Tomáš Hubálek Blog: Bavte se přiměřeně

V poslední době se na diskusním fórum mBank velice často diskutuje otázka bezpečnosti. Prakticky nepřetržité šarvátky mezi příznivci nízkého a vysokého zabezpečení vyústily v nabídku tzv. Open security.

Jak sami víte, o mBank hodně píšu a tak jsem byl pozván k neveřejnému testování a můžu se s vámi tedy podělit o svoje dojmy.

Kouzlo Open Security spočívá v tom, že se mBank rozhodla nabídnout API pro vlastní implementaci zabezpečení a doufá, že uživatelé si budou autentizační moduly sdílet mezi sebou podobně jako např. Google Gadgets.

A odpověď na sebe nedala dlouho čekat. První moduly byly v rámci neveřejného testování vyvinuty a nabídnuty nejhlasitěji křičícím uživatelům.

Největší úspěch sklidil modul NOS (Null Open Security), který vám umožní přihlásit se bez hesla. Stačí zadat jenom svoje klientské číslo a mužete vstoupit. Žádné hledání papírku s heslem, žádná hledání mobilu, jdete rovnou na věc. Vaše klientské číslo si prohlížeč zapamatuje a vy jenom kliknete do bookmarků a posíláte penízky, kam chcete… Tuto možnost úvítali téměř všichni testeři s poukazem na to, že k jejich počítači se nikdo neodváží ani usednout.

Dalším extrémem je modul FOS (Full Open Security), který uspokojí i ty největší paranoiky. Po zadání klientského čísla projdete dvacetiminutovým testem osobnosti a pokud dosáhnete potřebného profilu, jste připuštěni. Jak známo, otisk prstu lze zfalšovat, o security token můžete přijít, PIN k němu z vás dostanou sérem pravdy, ale testem osobnosti není lehké projít ani za normálních okolností.

Jen pro formu pak ještě mBank nabízí security token od firmy RSA a autorizaci smskou už při přihlášení, ale to už asi nikoho zajímat nebude (všiml jsem že tyto moduly si po testování ponechali jenom dva uživatelé a oba jsou z domén csas.cz a rb.cz).

Rozhodně tento progresivní přístup na mě učinil velký dojem a už se těším, na další skvělé nápady komunity, které mBank vyslyší