W dniu 2019-09-18 o 11:13, J.F. pisze:

>> A mi kołata się informacja, że PSD2 wymusza dwie rzeczy:
>> dwuskładnikowe uwierzytelnienie dla klienta, żeby strata loginy i
>> hasła nie była wystarczająca do zalogowania się do banku. A druga
>> rzecz, to nakazuje wystawić bankom API do komunikacji. Żeby właśnie
>> taka firma obsługująca płatności wchodziła po API, a nie udając
>> logowanie szeregowego klienta.
>
> Dokladnie.
> Przy czym celem dyrektywy jest raczej umozliwienie szerokiego
> zaistnienia takich firm ...

Jak dla mnie, to jest rozdzielenie kanałów komunikacji w celu większej
kontroli nad nimi. User loguje się na konto po webie, instytucja
finansowa po udostępnionym API. Jak taka firma wykorzystująca API banków
dostanie z jakiegoś powodu bana, to wyłączasz jej dostęp do API i już
sobie nie poszarżują. Gdy "po staremu" wchodzi logując się jako normal
user do web GUI banku, bank nie ma możliwość zweryfikowania czy to user
faktycznie czy ktoś "w imieniu" usera sie zalogował.

No chyba że zadziała na szerszą skale to:
https://www.mbank.pl/indywidualny/uslugi/uslugi/doda
tkowa-identyfikacja/
Prezentacja działania:
https://www.youtube.com/watch?v=y-zKCDqnP3k

Wtedy nawet po pijaku będą problemy z dostępem do własnego konta ;)
Ale można to tak zrobić, że jak taka żaróweczka się zapali na czerwono,
to nie zablokuje dostępu do konta, tylko uruchomi dodatkowy sposób
uwierzytelnienia, np właśnie sms, albo potwierdzenie mobilną aplikacją.
:)

Wtedy wilk syty i owca cała, nie ma komplikacji dla usera że trzeba coś
za każdym razem potwierdzać, a w razie "W" od wielkiego dzwony user
przepisze ten sms i pożar ugaszony :)



--
viktorius