Mobil token / Mtoken

Mobiltoken néven illettünk minden olyan erős azonosítási megoldást, amelynek segítségével a mobilon elvégezhetünk minden olyan műveletet, amit korábban csak netbankban vagy személyes megjelenés útján lehetett elintézni.

Mostanában, hogy szinte mindent tokennek neveznek, ami az egyediséggel kapcsolatos, a bankok körében is elterjedt, hogy mobiltokennek vagy mtokennek nevezzék azokat az azonosítási eljárásokat, amelyekkel meggyőződnek arról, hogy valóban az adott számla tulajdonosa intézkedik-e mobiltelefonról a számla felett. De nemcsak a bankok, hanem más szolgáltatók és állami intézmények is kidolgoznak olyan azonosítási protokollokat, amelyeket mobiltokeneknek neveznek. 

Ennélfogva elég nehéz általánosságban megmondani, hogy is működik a mobiltoken, mert meglehetősen sokféle eljárás van az azonosításra. A felhasználó szempontjából a legegyszerűbb a biometrikus azonosítók használata, az ujjlenyomat, az íriszdiagnosztika vagy az arcfelismerés. Ezeket vagy már tudják az okostelefonok, vagy nemsokára tudni fogják, így elég belenézni a telefon kamerájába, vagy megérinteni a kijelzőt az ujjunkkal. 

Egészen pontosan ez nem elég. A többfaktoros azonosítás ugyanis azt követeli meg a nagy biztonságot igénylő műveletek (például a számlán levő pénz feletti rendelkezés) esetén, hogy legalább két eltérő módon azonosítsák a magánszemélyt.

A kétfaktoros azonosítás egyik sarkalatos pontja, hogy legalább két eszközünkre legyen szükség például egy nagy összegű átutalás elintézéséhez, mert egy készülékünktől (vagy az azon tárolt adatainktól) még megszabadíthatnak bennünket tolvajok, betörők vagy adathalászok, de kettőtől már nehezebben. 

Csakhogy az ügyfelek számára kényelmetlenséget okoz, hogy egy művelethez egyszerre kelljen telefont és számítógépen online bankot használni (mondjuk a képernyőről leolvasni egy QR kódot), ők pont azt akarják, hogy mindent egy helyről, leginkább a telefonról lehessen végezni, mert az mindig nálunk van, és bárhol tudjuk használni. 

Erre a problémára adott válaszok a mobiltokenek. Mivel itt csak egy készülékről van szó, a teljes bizonyosság kedvéért a bankok nem elégednek meg azzal, hogy 1. feloldottuk a telefonunkat, 2. PIN kód segítségével beléptünk a mobilbankunkba, hiszen ha egy ilyen helyzetben ragadják ki a telefont a kezünkből, akkor máris kész a baj. 

Éppen ezért beiktatnak a rendszerbe még egy ellenőrzési pontot. Ez már lehet az adott biometrikus azonosító, de mint tudjuk, ezek a rendszerek nem mindig működnek megbízhatóan, van úgy, hogy a touch-ID nem fogadja be az érintésünket. Ezekre az esetekre így gyakran egy újabb 5-6 jegyű PIN kódot kell megadnunk, vagy egy olyan kódot, amit minden egyes műveletnél egy független szolgáltató generál a számunkra limitált időkerettel. 

A biztonsági szakma egyes képviselői ezeket az azonosítási eljárásokat mindezek ellenére nem tartják többfaktorosnak, és mivel csak egy eszköz érintett benne, inkább többlépcsős azonosításnak nevezik az ilyen megoldásokat.