1 obserwujący
7 notek
1590 odsłon
350 odsłon

Bezpieczna weryfikacja tożsamości

Wykop Skomentuj12


Co chwila słyszy się o sprzedaż mieszkań przez oszustów z wykorzystaniem podrobionego dowodu osobistego. Inny problem to wyłudzenia kredytów w bankach także na podstawie takiego dowodu.

Nowe dowody osobiste mają warstwę elektroniczną do której można zdefiniować indywidualny PIN. Każdy bank czy notariusz może weryfikować poprawność takiego PINu z wykorzystaniem czytnika do dowodów osobistych. W takim systemie kradziony/podrobiony nowy dowód osobisty jest bezużyteczny bez znajomości PINu. Rozwiązanie takie ma jednak trzy wady: wymagane są czytniki, po drugie jak ktoś nam PIN podejrzy i podrobi dowód to może zrobić wszystko; po trzecie wymaga powszechnych dowodów elektronicznych co może zając lata.

Proste rozwiązanie to identyfikacja osoby z wykorzystaniem profilu zaufanego, z przypisanymi prywatnym adresem emailowym i numerem telefonu komórkowego. W tym rozwiązaniu notariusz czy bank sprawdza tożsamość osoby gdy  zamierza ona sprzedać nieruchomość czy ubiegać się o kredyt poprzez wprowadzenie numeru PESEL na specjalnej stronie związanej z profilem zaufanym. Dana osoba jest powiadamiana przez swój profil zaufany mailem i SMSem o tej próbie weryfikacji wraz z parametrami zamierzanej transakcji. Następnie taka osoba może zalogować się do swojego profilu zaufanego i potwierdzić swoją tożsamość w ramach zamierzanej transakcji a notariusz/bank widzą status takiego potwierdzenia na swoim koncie związanym z opisywanym systemem. Alternatywnie, weryfikowana osoba może negatywnie odpowiedzieć na próbę weryfikacji (co powinno automatycznie skutkować zaangażowaniem policji w celu złapania oszusta) lub nie odpowiadać w ogóle. Dana transakcja mogłaby dojść do skutku tylko po pozytywnej weryfikacji zainteresowanej osoby. Nieuczciwy notariusz czy pracownik banku nie jest w takim rozwiązaniu w stanie pomóc oszustom, bo wymagany jest zapis weryfikacji proponowanej transakcji w systemie profilu zaufanego.

Proponowane rozwiązanie jest raczej tanie - nie wymaga specjalnych czytników, tylko dosyć prostego dodatkowego oprogramowania oraz rozszerzenia funkcjonalności profilu zaufanego wraz z zachowaniem historii weryfikacji transakcji. Oczywiście gdy oszuści przejmą nasz profil zaufany mamy problem. Wtedy jednak musieliby przejąć także nasz numer telefonu (poprzez wyrobienie duplikatu karty SIM) oraz konto mailowe lub zmienić nr telefonu/adres mailowy na swoje. Pierwszy atak jest dosyć kłopotliwy ale ciągle możliwy - na pewno trzeba bardziej kontrolować wydawanie duplikatów kart SIM, szczególnie, że już dzisiaj wiele banków używa SMSów do autoryzacji przelewów. Drugi rodzaj ataku - zmiana numeru telefonu i adresu mailowego jest  łatwy do odparcia przez okresową komunikację z wykorzystaniem starego adresu mailowego i starego numeru telefonu w celu potwierdzenia zmian.

Nasze państwo wykazuje daleko posuniętą bezradność pozwalając oszustom na w miarę łatwą sprzedaż cudzej nieruchomości z wykorzystaniem podrobionego dowodu osobistego. Nowa ustawa zakazująca używania dowodów kolekcjonerskich jest krokiem w dobrą stronę ale nie rozwiązuje problemu, dowody dalej będą podrabiane tylko nielegalnie. Potrzebne jest kompleksowe rozwiązanie problemu, na przykład jak zaproponowane w tej notce.







Wykop Skomentuj12
Ciekawi nas Twoje zdanie! Napisz notkę Zgłoś nadużycie

Więcej na ten temat

Salon24 news

Co o tym sądzisz?

Inne tematy w dziale Technologie