Blaski i cienie mobilnej autoryzacji: Straciłeś telefon? Prześlij skan dowodu

Strona główna Aktualności

O autorze

Zwykło się sądzić, że mobilna autoryzacja to najbezpieczniejszy sposób ochrony prywatności. Nie zamierzam z tym dyskutować. Ale co w przypadku, gdy prawowity właściciel utraci dostęp do telefonu? Okazuje się, że procedury odzyskiwania tokena potrafią mieć niewiele wspólnego z bezpieczeństwem.

Sytuacja z życia wzięta. Weekend, impreza w wynajętym i ponoć zamkniętym lokalu, ze stolika w niewyjaśnionych okolicznościach znika mi telefon. Pech chciał, że w środku znajduje się karta SIM, z której korzystam od zamierzchłych czasów, przez co jest zarejestrowana jeszcze na moją mamę. Duplikat, owszem, wyrobić można, ale mama musiałaby pojawić się w salonie osobiście, a ja potem jechać ponad 100 km do rodzinnego miasta. Nie ma na to czasu.

Biorę nową umowę i nowy numer. I tu pojawia się problem: odzyskać dostęp do mobilnej autoryzacji w sytuacji, gdy nie jestem w stanie odebrać kodów weryfikacyjnych przesyłanych na numer stary.

Bank zdaje egzamin. Odbywa ze mną kilkuminutową rozmowę w celu potwierdzenia danych, pytając m.in. o numer PESEL, nazwisko panieńskie matki i adres zameldowania. Oczywiście dysponuje tymi informacjami już na etapie zakładania konta, więc ma bazę porównawczą i wszystko jest w stanie sprawdzić. Co innego w przypadku wszelkich usług typowo internetowych.

Skan dowodu osobistego, proszę

To żądanie, jakie kierują do mnie m.in. Facebook, a także Blizzard, operator platformy z grami Battle.net. Sprzeczne z prawem obowiązującym na terenie Polski. Ustawa o dokumentach publicznych z 22 listopada 2018 zabrania kopiowania dokumentów pod groźbą kary dwóch lat pozbawienia wolności. Ale amerykańskie korporacje zupełnie nic sobie z tego zakazu nie robią, a pracownicy ich działów wsparcia, choć polskojęzyczni, mają jedno tłumaczenie: takie procedury.

Procedury, które – jak zauważa w rozmowie z dobrymiprogramami dr Paweł Litwiński, mecenas z kancelarii prawniczej Barta Litwiński – są w dodatku kompletnie irracjonalne.

– Sprawdzenie dowodu służy do potwierdzenia tożsamości głównie na podstawie cech fizycznych – komentuje mecenas Litwiński. – Gdy człowieka nie widać, weryfikacja dokumentu traci sens – dodaje prawnik, zwracając jeszcze uwagę, że "skan może przecież przesłać każdy".

Tymczasem internetowi usługodawcy nie tylko łamią postanowienia RODO, których są zmuszeni przestrzegać działając na rynkach europejskich, ale także, jak widać, niczego nie weryfikują. – Wykorzystują nadarzającą się okazję, aby zebrać więcej danych – ucina nasz rozmówca. A ja, jakbym niewystarczająco cierpiał z powodu utraty telefonu, muszę do tego sprezentować korporacjom nieco danych. By nie utracić przy tym dostępu do zakupionych za paręset złotych gier.

Mobilna autoryzacja: tak czy nie?

W tym miejscu rodzi się oczywiste pytanie, czy warto z mobilnej autoryzacji w ogóle korzystać, skoro może się ona obrócić przeciwko użytkownikowi. Jasne, że warto. Stanowi efektywny sposób ochrony przed cyberzłodziejami, choć tradycyjnie plusom towarzyszyć muszą minusy, z których to jednak dobrze zdać sobie zawczasu sprawę. I stawiać zasieki tam, gdzie to uzasadnione.

Z drugiej strony na przykład platforma Steam pokazuje, że można zweryfikować czyjąś tożsamość bez kolekcjonowania dokumentów. Jak? Dostęp do konta odzyskałem przekazując operatorowi potwierdzenie przelewu za jedną z zakupionych w tamtejszym sklepiku gier. To metoda zarówno wiarygodniejsza z perspektywy administracji, jak i mniej inwazyjna dla użytkownika.

© dobreprogramy