Smart-ID un Swedbank

Šis raksts tapis 30 dienu rakstīšanas izaicinājuma ietvaros.

Tā kā es nevarēšu ierasties uz īpašo 1.marta pasākumu Saules akmēnī, lai izteiktu savu viedokli par Smart-ID un tā integrāciju Swedbank internetbankā, nolēmu uzrakstīt šeit. Rakstītam viedoklim jābūt ne mazāk vērtīgam kā mutiski izteiktam.

Ja nezini, kas is Smart-ID un kā tas saistās ar Swedbank, ieskaties šeit. Īsumā – tā ir telefona lietotne, ar kuras palīdzību iespējams autorizēties Swedbank internetbankā. Smart-ID māk vēl šo to, bet tas šoreiz nav būtiski. Daudzus gadus biju lietojis kodu kalkulatoru, bet tas nesen sabojājās. Bankā teica, ka tā mēdz notikt pēc tik daudzu gadu lietošanas. Šajā sakarā tiku pie kodu kartes un gaidīju lietotnes parādīšanos, jo cerēju, ka tā būs tikpat ērta un labi nostrādāta kā Nordea Codes. Taču vīlos. Vairāku apstākļu dēļ.

Pirmā un lielākā problēma ir tāda, ka man Smart-ID nemaz neļauj autorizēties. Ar uzstādīšanu viss gāja gludi un nekādas problēmas nenovēroju. Bet, kad jāautorizējas, nekas nenotiek. Lietotne tā arī nesaņem informāciju par to, ka mēģinu autorizēties internetbankā. Izmantoju Nexus 5X ar Android 7.1.1. Ar Aijas telefonu (Galaxy S5) viss ir kārtībā un viņai viss stradā.

Par savu problēmu esmu ierakstījis atsauksmi Google Play veikalā. Bija maza cerība, ka varbūt tā pievērsīšu izstrādātāju uzmanību un saņemšu vismaz kādu komentāru. Bet nulle reakcijas. Nez, vai tā būtu, ja lietotni izstrādātu un uzturētu pati banka.

Lai internetbankā norādītu savu vēlmi autorizēties ar Smart-ID, jānorāda bankas lietotāja ID un savu personas kodu. Kādēļ tāda nepieciešamība? Parasti visur cenšamies slēpt savu personas kodu. Tagad katru reizi to ir jāievada. Turklāt ar visu svītriņu. Esmu dzirdējis, ka tā ir tāda kā drošības ekstra. Jo palīdz izvairīties no tā, lai kāds cits nevadītu iekšā jūsu lietotāja ID un neizsauktu lietotnē autorizācijas pieprasījumu. Manuprāta muļķības. Nordea neprasa personas kodu un neesmu dzirdējis, ka kāds sūdzētos. Turklāt, kādēļ tad personas kodu neprasa, arī autorizējoties ar paroli? Tur taču arī vajag aizsardzību pret ļaunprāšiem. Kas tad viņiem liedz ievadīt lietotāja ID un 5 reizes nepareizu paroli, lai šādi ieriebtu? Bet kaut kā cilvēki to nedara. Vismaz ne bieži. Tātad personas koda pieprasīšana, manuprāt, ir pilnīgi lieka.

Atverot lietotni telefonā, ir redzams mans personas kods. Nav tā, ka mans personas kods būtu liels noslēpums, bet kaut kā esam pieraduši šos ciparus sargāt. Bet tagad tie ir kā uz delnas. Nekomfortabli.

Lai no lietotnes būtu kāda jēga, telefonā ir nepieciešams internets. Ir situācijas, kurās tas nav iespējams. Telefonā internets kādu brīdi var nestrādāt. Vai arī Smart-ID pusē var būt problēma un lietotne var nesaņemt informāciju par veicamajām darbībām. Tādās situācijās lietotne uzreiz kļūst nederīga un, lai veiktu kādas darbības internetbankā, jāizmanto kodu karti vai kodu kalkulatoru. Te nu ir jautājums – kāda tad jēga no lietotnes telefonā, ja tāpat visu laiku jāstaipa līdzi kodu karti/kalkulatoru? Manuprāt, jēga zūd. Nordea šo ir atrisinājuši eleganti. Nordea Codes darbojas gan tiešsaistes režīmā, gan lieliski strādā bez interneta. Tas tāpēc, ka aplikācijā ir iebūvēts arī kodu kalkulators. Ja Nordea Codes man ļāva atbrīvoties no kodu kartes, tad Smart-ID neļautu pat tad, ja man šī lietotne strādātu.

Izmantojot trešās puses lietotni tik svarīgam uzdevumam, bankas (Swedbank, SEB) palīdz ļaunprāšiem apkrāpt cilvēkus. Kādēļ? Tādēļ, ka tiek iemācīts, ka ar banku saistītās lietās var uzticēties pilnīgi nesaistītam uzņēmumam. Manuprāt, ir tikai laika jautājums, līdz redzēsim kreatīvus veidus tam, kā tiek ekspluatēta cilvēku nezināšana vai samulsums šajos jautājumos. Es spēju iedomāties vairākus scenārijus. Taču šeit tos neaprakstīšu. Negribu citiem dot idejas.

Ja Nordea Codes ir lieliska lietotne, kura dara tieši to, ko vajag, un tieši tā, kā vajag, tad Swedbank draudzība ar Smart-ID ir ķeksītis teju vai bez pievienotās vērtības. Un šī ir pirmā reize, kad IT laukā Nordea ir platu soli priekšā Swedbank. Un tas ir pārsteidzoši. Jā, jā, zinu. Daudziem Smart-ID patīk, jo tā vietā, lai ierakstītu 6 ciparus no kodu kartes, viņiem patīk glāstīt telefonu. Lai tā būtu. Katram jau savs. Es gan ceru, ka kādu dienu Swedbank pamācīsies no Nordea.

Papildināts 01.03.2017: Šodien lietotnei publicēta jauna versija, kurā atrisinātas divas no iepriekš minētajām problēmām. Beidzot arī es varu autorizēties ar Smart-ID palīdzību. Kā arī, atverot lietotni, vairs nav redzams mans personas kods. Tas ir aizvietots ar zvaigznītēm.

Papildināts 17.03.2017: Pirms dažām dienām tika salabota vēl viena lieta, par kuru sūdzējos. Vairs personas kodam nav jāievada svītriņu. 

Flattr this!

Daži reizēm aizmirst, tāpēc: https://endijs.com publicētās informācijas pārpublicēšana bez saskaņošanas ar autoru ir aizliegta. Lūgums respektēt autora/autoru tiesības. Paldies!

10 comments

  1. SmartID izmantoju divos gadījumos:
    1. kad ir meeeeega slinkums aizstiepties pēc kodu kalkulatora
    2. kad kodu kalkulators vispār nav pieejams pa rokai, bet jāveic kāds steidzams maksājums (ceļā, piemēram)

    Viss pārējais ir mīnusi – Tevis pieminētie + tas, ka jāievada tik nenormāli daudz ciparu – lietotāja ID, personas kods, pinkods.. pie tam pinkods ir redzams atklāti pie ievades – ja kāds stāv blakus, tad ļoti vienkārši to nolasīt.. nesaprotu, kāpēc uz tiem pašiem iPonijiem nav uztaisīta autorizācija ar touchID (pirksti).

  2. “Lai no lietotnes būtu kāda jēga, telefonā ir nepieciešams internets. Ir situācijas, kurās tas nav iespējams. Telefonā internets kādu brīdi var nestrādāt.”

    Tikpat labi var būt situācijas, kad var nestrādāt arī jebkāds cits internets. Tad arī no visas ibankas ir maz jēgas.

    “ja kāds stāv blakus, tad ļoti vienkārši to nolasīt”

    Baigais edge case – esot iespiestam starp ziņkārīgiem pasažieriem sabiedriskajā autobusā iečekot internetbanku. :)

    1. Nu redzi, kam iečekot internetbanku (Swedbank ir ātrais konta atlikums, starp citu), bet kam vajag veikt maksājumus stāvot rindā, kad pār plecu lūr ziņkārīgie.

  3. Cik drošs vai nedrošs risinājums tas galu galā izrādīsies redzēsim ar laiku, bet man tas viennozīmīgi ir daudz ērtāks nekā kodu karte. Dīvaini, ka tev nesanāca saregulēt uz sava telefona. Man ir tieši tāds pats modelis un tāda paša OS versija, un viss strādā perfekti.

    Tas, ka izstrādātājs ir trešā puse var izrādīties arī kā liels pluss. Es nebūtu pārāk kritisks šai sakarā.

  4. Sveiks,

    Paldies, ka padalījies ar bloga ierakstu. Kā jau solījām, kad runājām par satikšanos ar Smart-ID komandu, esam ierakstu izlasījuši un labprāt padalīsimies ar savu skatījumu. :)

    Sākotnēji personas koda lietošana varbūt nešķiet ērtākais risinājums, bet tas pagaidām ir vienīgais kompromiss starp drošību un iespēju izmantot savu mobilo identitāti. Vārds un uzvārds nav unikāli dati, savukārt lietotāja numurs nav pilnvērtīgi izmantojams starpbanku risinājumā.
    Personas kodu iespējams lietot starpbanku mērogā ar ko šis risinājums ir īpaši ērts. Tai pat laikā esam ieklausījušies klientu vēlmēs un jau drīzumā plānojam dažādus uzlabojumus, piemēram, personas kodu varēs ievadīt bez strīpiņas. Drošības pēc vienmēr iesakām lietot internetbanku drošās vietās, kur citi neredz ne tavus datus, ne bankas konta stāvokli.

    Par SK ID izvēli – bankas vienmēr ļoti, ļoti rūpīgi izvēlas savus sadarbības partnerus, kam jāiziet cauri ilgam un nopietnam procesam, kurā tiek izvērtēti visi riski un drošības aspekti. Jāatceras, ka Swedbank ir kredītiestāde ar atbilstošu regulējumu, tāpēc arī mūsu partneri atbilst visām likumdošanas prasībām. Ja neatbilstu, mēs noteikti pat neapsvērtu iespēju sadarboties. Atceries, ka ne tikai Swedbank šo uzņēmumu atzinuši par drošu sadarbības partneri, bet arī mūsu kolēģi SEB bankā.
    SK ID izvēlējāmies šādu iemeslu dēļ:
    1) Viņi jau daudzus gadus nodrošina elektroniskās identitātes un droša elektroniskā paraksta pakalpojumus Igaunijas tirgū atbilstoši visiem normatīvajiem aktiem. Piegādātājs atbilst ne tikai jau esošajam regulējumam droša elektroniskā paraksta jomā, bet arī mūsu absolūti stingrākajām prasībām.
    2) Trešā puse nav nemaz tik ļoti trešā puse, kā sākotnēji varētu šķist. Esam vieni no uzņēmuma līdzīpašniekiem un Swedbank pārstāvji darbojas SK ID padomē – esam ieinteresēti, lai viss atbilstu mūsu drošības standartiem un biznesa interesēm ,tieši tāpat kā tas ir ar internetbanku un Swedbank mobilo lietotni.

    Ja runājam par klientu servisu, tad jā – katra jauna risinājuma ieviešanā tik lielai klientu masai, vienmēr atsevišķiem lietotājiem nāksies saskarties ar iepriekš neparedzētām problēmām. Ļoti ilgu laiku esam veltījuši šī risinājuma pamatīgai testēšanai, bet, protams, tāpat ir kur augt un to arī cītīgi katru dienu darām kopā ar SK ID. Pakalpojuma kvalitāti noteikti uzlabosim un pieslīpēsim.
    Mēs nevēlamies komentēt citus risinājumus tirgū un Smart-ID gadījumā tas arī nebūtu pareizi, jo Smart-ID ir elektronisks paraksts, nevis tikai kalkulators, kas ģenerē kodu vai aizstāj kodu kartes. Jā, Smart-ID nav pieejams offline režīmā un to arī tuvākajā laikā neplānojam ieviest. Mēs arī apzināmies, ka ar visu to, ka Latvijā ir ļoti jaudīgs internets, vietām ar to ir problēma, tomēr mobilais internets attīstās ārkārtīgi straujiem soļiem visā pasaulē un Smart-ID ir izstrādāts ar skatu uz nākotni, kad finanšu pakalpojumu izmantošana kļūs arvien populārāka tieši mobilajā lietotnē.

  5. Man Smart-ID iepatikās uzreiz. Protams, ir ko uzlabot, slīpēt, bet sajūta, ka tas ir tas uz ko vajadzētu iet.
    Ko gribētos, lai uzlabotu:
    1) Personas kods bez strīpiņas būtu labi, bet ne kritiski. Taču daudz noderīgāk būtu, ja pēdējais ievadītais personas kods paliktu atmiņā un nākošajā reizē nebūtu jāievada. Neesmu iedziļinājies, varbūt tur ar drošību kādi apsvērumi, kāpēc tā nav. Otrs variants, ka uzrakstot bankas lietotāja Nr. personas kods pats ielec vietā – sajūgti savstarpēji. Konts jau arī ir konkrētam cilvēkam ar konkrētu personas kodu. Tie kas lieto kontu kopēji – tik un tā līgums par kontu ir uz konkrētu vienu cilvēku un viņa personas kodu.
    Jebkurā gadījumā gribētu, ka Smart-ID pilnībā aizstātu kodu kalkulatoru. Un nebūtu nekādu ierobežojumu ne summās, ne limitos, utt. Kodu kalkulatoru nēsāt vienmēr līdz ir tiešām neērti. Uzskatu, ka tajā nav nekā tāda, ko nevarētu iebūvēt telefonā. Cik saprotu ne jau dzelzis ir noteicošais, bet softs.
    Ja nu kas, tad nozagt, pazaudēt var gan vienu gan otru.
    Un ja tiešām Smart-ID būs arī kā elektroniskias paraksts, tad vispār ideāli. Ja drošībai vajag var arī vēl garākus tos PIN kodus. Iegaumēt divus vienalga cik garus(sev saprotamu ciparu virkni) ir vieglāk kā dažādus īsus katrai ierīcei, vietnei, kuri vēl mainās ik pa laikam.

  6. Man Smart-ID uzlikās uz Huawei p9 lite uzlikās smuki un bez problēmām, bet jā kad gribu ielogoties bankā ir brīži kad tas notiek diezgan ilgi jo Smart-ID iepauzē visu pasākumu, bet dažbrīd ir brīži kad viens divi un esmu interneta bankā…

  7. Ar interesi izlasīju. No savas puses varu pateikt vienu – man tā bija burtiski mīlestība no pirmā brīža. Beidzot kaut kas tāds, kādam tam arī būtu jābūt. Nevis kārtējais šedevrs pēc labājkajiem LV e-pārvaldes paraugiem. Smart-ID raksturo pirmkārt jau spēcīga tehniskā filozofija – izmantot rīcībā esošu infrastruktūru neieviešot neko papildus. Proti, publiskais sakaru tīkls un viedtālrunis. Nekādu viedkaršu, nekādu lasītāju, nekādu saknes sertifikātu (kas neatnāk un laikam nekad neatnāks ar Windows Update :), nekādu maksas cenrāžu, utt. Šādi LV identifikācijas un paraksta tehnoloģijai vajadzēja izskatīties no paša sākuma, un es ceru, ka atradīsies kāds, kam pietiks drosmes to skaidri pateikt. Un ne tikai pateikt – bet rīkoties. Vienā vārdā – skaisti. SwedBank – malači.

  8. Jautājums, kāda gan drošība, ja 50kodu vietā jāatceras tikai divi un tie paši vien ir jāievada visu laiku nepārtraukti. Būtu drīzāk, ka jāievada 30sekunžu vietā kāds ģenerētais kods katru reizi jauns no mob -> datorā vai otrādi.
    Un vecāki cilvēki tāpat pierakstīs kodus un viņi diez vai mācēs rīkoties ar viedtālruni.

  9. Pilnīgi bezjēdzīga padarīšana, prasa daudz vairāk laika nekā parasti izmantojot internetbanku

Atbildēt

Jūsu e-pasta adrese netiks publicēta.