On 2019-07-17, Dawid Rutkowski <d...@w...pl> wrote:

[...]

> Co nie zmienia faktu, że wymaganie telefonu do logowania
> jest kretyńskie. Ale póki co na taką interpretację PSD2 wpadły
> tylko mBąk i pocztowy. Oby pozostali byli rozsądniejsi.

Nie sądzę. W wielu żródeł wynika, że uwierzytlnienie ma być silne.
A to oznacza:

---
Dyrektywa PDS2 dokładnie określa, jak bank powinien weryfikować
tożsamość użytkownika. W skrócie bank lub dostawca usług płatniczych
powinien wykorzystać dwa z trzech elementów:

- coś, co masz (np. telefon komórkowy)
- coś, co wiesz (np. hasło)
- coś, czym jesteś (czyli np. odcisk palca lub system rozpoznawania twarzy)
---

więc nie widzę obejścia. Oczywiście zamiast SMS pewnie można korzystać
z aplikacji banku i push notification. Alternatywą będzie jeśli system
system np. będzie weryfikować próbkę głosu, odcisk palca, czy właśnie
wygląd twarzy (np. jak w iPhone), ale póki co nie ma w tym zakresie
powszechych standardów (poza urządzeniami Apple).

Myślę, że płatności telefoniczne w systemie Apple Pay pozostaną bez-pinowe,
bo wykorzystują dwa pozostałe elementy (odcisk palca/face id/detekcję osoby
+ telefon/zegarek).

Google Pay, ze względu na mało powszechną i mniej wiarygodną implementację
systemow biometrycznych w telefonach z A. podejrzewam, że również będzie
wymagać okresowo PINów.

--
Wojciech Bańcer
w...@g...com