Le še redki spletni nakupi brez potrjevanja z dvema varnostnima elementoma
Matjaž Ropret 23. julija 2019 ob 12:00

Poskusi se spomniti, s čim si moral(a) potrditi svoj zadnji nakup na spletu? Ga je bilo sploh treba ali je zadoščal vpis kartice oz. klik na že shranjeno ali v Paypalu – po vpisu gesla? Letošnje poletje predstavlja konec nakupovanja brez avtentikacije, kajti septembra v veljavo prihaja direktiva o plačilnih storitvah PSD2, ki zapoveduje močno prepoznavo potrošnika (Strong customer authentication). Poglejmo kakšne so in katere od njih so že v uporabi.   

Močna avtentikacija kupcev (SCA), ki jo to jesen uvaja direktiva PSD2, od ponudnikov finančnih storitev zahteva, da pri izvedbi plačila obvezno uporabijo vsaj dva od treh obstoječih tipov za overjanje identitete. Ti trije tipi pa so:

  • Poznavanje nečesa (informacija, ki jo ve samo uporabnik)
  • Imetje (reč, ki jo poseduje samo uporabnik)
  • Neločljivo povezana lastnost (nekaj, kar uporabnik je)

Pri prvi točki so najbolj pogoste kode PIN in podobna dokaj lahko zapomnljiva in enostavno uporabljiva, a vseeno težko uganljiva gesla. Za drugo točko v največji meri pridejo v poštev pametni telefoni, tretja pa se večinoma nanaša na biometrične lastnosti, kot so prstni odtisi, obraz, očesni elementi in podobno. Smisel vsega skupaj pa je, da je zgolj »shekanje« enega tipa identifikacije premalo in da to nikakor ne vpliva na ostala dva. Torej, če mi nekdo ukrade telefon in mu ga uspe odkleniti, še vedno ne ve niti moje kode niti ne more ponarediti biometrije. Ali če slučajno ugane PIN, se mora še vedno polastiti tudi telefona. V praksi pa bo zadeva izgledala tako, da bo uporabnik ob avtentikaciji nakupa dobil poziv, naj ga denimo s prstnim odtisom potrdi na telefonu, s čimer bo v bistvu v enem koraku uporabil dva tipa overjanja. Obvestilo za potrditev bo seveda prišlo samo na izbrani telefon in nikamor drugam.

Direktiva predvideva tudi izjeme, kdaj avtentikacija ni potrebna. Med te (med drugimi) sodijo transakcije manjših vrednosti, transakcije, ki jih začne trgovec, in fiksne naročnine. Pri prvih je želja ponuditi enako udobje kot pri brezstičnem plačevanju v trgovinah, gostinskih lokalih in drugod, kjer lahko do 15 evrov nakupujemo brez vtipkavanja PIN-a. Kot trdijo v Mastercardu se je ta način izkazal za odličnega in zlorab praktično ni. Pri transakcijah, sproženih od trgovca, so imeli pisci direktive v mislih predvsem naročnine s spremenljivim zneskom, dodatke k naročninam in podobno. Ponudnik bo na osnovi kartice, shranjene v njegovem sistemu (ob prvem vnosu oz. shranjevanju bo kupec šel skozi standarden postopek dokazovanja pristnosti z dvema elementoma), zahteval transakcijo, in če bo kartični center ocenil, da zadeva ne izgleda kot zloraba, bo to plačilo odobril. Za naročnine pa je sploh smiselno, da ne zahtevajo potrditve naročnika, kajti to bi se lahko dogajalo ob čudnih urah in bi vnašalo veliko zmede in nejevolje.  

Mastercardova raziskava je sicer ugotovila, da imajo biometrično avtentikacijo v naši regiji najraje v Bosni in Hercegovini, najmanj pa ji zaupajo prav slovenski uporabniki. Kot pravi povzetek raziskave, je za Slovence pri izbiri metode »odločilen dejavnik varnost bančnega računa in osebnih podatkov.« Pri nas še vedno največ potrošnikov najraje uporablja in najbolj zaupa načinu s potrditvenim sms-om, ki pa v resnici ni najbolj varen, saj se da »ugrabiti« telefonsko številko oz. kartico SIM, zato bo za mnoge »najboljši« način z jesenjo izginil. Vseeno pa je raziskava po podatkih Mastercarda potrdila, da je prav telefon daleč najbolj priljubljena naprava za avtentikacijo.

Kot vedno še naprej ostaja težava, kako si zapomniti gesla in kode. Kajti tudi pri biometriji je v ozadju koda, ki omogoča vstop v sistem, odklepanje telefona, itd, če biometrična prepoznava odpove. Zato se je treba zavedati, da je vsaka zaščita s prstnim odtisom, obrazom, očmi ali čim drugim varna le toliko, kolikor je močna nadomestna koda. Slovenci sicer nadpovprečno uporabljamo dodatno zaščito za zaklepanje telefonov, saj nas ima vsaj en način nastavljen kar tri četrtine uporabnikov pametnih telefonov. Omenjena raziskava je še razkrila, da si polovica potrošnikov v državah srednje in vzhodne Evrope gesla večinoma zapomni, četrtina pa si jih zapiše v zvezek. V Sloveniji si več kot polovica anketirancev gesel ne shranjuje, spreminja pa jih le poredkoma, manj kot enkrat letno. Industrija sicer želi, da bi statična gesla, pogosto shranjena na nepravih mestih in poznana več kot enemu človeku, sčasoma izginila, nadomestila pa bi jih dinamična, sproti generirana gesla ali druge metode, kakršna je WebAuthn. Ta prav tako izkorišča telefon, računalnik in drugo, kar že imamo pri roki, da lahko potrdimo svojo istovetnost. Do takrat, ko bo to razširjeno, pa vseeno ni napačno poskusiti s katerim od upravljalnikov gesel.

Naroči se na redna vsakotedenska e-poštna obvestila o novih prispevkih na naši strani.

Naslovna fotografija: DepositPhotos

Avtor Matjaž Ropret
mm
Matjaž že več kot desetletje in pol novinarsko pokriva tehnološki svet. Najprej na Radiu Slovenija, nato je na Delu od začetka leta 2009 do jeseni 2016 urejal redno tedensko prilogo Infoteh in pripadajočo rubriko na spletni strani. Zdaj je urednik Tehnozvezdja in hkrati glavni avtor na tej strani. Uporablja tiste naprave, ki se mu zdijo tehnološko dovolj napredne, uporabne in narejene z vsaj nekaj sloga, ne glede na znamko, operacijski sistem, platformo in ostale religiozne razloge.
Matjaž Ropret - prispevki
Brez komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja