mToken od PWPW
Polska Wytwórnia Papierów Wartościowych wprowadziła do swojej oferty e-produktów mToken, czyli system mobilnego uwierzytelniania użytkowników w dostępie do zastrzeżonych zasobów. Rozwiązanie pozwala na samodzielnie generowanie kodów i haseł np. do kont bankowych.
06.01.2010 | aktual.: 07.01.2010 10:14
mToken jest instalowanym w telefonie komórkowym programem, który generuje hasła jednorazowe. Aplikacja współdziała z mechanizmami zarządzania kontem przez internet. Jest rozwiązaniem dedykowanym firmom (m.in. bankom), dla których ochrona ich zasobów informacyjnych, a także maksymalne bezpieczeństwo transakcji internetowych jest wartością nadrzędną. Dzięki rozwiązaniu mToken mogą udostępnić swoim klientom możliwość samodzielnego generowania haseł i kodów do usług internetowych.
mToken jest prosty w instalacji i obsłudze, mimo że zawiera złożone algorytmy kryptograficzne. Ma również niewielkie wymagania sprzętowe - wystarczy, że telefon posiada środowisko Java. Użytkownik mTokenu nie płaci za generowane hasła i kody - w przeciwieństwie do kodów przesyłanych SMS-em, gdzie często występują opłaty.
Autoryzacja transakcji następuje z wykorzystaniem mechanizmu challenge - response, zaś generowane hasła jednorazowe mają bardzo krótki okres ważności, zapobiegający ich przechwyceniu przez osoby niepowołane. Aplikacja mToken pracuje w trybie offline i znacznie ogranicza możliwość ataku phishingowego. Zdaniem twórców systemu, mToken pozwala uniknąć wielu niebezpieczeństw związanych z korzystaniem z haseł SMS-owych, które dostarczane są niezaszyfrowanym tekstem i mogą zostać przechwycone podczas przechodzenia przez bramkę brokera SMS oraz infrastrukturę operatora komórkowego. Ponieważ aplikacja instalowana jest w telefonie, a nie na karcie SIM, nawet ewentualne sklonowanie i wykorzystanie karty SIM nie narazi użytkownika na niebezpieczeństwo.