Wystarczy raz
Mechanizm zaproponowany przez RSA Security zachowuje dwuetapowość procesu autoryzacji. Oznacza to, że również w tym wypadku użytkownik będzie musiał podać swoje ID i hasło.
Nowością jest fakt, że nazwa osoby logującej się pozostaje taka sama bez względu na to, z jakiej usługi chcemy skorzystać. Hasło zostanie natomiast wygenerowane w czasie rzeczywistym przez takie urządzenia, jak hardware’owe tokeny, SmartCardy, klucze USB lub programowe generatory, które będziemy mogli zainstalować w telefonie komórkowym, smartfonie, PDA czy notebooku.
Wszystkie serwisy, które zgodzą się na współpracę z RSA Security, zyskają również dodatkową ochronę danych, ponieważ RSA przejmie kontrolę nad sprawdzaniem tego, czy osoba logująca się w witrynie jest upoważniona do używania danej tożsamości. Innymi słowy to RSA Security wyda nam internetowy “dowód osobisty”, którym będziemy się mogli posługiwać, i to RSA Security sprawdzi poprawność podawanych danych. Okazuje się więc, że w ten sposób mechanizm weryfikacji użytkowników na stronach WWW zyska dodatkową warstwę zabezpieczeń.
Lepsze wrogiem dobrego
Do tej pory internauci byli zmuszeni do używania różnych i odrębnych systemów autoryzacji, co powodowało, że sprawowanie nad nimi należytej kontroli nie należało do najłatwiejszych zadań. Nowa forma uwierzytelniania może uprzykrzyć życie wszelkiej maści phisherom i złodziejom tożsamości. Avivah Litan, analityk Gartnera, twierdzi również, że rynek mechanizmów weryfikowania osób w Sieci na całym świecie dopiero zaczyna się rozwijać, a propozycja RSA Security przyczyni się do zwiększenia wiarygodności usług internetowych.
Poza tym badania pokazują, że klienci są już w stanie ponieść dodatkowe koszty związane ze zwiększeniem bezpieczeństwa procesu autoryzacji. Na razie nie wiadomo natomiast, czy wyrobienie tożsamości internetowej będzie się wiązało z opłatami bezpośrednio w RSA Security czy banki wliczą je w koszty obsługi konta.
“Multidostępoza”
Czy nowatorska technologia ma jakieś słabe strony? Pierwsze testowe wdrożenia w USA (bank Wells Fargo) pokazują, że na razie sprawuje się ona wyśmienicie. Jedyne obawy może budzić fakt, że przejęcie tożsamości i urządzenia/aplikacji generującej do niej hasła do tej pory umożliwiało złodziejom skorzystanie tylko z jednej usługi WWW. Teraz pewnego dnia może się okazać, że oprócz wyczyszczonego rachunku bankowego mamy na swoim koncie wykasowanie danych z firmowego serwera i wysłanie obraźliwego e-maila do szefa…