Nieweryfikowalny PIN - nowy rodzaj zabezpieczeń
Szacuje się, że nawet 1 na 10 osób gubi swój telefon. Wartość smartfonów utraconych w samych Stanach Zjednoczonych przekracza 30 mld dolarów rocznie. W ujęciu globalnym to już jednak nawet 7 mln dolarów dziennie. Problem jest tym poważniejszy, że obecnie telefony to nie tylko kopalnia wiedzy o użytkowniku. Coraz częściej na smartfonach, obok galerii zdjęć, goszczą także bankowe aplikacje albo okno zdalnego dostępu do firmowego systemu informatycznego (VPN).
Jeśli taki aparat trafi w ręce odpowiedniej osoby, nawet najlepsze zabezpieczenia mogą ulec. Standardowa bariera w postaci zabezpieczenia aplikacji kodem PIN to dla profesjonalisty tylko kwestia czasu. W takiej sytuacji utrata rodzinnego albumu może się okazać niewielką szkodą. w porównaniu do rzeczywistych strat.
Ofiara kradzieży jest przynajmniej świadoma zagrożenia i ma szansę na podjęcie odpowiednich działań, np. zmiany haseł i zgłoszenia utraty telefonu działowi IT. Chcąc poznać numery PIN, przestępcy wcale nie muszą jednak wchodzić w posiadanie telefonu na dłużej niż kilka minut. Wystarczy, ukraść aparat tylko na chwilę, skopiować oprogramowanie, a następnie zwrócić go ofierze, łamanie zabezpieczeń pozostawiając na później. Nieświadomy kradzieży właściciel, ciesząc się, że udało mu się odnaleźć telefon, nawet nie pomyśli, że powinien podjąć jakiekolwiek kroki, aby uchronić siebie lub firmę przed stratami, które dopiero nastąpią.
"Za dwa najsłabsze ogniwa większości systemów bezpieczeństwa uważa się użytkownika oraz zdalny terminal. Korzystając z nieweryfikowalnego PIN-u możemy zmniejszyć ryzyko związane z jednym i zlikwidować drugie."- powiedział Paweł Jakub Dawidek, dyrektor ds. technicznych i oprogramowania Wheel Systems. "Przenosząc ciężar weryfikacji kodu PIN z mobilnej aplikacji na centralny serwer uwierzytelnienia, sprawiliśmy, że smartfon stracił charakter potencjalnie najsłabszego ogniwa systemu. Jego utrata nadal będzie się wiązała z utratą części zasobów, ale przynajmniej konto bankowe i kanał VPN pozostaną bezpieczne."
Pomóc ma rozwiązanie stworzone przez firmę Wheel Systems - autoryzacja, np. transakcji bankowych lub dostępu do firmowego kanału VPN, za pomocą nieweryfikowalnego numeru PIN. Kluczem do sukcesu tego rozwiązania ma rzekomo być zainstalowana w telefonie aplikacja do generowania kodów jednorazowych - CERBToken, nie posiada danych wymaganych do zweryfikowania, czy wpisany kod PIN jest prawidłowy. Dzięki temu, w teorii, nawet najbardziej szczegółowe i pomysłowe skanowanie jej pod kątem znalezienia tego właściwego PIN-u nic nie da potencjalnym przestępcom.
Aplikacja generuje kody jednorazowe, bez różnicy, dla każdego wprowadzonego numeru. Weryfikacją ich poprawności zajmuje się dopiero, zintegrowana z firmowym lub bankowym systemem bezpieczeństwa, centrala systemu autoryzacji CERB. Po wprowadzeniu przez użytkownika podanego przez aplikację kodu jednorazowego, sprawdza ona jego poprawność. W przypadku kilkukrotnego wprowadzenie nieprawidłowych kodów, system blokuje konto.
Podpowiedzią dla właściciela telefonu - że podany aplikacji PIN jest prawidłowy, a zatem i generowane kody będą prawdziwe - jest wizerunek karty do gry, który pojawia się podczas logowania. Jeśli jest on zgodny z tym, wyświetlonym przez system podczas pierwszego ustalania kodu PIN, użytkownik ma pewność, że proces przebiegł poprawnie.
