domyślam, koszt mniejszy niż w przypadku budowy przez każdy bank z osobna własnego bezpiecznego systemu autoryzacji transakcji.
Moim zdaniem, Mobile Connect sprawdziłby się także w przypadku innych usług, w których potrzebna jest weryfikacja tożsamości, np. w e-administracji. Wydaje się znacznie bardziej bezpieczny i wygodny, niż zaproponowany ostatnio przy prezentacji programu mDokumenty przez Ministerstwo Cyfryzacji anachroniczny system SMS-owy.