Skip to content

Πόσο ασφαλής είναι η έκδοση πιστοποιητικού με χρήση κωδικών eBanking;…του Νίκου Σίμου

Ζούμε σε μια εποχή που η τεχνολογία εξυπηρετεί τον άνθρωπο και τον πολίτη όσο ποτέ άλλοτε. Όλο και περισσότερες καθημερινές ενέργειες και εργασίες μπορούν να γίνουν μέσω ενός υπολογιστή ή ακόμα και ενός κινητού. Από ψηφιακές αγορές ενδυμάτων, τροφίμων και υπηρεσιών, μέχρι την έκδοση πιστοποιητικών, βεβαιώσεων και την εικονική κατάθεση πινακίδων κυκλοφορίας. Βιώνουμε αυτό που συνεχώς αναφέρεται ως «Ψηφιακός Μετασχηματισμός». Πώς όμως φτάσαμε ως εδώ;

Στα πρώτα χρόνια της έκρηξης του Internet, οι ιστότοποι εξυπηρετούσαν σχεδόν αποκλειστικά γενική πληροφόρηση, με, ως επί το πλείστον, στατικό περιεχόμενο. Η μετάβαση από την γενική πληροφόρηση στο προσωποποιημένο περιεχόμενο και στις υπηρεσίες (webmail, social media, fora, eshops), δημιούργησε την ανάγκη πιστοποίησης των χρηστών και κάπως έτσι φτάσαμε στη δημιουργία και χρήση δεκάδων κωδικών. Η επόμενη εξέλιξη ήταν η επικοινωνία μεταξύ διαφορετικών εφαρμογών, προκειμένου ο χρήστης να απολαμβάνει ενιαία και ολοκληρωμένα ένα σύνολο υπηρεσιών, και η μοναδική λύση για αυτό θα ήταν η καταχώρηση των στοιχείων πρόσβασης της μια εφαρμογής στην άλλη, κάτι το οποίο αποτελεί σοβαρότατο κίνδυνο.

Και κάπου εδώ εμφανίζεται το ΟAuth 2.0, ένα ανοιχτό πρωτόκολλο εξουσιοδότησης (authorization) που επιτρέπει την πιστοποιημένη ανταλλαγή συγκεκριμένων πληροφοριών μεταξύ εντελώς διαφορετικών εφαρμογών, χωρίς την ανταλλαγή των στοιχείων πιστοποίησης (username/password). Θα μπορούσε να παρομοιαστεί σαν ένα κλειδί που έχει ένα συνεργείο καθαρισμού κτηρίων, το οποίο δεν ανοίγει όλες τις πόρτες, αλλά μόνο αυτές για τις οποίες έχει συμφωνηθεί μεταξύ του συνεργείου και του ιδιοκτήτη.

Φτάνει λοιπόν αυτή η στιγμή που χρειαζόμαστε μια εξουσιοδότηση, αλλά λόγω καραντίνας, τα ΚΕΠ είναι κλειστά και αποφασίζουμε να κάνουμε χρήση αυτής της νέας υπηρεσίας που επιτρέπει την έκδοση υπεύθυνων δηλώσεων χωρίς να πρέπει να πιστοποιηθεί το γνήσιο της υπογραφής. Τη χαρά όμως διαδέχεται τρόμος τη στιγμή που το σύστημα μας ζητά να συνδεθούμε με χρήση κωδικών ΓΓΠΣ ή κάποιας τράπεζας!!! Τα ερωτήματα βομβαρδίζουν τον εγκέφαλο! Τι τα θέλουν όλα αυτά; Θα με χρεώσουν; Θα με φορολογήσουν; Θα με φακελώσουν ότι εξουσιοδότησα κάποιον να αγοράσει αυτοκίνητο;

Ας εξετάσουμε λοιπόν τη διαδικασία πιστοποίησης σε 4 απλά βήματα.

Βήμα 1ο: Εσείς, ο Resource Owner, θέλετε να επιτρέψετε την εφαρμογή έκδοσης υπεύθυνων δηλώσεων (Client), να προσπελάσει ονοματεπώνυμο, Αριθμό ταυτότητας, διεύθυνση κατοικίας και ΑΦΜ που βρίσκονται στη ΓΓΠΣ. ΔΕΝ ζητά τη φορολογική σας δήλωση ούτε το ύψος των τραπεζικών σας καταθέσεων.

Βήμα 2ο: Γίνεται μεταφορά της κίνησης σε κάποιον server στον οποίο έχουμε κωδικούς χρήσης, δηλαδή στην ΓΓΠΣ ή σε κάποια τράπεζα. Αυτός ονομάζεται Authorization Server.

Βήμα 3ο: Ο Authorization Server, δηλαδή η ΓΓΠΣ ή τα eBanking των τραπεζών, σας πιστοποιεί, ενώ αν δεν είστε ήδη συνδεδεμένος, τότε εμφανίζει την οθόνη σύνδεσης (login) στην οποία εισάγετε Username και Password. Τονίζω ότι τα στοιχεία αυτά δεν τα καταχωρείτε στην εφαρμογή υπεύθυνων δηλώσεων αλλά στον Authorization Server (ΓΓΠΣ, eBanking).

Βήμα 4ο: Ο Authorization Server εμφανίζει τη φόρμα συναίνεσης στην οποία αναγράφονται οι πληροφορίες που ζητά η εφαρμογή υπεύθυνων δηλώσεων (ΑΦΜ, Όνομα, Επώνυμο, Πατρώνυμο, Μητρώνυμο, Έτος Γέννησης) και στην οποία καλείστε να συναινέσετε, προκειμένου να συνεχιστεί η διαδικασία, ή όχι.

­­­­

Το κείμενο ακροβατεί μεταξύ τεχνικών λεπτομερειών και περιγραφής λειτουργικότητας, όμως αυτό που έχει ουσία είναι ότι ίσως για πρώτη φορά η πολιτεία υιοθετεί σύγχρονες τεχνολογίες προς όφελος του πολίτη εφαρμόζοντας καινοτόμες και πρωτόγνωρες διαδικασίες. Δεν ζητά τους κωδικούς μας για να μάθει τις τραπεζικές μας καταθέσεις ή να μας πάρει τα χρήματα. Αυτό άλλωστε μπορεί να το κάνει και χωρίς τους κωδικούς μας.

Παρόλη τη δυσπιστία που έχει δημιουργήσει και καλλιεργήσει και τις αγκυλώσεις που έχει επιδείξει μέχρι τώρα η πολιτεία, η δυνατότητα έκδοσης πιστοποιητικών χωρίς την φυσική παρουσία σε δημόσιες υπηρεσίες, η κατάθεση πινακίδων κυκλοφορίας χωρίς την αναμονή σε ατελείωτες ουρές, η συμπλήρωση υπεύθυνης δήλωσης χωρίς την μετάβαση σε ΚΕΠ φαντάζουν τόσο πρωτοποριακά όσο ίσως η ανακάλυψη του ηλεκτρικού λαμπτήρα στις 27 Ιανουαρίου 1880. Και η χρήση του OAuth εγγυάται την ιδιωτικότητα των πληροφοριών μας.

This Post Has 0 Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Back To Top