Kody SMS zamiast legitymacji. Twórca Kanarka hakuje weryfikację tożsamości

Jak sprawdzić, czy pracownik banku jest tym, za kogo się podaje? SIUP ma to SMS-ową receptę. Kod jednorazowy może zadziałać też z innymi technologiami, np. z aplikacjami mobilnymi

W trakcie #WarsawHacks jego zespół postanowił zmierzyć się z problemem służbowych legitymacji.

Nie ufaj – sprawdzaj

– mówi Michał Tajchert, współtwórca projektu System Identyfikacji Urzędników Publicznych – w skrócie: SIUP.

Są nagminnie fałszowane i zupełnie nie sprawdzają się przy kontakcie telefonicznym – w efekcie są bardzo często używane do wyłudzeń czy oszustw. Obywatele nie mają możliwości weryfikacji papierowych legitymacji, a spisanie danych jest niewygodne.

– dodaje Michał Tajchert, który na swoim koncie ma stworzenie aplikacji do sprawdzania jakości powietrza – Kanarek. Zespół uzupełniają zaś Magdalena Olszyńska (product design) i Krzysztof Daszuta (security/hardware).

Problem dotyczy nie tylko funkcjonariuszy publicznych. Jak weryfikować tożsamość pracowników banków, kiedy dzwonią do nas z ważną informacją o koncie. Jak sprawdzić czy osoba sprawdzająca instalację jest pracownikiem elektrowni?

Rozwiązaniem ma być system weryfikacji tożsamości bazujący na kodach OTP znanych z bankowości.

Wystarczy, że pracownik publiczny poda nam kod OTP i możemy go zweryfikować, wysyłając SMS. Nie wyeliminuje to legitymacji jutro, ale za 10 czy 20 lat już może, a do tego czasu znacznie zwiększy poziom bezpieczeństwa czy zaufania

– podkreśla Michał Tajchert.

Każdorazowo proces byłby uruchamiany przez mieszkańca:

System nie wymaga aplikacji. Może bazować jedynie na SMS-ach lub na stronie internetowej, a dodatkowo zostawia ślad kontaktu i umożliwia ocenę kontaktu.

Integracja z mObywatelem

Jako że hackaton zorganizowało miasto stołeczne, twórcy SIUP rozważają program pilotażowy w aplikacji Miejskiego Centrum Kontaktu 19115.

Z takim pomysłem człowiek się zastanawia, dlaczego tego nie ma od dekady, powiedzieli nam przedstawiciele Warszawy

– wspomina Michał Tajchert.
Dowód osobisty, mObywatel (obecnie), kontra SIUP.

Przedsiębiorca podkreśla jednak, że wprowadzenie aplikacji może spotkać się z oporem wśród samych urzędników. W końcu może to być dodatkowy kanał zgłaszania skarg. Obywatel może więc zapisać sobie OTP od pracownika, z którym rozmawia, jeśli później zechce wystawić mu ocenę.

Część urzędników będzie negatywnie oceniana ze względu na pełnione funkcje, jednak SIUP pozwoli wyłapać systemowe problemy

– dodaje Michał Tajchert.

SIUP miał się również spodobać przedstawicielom mObywatela. Integracja z ogólnopolską aplikacją umożliwiłaby szybką adopcję rozwiązania.

W mObywatelu miał powstać projekt mWeryfikacji – weryfikacji obywatela. My chcemy odwrócić role, by móc zweryfikować pracownika publicznego

– przewiduje Michał Tajchert.

Później zespół chce zbadać możliwość wykorzystania blockchaina do przechowywania informacji o wizytach i autoryzacjach.

Blockchain oferuje transparentność i niezmienność danych. Chcemy uniknąć tworzenia rozwiązania na podstawie buzz-wordów w branży, choć w tym przypadku widzimy spore zalety

– podsumowuje Michał Tajchert.