mojeID – bankowy odpowiednik Profilu Zaufanego uwolni e-usługi od haseł
Krajowa Izba Rozliczeniowa (KIR) przedstawiła oficjalną nazwę ilogotyp masowej usługi uwierzytelniania, znanej do tej pory podroboczą nazwą eID. Teraz nosić ona będzie nazwę ciekawszą ibardziej swojską – mojeID. Ten informatyczny system potwierdzaniatożsamości, który bazuje na loginach i hasłach stosowanych wbankowości, może przynieść w naszym kraju prawdziwy przełom,jeśli chodzi o cyfryzację usług, handlu, a nawet usługpublicznych. Będzie bowiem bankowym odpowiednikiem ProfiluZaufanego, dostępnym jednak dla wszystkich użytkownikówelektronicznej bankowości bez konieczności przechodzenia mozolnychprocedur.
Jak donosi Cashless.pl, Piotr Alicki, prezes KIR, podczas obchodów25-lecia Krajowej Izby Rozliczeniowej, zaprezentował nowe logo inową nazwę tego, co do tej pory było znane jako eID. Zapowiedziałteż, że już niebawem ruszy pilotażowe wdrożenie programu w tychbankach, które są na to gotowe technicznie, pełne komercyjnewdrożenie ma nastąpić w przyszłym roku.
Dzięki mojeID internauci będą mogli logować się zwykorzystaniem potwierdzonej przez bank tożsamości w serwisachwymagających naszych danych podmiotów, takich jak np. firmyubezpieczeniowe, operatorzy telekomunikacyjni, prywatne przychodniezdrowia czy wreszcie sklepy internetowe. Zniknie potrzeba wymyślaniai zapamiętywania nowych loginów i haseł, notorycznie późniejprzez klientów zapominanych wskutek narzuconej odgórnie złożoności.
Co najważniejsze, mojeID działać ma w modelu węzła – wktórym bank jako dostawca tożsamości nie musi podpisywać umów zdostawcami usług dla klientów. Ujawnia im po prostu API, z któregomogą skorzystać dla potwierdzenia tożsamości logującego się donich użytkownika. Logowanie ma przypominać płatności typu pay bylink stosowane dziś w sklepach internetowych – kliknięcieprzenosi na stronę banku, gdzie zachodzi logowanie i potwierdzeniepłatności.
W tym rozwiązaniu zachowano do jakiegoś stopnia prywatnośćklientów. Potwierdzający tożsamość bank nie będzie miałdostępu do informacji na temat czynności, które klient będziewykonywał w zewnętrznych serwisach (choć będzie wiedział, zktórych usług jego klient korzysta). Z kolei dostawca usług nieotrzyma danych logowania czy innych wrażliwych informacji wdyspozycji banku, jednak otrzyma potwierdzenie, że logujący się jestosobą o takim imieniu i nazwisku oraz numerze PESEL.
Czy można by było osiągnąć wyższy poziom anonimowości?Zapewne tak, teoria dowodów z wiedzą zerową jest dobrzezbadaną dziedziną kryptografii, ale co z tego? W rozwiązaniachtego typu, przeznaczonych dla masowego użytkownika, chodzi przedewszystkim o zgodność z systemem prawnym, a nie zapewnienienajwyższej możliwej ochrony prywatności. A tutaj KIR może pochwalić się przejściem audytu, który potwierdził zgodność świadczonych usług z wymaganiami określonymi w unijnym rozporządzeniu eIDAS.
