Российские программисты придумали способ отказаться от логина-пароля в мобильных приложениях
Сверяя имя и ip-адрес пользователя смартфона с данными о его местоположении, имеющимися у оператора связи, можно проводить аутентификацию без использования логина и пароля, считают в компании Digital Zone. В ближайшие месяцы разработчикам предстоит обкатать этот способ на практике.Российская ИТ-компания Digital Zone, возглавляемая бывшим программистом «Яндекса» Дмитрием Завалишиным, и российский поставщик телеком-решений Bercut разработали технологию Mobile Identity, которая позволит идентифицировать пользователей мобильных интернет-сервисов без использования логина и пароля. 1 марта компании запустят пилотный проект при участии операторов сотовой связи, банков и интернет-магазинов, названия которых пока не раскрываются.
Компания Digital Zone была основана в 2005 г. и занимается разработкой различного программного обеспечения – от систем управления ИТ-инфраструктурой и систем управления сайтами (CMS) до собственной операционной системы «Фантом». Штаб-квартира холдинга DZ Systems, в который помимо Digital Zone входит компания e-Legion и ряд других, расположена в Москве, подразделения — в Санкт-Петербурге, Казани, Ульяновске и Краснодаре. В компании работает около 170 разработчиков и ИТ-специалистов. Оборот в 2013 г. - 150 млн руб.
Технология Mobile Identity, создаваемая Digital Zone и Bercut, должна упростить проведение финансовых операций с мобильного телефона, при этом обеспечивая должную защиту банковского счета абонента, рассказал CNews Дмитрий Завалишин. Конечный продукт представляет собой экосистему, которая объединяет банки и интернет-магазины с телекоммуникационными компаниями.
Сценарий применения технологии может быть следующим: покупатель открывает сайт интернет-магазина, выбирает товар, переходит к его оплате, указывает имя владельца банковской карты и другие необходимые реквизиты. Банк, получив от клиента запрос на проведение транзакции, по ip определяет его местоположение. Имя владельца карты и адрес, с которого поступил запрос на оплату, передаются телекоммуникационному оператору. Тот, в свою очередь, проверяет, действительно ли указанный абонент находится по адресу, который банк определил по ip. Если сверка данных банка и оператора дает положительный результат, проведение транзакции получает одобрение.
Дмитрий Завалишин утверждает, что Mobile Identity позволит упростить проведение финансовых операций с мобильного телефона
Встроенная в приложения проверка позиции может быть взломана, но позиционирование абонента средствами мобильного оператора невозможно подделать, объясняет Завалишин.
Технология Mobile Identity также обеспечит возможность входить на интернет-портал без создания аккаунта, обещают в Digital Zone: «Многие люди заходят на новые для себя сайты, пользуясь регистрацией на другом портале, например, в «Яндексе» или Facebook. Аналогичную услугу можно предоставить, когда пользователь входит на сайт или в приложение через мобильный телефон. Заходя в систему онлайн-банкинга с телефона, клиент может войти как мобильный пользователь, не набирая логина, не вводя пароля – просто зарегистрировавшись с помощью одной кнопки».
При регистрации данные пользователя будут также проверяться с помощью телекоммуникационного оператора, после чего ему будет присвоен уникальный идентификатор. Это позволит обойтись без создания аккаунта - с помощью такого идентификатора при повторном входе на портал Mobile Identity «узнает» посетителя, ничего у него не спрашивая.
Опираясь на такой идентификатор компания сможет даже посылать пользователю сообщения, не зная номера его телефона. «Это чрезвычайно удобно само по себе, но, увы, пользователь в такой ситуации обезличен, - говорит Завалишин. - Можно пойти дальше, и запросить у посетителя разрешение передать порталу или приложению его персональные данные - например, имя и фамилию (которые известны оператору мобильной связи). В этом случае возникает возможность создать полноценный аккаунт».
Для полномасштабного внедрения продукта Digital Zone понадобится юридическая поддержка, так как большую часть информации о пользователе оператор связи не может разглашать согласно закону о персональных данных. Пока основные сервисы Mobile Identity не связаны с персональными данными. В сервисах, которые имеют к ним отношение, будет обеспечена анонимизация или получение подтверждения от пользователя, говорит Завалишин.
Например, при запросе местоположения пользователя банк будет самостоятельно указывать текущий адрес интересующего его абонента, определяя его по ip. Оператору связи нужно будет лишь подтвердить или опровергнуть эти данные.
Если решить вопрос с персональными данными, то благодаря более подробной информации об абоненте (полу, возрасту, размеру счета, динамике расходов на телефон) Mobile Identity в дальнейшем поможет банкам и интернет-магазинам персонализировать услуги. Так, компании смогут оценивать кредитоспособность абонента по его расходам на связь или проверять зарубежные транзакции на основе данных по роумингу.
Технически Mobile Identity позволяет полностью отказаться от использования других методов аутентификации, и в большинстве пилотных проектов так и будет сделано, обещает Завалишин. Некоторые операции (в частности, в мобильном банкинге) потребуют многофакторной аутентификации, и Mobile Identity обеспечит часть способов.
Помимо позиционирования и возможности адаптировать услуги под абонента, Mobile Identity позволит использовать электронную подпись при помощи сохранённого на сим-карте ключа. «Технически это позволяет подписывать электронные документы с помощью мобильного телефона, но, увы, не все юридические задачи этого сценария пока решены», - говорит Завалишин.
Еще один из интересных вариантов использования этой технологии - возможность снимать наличные в банкомате без пластиковой карты, используя только мобильное приложение, рассуждает Дмитрий Завалишин.
Помимо Digital Zone и Bercut разработкой продукта занимается компания e-Legion, которая в 2013 г. вошла в холдинг DZ Systems (Завалишину в нем принадлежат 51%, основателю Александру Звереву – 49%). e-Legion принимает участие в создании части кода, ответственного за интеграцию с мобильными приложениями третьих сторон. Кроме того, компания будет заниматься разработкой мобильного приложения с интегрированными службами Mobile Identity.
Пилотный проект Mobile Identity будет длиться 2 месяца, после чего компании планируют запустить промышленное использование продукта и осенью 2014 г. отчитаться о результатах.