Dawno nie pisaliśmy o tym co u nas się dzieje, a działo się u nas, jak u wszystkich w branży IT/internetowej, całkiem sporo „bo RODO„. Końcówka 2017 roku i początek 2018 opiewały w szybie i intensywne przygotowania systemów naszych klientów do regulacji przepisów, część klientów na ostatnią chwilę wdrażało potrzebne zmiany.
Przystosowanie klientów do nowej perspektywy postrzegania danych osobowych i systemów ich przetwarzających według filozofii privacy by default oraz security by design wymagało czasami wiele rozmów i wsparcia kancelarii prawnych do ich utrwalenia :) Niemniej otworzyło to drogę do wprowadzenia nowych rozwiązań bezpieczeństwa w wykonanych systemach informatycznych. Rozwiązań które dla nas były naturalne, jednak ze strony klienta często odbierane jako dodatkowe obciążenie finansowe i użytkowe. Przed RODO przy logowaniu powszechnie stosowaliśmy mechanizmy powiadomień mailowych w przypadku logowania z nowej lokalizacji, podobne jak realizuje Google, Apple czy Facebook.
Po 25 maja 2018 roku dyskusja na temat bezpieczeństwa stała się dużo prostsza. Dzięki temu w kilku projektach wprowadzaliśmy nowe rozwiązania bezpieczeństwa.
Hasła jednorazowe (ang. one-time password, skrót OTP)
Czyli potwierdzenie operacji w systemie IT dodatkowym, jednorazowym hasłem. Bardzo spopularyzowane w Polsce dzięki bankowym potwierdzeniom wykonania przelewu poprzez wpisanie dodatkowego hasła: otrzymanego SMSem, kodu ze zdrapki czy z tokena czasowego.
Do naszych systemów przygotowaliśmy dodatkową opcję logowania opartą o OTP. Zamiast przepisywania kodu z SMSa, klient instaluje na swoim telefonie aplikację Google Authenticator lub – jeszcze lepiej – open sourceowy odpowiednik FreeOTP dostępny dla Androida i iOSa. Następnie w momencie logowania należy przepisać kod wyświetlany w aplikacji w danym momencie.
Autoryzacja fizycznym kluczem (U2F)
Dla osób którym przepisywanie kodu z telefonu jest zbyt uciążliwe oferujemy lepsze rozwiązanie bezpieczeństwa. Stosowanie fizycznego klucza USB, bez którego nie da się zalogować do systemu. Taki klucz można zakupić za kilkadziesiąt złotych, wyposażony jest w port USB, którym podłączasz go do komputera. Dodatkowo wyposażony jest w NFC dzięki czemu możesz go wykorzystać również do dodatkowej weryfikacji przy logowaniu na telefonie komórkowym.