Nieweryfikowalny PIN - polski pomysł na bezpieczny VPN i bankową autoryzację

Według danych Consumer Reports nawet 1 na 10 osób gubi swój telefon komórkowy – wartość utraconych smartfonów na świecie sięga 7 milionów dolarów dziennie. Jest to o tyle istotne, że pomijając już tego typu kwestie finansowe, taka „zguba” może zgotować nam sporo problemów. Użytkownicy coraz częściej przechowują bowiem na urządzeniach mobilnych swoje prywatne zdjęcia czy listy haseł. Jeszcze gorzej, gdy jest to smartfon wykorzystywany w pracy, na którym znaleźć można na przykład okno zdalnego dostępu do firmowego systemu informatycznego (VPN). 

Gdy taki telefon trafi w ręce nieodpowiedniej osoby zaczynają się poważne kłopoty – zabezpieczenie w formie kodu PIN nie jest przecież zbyt dużym wyzwaniem dla utalentowanego hakera. Utrata zdjęć rodzinnych? Tak, na pewno będzie szkoda tego albumu. To jednak „pikuś” przy daniu dostępu do VPN. To dopiero może spowodować rzeczywiste straty, których nikt nie chciałby mieć raczej na swoim koncie.

Jak informuje producent z sektora cyberbezpieczeństwa, Wheel Systems – „Chcąc poznać numery PIN, przestępcy wcale nie muszą jednak wchodzić w posiadanie telefonu na dłużej niż kilka minut. Wystarczy, ukraść aparat tylko na chwilę, skopiować oprogramowanie, a następnie zwrócić go ofierze, łamanie zabezpieczeń pozostawiając na później. Nieświadomy kradzieży właściciel, ciesząc się, że udało mu się odnaleźć telefon, nawet nie pomyśli, że powinien podjąć jakiekolwiek kroki, aby uchronić siebie lub firmę przed stratami, które dopiero nastąpią”.

Polska firma Wheel Systems opracowała koncepcję nieweryfikowalnego kodu PIN. Jest to prosty sposób na bezpieczną autoryzację, który uchronić ma przed kłopotami opisanymi wcześniej. Zasada działania jest następująca – aplikacja CERBToken generuje kody jednorazowe do autoryzacji transakcji (w przypadku bankowości elektronicznej) lub połączenia VPN. Kluczem do sukcesu jest to, że zainstalowana na telefonie aplikacja nie ma pojęcia czy podany przez użytkownika PIN jest prawidłowy. Dla każdego numeru generowany jest osobny kod jednorazowy. Słowem – tylko właściciel tokena wie, że zalogował się poprawnie.

Aplikacja generuje kody jednorazowe dla każdego wprowadzonego numeru. Weryfikacją zajmuje się centrala systemu CERB. Po kilkukrotnym wprowadzeniu błędnego kodu, konto jest blokowane. Dodatkowo, dzięki temu, że sama aplikacja nie ma danych wymaganych do zweryfikowania czy kod PIN jest prawidłowy, nie ma żadnych możliwości – przynajmniej w tym momencie – by złamać te zabezpieczenia.

„Za dwa najsłabsze ogniwa większości systemów bezpieczeństwa uważa się użytkownika oraz zdalny terminal. Korzystając z nieweryfikowalnego PINu możemy zmniejszyć ryzyko związane z jednym i zlikwidować drugie” – powiedział Paweł Jakub Dawidek, Dyrektor ds. Technicznych i oprogramowania Wheel Systems. „Przenosząc ciężar weryfikacji kodu PIN z mobilnej aplikacji na centralny serwer uwierzytelnienia, sprawiliśmy, że smartfon stracił charakter potencjalnie najsłabszego ogniwa systemu. Jego utrata nadal będzie się wiązała z utratą części zasobów, ale przynajmniej konto bankowe i kanał VPN pozostaną bezpieczne”.

Źródło: Wheel Systems, iTunes