Firmy, dla których ochrona zasobów informacyjnych, a także maksymalne bezpieczeństwo transakcji internetowych jest wartością nadrzędną, powinny stosować narzędzia zapewniające kontrolę bezpieczeństwa. Gwarantują to tokeny generujące każdorazowo unikalne hasła. - artykuł sponsorowany

Internetowa bankowość jest w Polsce coraz popularniejsza. Według Związku Banków Polskich liczbę aktywnych internetowych klientów na koniec ubiegłego roku szacować można na 8 mln (w tym ponad 900 tys. są to małe i średnie firmy). Przy czym liczba klientów, z którymi banki mają podpisane umowy bankowości elektronicznej, przekroczyła już 13,5 miliona.

Zagrożone informacje

Coraz większa skala bankowości elektronicznej powoduje jednak także wzrost aktywności cyberprzestępców, którzy próbują wyłudzić dane, a nieraz całe tożsamości od internetowych klientów i osiągać w ten sposób korzyści finansowe.

– Grupy cyberprzestępców stosują dobrze przemyślane działania mające na celu pozyskanie cennych informacji i wykorzystują nie tylko najnowszą technologię, lecz także metody inżynierii społecznej – mówi Maciej Sobianek, specjalista ds. bezpieczeństwa sieci w Panda Security Polska.

Podkreśla on przy tym, że choć ataki typu phishing (mające na celu wyłudzanie danych) najczęściej kojarzone są z bankami, to dziś coraz częściej ich celem jest także pozyskiwania danych dostępowych do serwisów społecznościowych, portali aukcyjnych oraz skrzynek pocztowych.

Dlatego nie tylko instytucje finansowe, ale i firmy działające w innych branżach powinny stosować narzędzia zapewniające kontrolę bezpieczeństwa. Tokeny generują każdorazowo unikalne hasła, chroniące nie tylko transakcje, ale także dostęp do jakichkolwiek danych, w szczególności historii i stanu kont.

Komórka zamiast breloczka

Na rynku możemy spotkać dwa rodzaje tokenów: w postaci sprzętu, tzw. hardware’owe (np. breloczki z wyświetlaczem czy kluczyki USB), lub oprogramowania, tzw. software’owe.

W tej drugiej grupie jednym z rozwiązań, które ostatnio pojawiły się na rynku jest mToken, wprowadzony do oferty przez Polską Wytwórnię Papierów Wartościowych (PWPW). Jest to program, który instaluje się w telefonie komórkowym, a jego zadaniem jest generowanie haseł jednorazowych.

Aplikacja współdziała z mechanizmami zarządzania kontem przez internet. Ponieważ instalowana jest ona w telefonie, a nie na karcie SIM, nawet ewentualne sklonowanie i wykorzystanie karty SIM nie narazi użytkownika na niebezpieczeństwo.

– mToken to system uwierzytelnienia dwuskładnikowego, oferuje on generowanie haseł jednorazowych oraz uwierzytelnianie transakcji metodą challenge-response przy użyciu aplikacji zainstalowanej na telefonie komórkowym – tłumaczy Tomasz Ćwietkowki, twórca aplikacji z PWPW.

Podkreśla przy tym, że mToken obok typowych rozwiązań, które oferują tego rodzaju produkty, ma dodatkowo całkowicie nowe funkcjonalności będące przedmiotem rozpoczętego postępowania patentowego. Są to nowatorski mechanizm synchronizacji aplikacji telefonicznej z serwerem, sposób wizualnej weryfikacji stanu synchronizacji oraz zabezpieczenie antyphishingowe polegające na prezentowaniu przez aplikację webową własnego hasła jednorazowego dla pragnącego zalogować się użytkownika.

Przedstawiciel PWPW twierdzi, że mToken to produkt nie tylko dla instytucji bankowych, ale także dla małych i średnich firm.

– Wyobraźmy sobie niewielką firmę opierającą swą działalność na pracy handlowców oraz współpracującą z siecią resellerów. Zabezpieczenie dostępu do systemu zbierania zamówień ma znaczenie kluczowe dla jej funkcjonowania – przekonuje Tomasz Ćwietkowski.



Pożytek dla firmy

mToken ma istotną zaletę dla mniejszych firm. Może to być usługa, gdzie część serwerowa będzie hostowana po stronie PWPW. Taki sposób wykorzysta nia aplikacji w najbliższym czasie firma zaproponuje sektorowi MSP. Jest też tańszy od tokena sprzętowego.

– Dodajmy jeszcze wygodę użytkownika. Token sprzętowy to kolejny przedmiot, o którym musimy pamiętać i który musimy ze sobą zabierać. Natomiast mała aplikacja zainstalowana w telefonie mobilnym jest o wiele wygodniejsza, bo o tym, by zabrać ze sobą komórkę rzadko zapominamy – przekonuje Ćwietkowski.

A co w sytuacji, gdy użytkownikowi zostanie ukradziona komórka lub ją zgubi?

– Wtedy powinien powiadomić o tym operatora chronionego systemu, czyli na przykład bank. Natychmiast zablokowany zostanie dostęp przy użyciu aplikacji mToken z dotychczasowym kodem aktywacyjnym. Użytkownik otrzyma nowy kod, który pozwoli mu ponownie korzystać z dobrodziejstw mTokena – wyjaśnia Tomasz Ćwietkowski.

Marek Jaślan
Jak to działa?
1. Instalacja aplikacji mToken w telefonie komórkowym użytkownika, wprowadzenie kodu PIN i aktywacja. Aplikacja jest chroniona PIN-em znanym tylko użytkownikowi.
2. Logowanie do systemu, np. bankowego.
3. Potwierdzenie transakcji przy wykorzystaniu mechanizmu challenge-response:
• wprowadzenie i zatwierdzenie danych transakcji, np. przelewu na portalu banku,
• wygenerowanie przez system bankowy kodu transakcji (tzw. challenge) i wpisanie go do aplikacji telefonicznej,
• wyświetlenie i zatwierdzenie w telefonie danych transakcji (skrajne cyfry numeru konta oraz kwota transakcji), a następnie zaakceptowanie transakcji,
• wygenerowanie przez aplikację telefoniczną indywidualnego kodu potwierdzającego (tzw. response),
• wpisanie przez użytkownika kodu w systemie bankowym i realizacja transakcji w przypadku, gdy kod się zgadza.






Gdzie można zastosować mToken?
• w sieciach korporacyjnych (intranet, extranet) jako narzędzie kontroli dostępu do chronionych zasobów;
• przy ochronie dostępu do sieci korporacyjnej przy użyciu VPN (Virtual Private Network);
• w bankowości elektronicznej jako ochronę dostępu do serwisu bankowego i weryfikacja transakcji;
• w internetowych lub telefonicznych systemach obsługi klienta jako optymalna metoda weryfikacji tożsamości.


Opinia

Tomasz Ćwietkowski z Polskiej Wytwórni Papierów Wartościowych, twórca mTokena

W tej chwili mToken dostępny jest na telefony ze środowiskiem Java. Jest to najpopularniejsze środowisko do uruchamiania aplikacji na telefonach komórkowych. Szacuje się, że na świecie sprzedano około 2 miliardy takich aparatów. I co ciekawe, Java jest bardzo bezpieczna, bowiem zagrożenia, takie jak wirusy nigdy nie występowały tam masowo. Wynika to z zamierzonej przez projektantów bardzo małej integracji środowiska Java z systemem operacyjnym telefonu. Java jest obecna niemal na każdym smartfonie z Symbianem i na sporej liczbie modeli z Windows Mobile. Co do Anroida i iPhone, to są platformy, o których wiele się mówi, jednak ich udział w rynku europejskim, a przede wszystkim polskim nie jest jeszcze na tyle znaczący, by tworzyć osobne wersje mTokena. Oczywiście jeśli będzie
taka potrzeba rynkowa mToken będzie miał swoje wersje zarówno na iPhone, jak i na Androida i Windows Mobile. Jednak pierwszym smartfonem, który prawdopodobnie doczeka się swojej odmiany mTokena będzie RIM BlackBerry.