Rublon - Polski pomysł na Internet bez haseł

Logowanie do serwisów bez użycia haseł opisywałem już przy okazji uruchomienia serwisu Neko.io oraz przy próbie uruchomienia podobnego rozwiązania przez Google z wykorzystaniem kodów QR. W przypadku pierwszego serwisu logowanie następuje poprzez wprowadzenie w aplikacji na telefonie, wygenerowanego na stronie kodu (ważnego 60 sekund). Do konta przyporządkowany jest nasz identyfikator, telefon oraz kod, którym możemy odblokować aplikację po uprzednim zablokowaniu w wyniku kradzieży czy zgubienia. Google, po zeskanowaniu kodu, wymagał zalogowania się na konto Gmail w telefonie.

W tych dwóch rozwiązaniach, w przypadku utraty telefonu, wystarczył więc dostęp do Internetu, by uniemożliwić osobom niepowołanym na dostęp do naszych kont w serwisach, do których wykorzystywaliśmy ten sposób logowania. Google pracuje nad udoskonaleniem swojego pomysłu, pojawiły się głosy, iż nie jest to do końca bezpieczne rozwiązanie, związane z możliwością przejęcia zrzutu ekranu z naszym kodem QR. Mepin działa nadal, jak opisywałem we wcześniejszym wpisie.

Spójrzmy teraz na nasz polski pomysł na Internet bez haseł - Rublon. Serwis uruchomiony jest w trzech wersjach językowych: polski, niemiecki i angielski. Zakładanie kont możliwe jest w tym momencie tylko dla polskich numerów i dla posiadaczy Androida.

Rejestrujemy swoje konto, przy użyciu numeru telefonu, na który przychodzi kod, który wpisujemy w aplikacji w telefonie. Następnie parujemy nasz smartphone z kontem na stronie Rublon, poprzez zeskanowanie aparatem wygenerowanego kodu QR. Podczas zakładania konta na stronie podajemy swoje dane wraz z loginem i adresem email, na który przychodzi prośba o potwierdzenie założenia przez nas konta.

W tej chwili, możemy testować takie logowanie w jednym serwisie. Mnie się nie udało, próbowałem kilkanaście razy, na różnych przeglądarkach, za każdym razem kończyło się takim oto oczekiwaniem.

Mimo wszystko zdecydowałem się na opisanie tego serwisu. Z dwóch powodów. Raz, iż serwis jest dostępny publicznie, mogą z niego korzystać wszyscy użytkownicy, którym mogą pojawić się podobne wątpliwości co u mnie. Dwa, może to dobry pomysł, po dopracowaniu niedociągnięć, więc pokusiłem się o kilka uwag i spostrzeżeń.

Pierwsza uwaga przyszła mi na myśl już podczas zakładania konta na Rublon. Podałem login, który w wielu serwisach już na pewno istnieje czyli moje imię. Podejrzewam, iż z tego powodu nie chciało mnie "wpuścić" do wymienionego wyżej serwisu.

Następną wątpliwość wzbudza fakt powiązania tego konta z numerem telefonu (z założenia, ale o tym później). W przypadku telefonu z abonamentem to mniejszy problem, gdy zgubimy aparat blokujemy u operatora. Prepaid to konieczność rejestracji numeru i czasem skomplikowana operacja uzyskania duplikatu z tym samym numerem. Przy założeniu, że jednak już mamy nowy aparat i ten sam numer. Instalujemy ponownie aplikację na telefonie, ale nie mamy kodu weryfikacji. W sms-ie z kodem, otrzymanym podczas rejestracji, nie poinformowano mnie, że muszę go zachować ku pamięci na zawsze. Kolejnego kodu dla numeru, istniejącego już w bazie nie wygenerujemy ponownie.

Wróćmy teraz do powiązania konta z numerem telefonu. Mimo nieudanej próby zalogowania na podanym serwisie, mam potwierdzenie założenia konta na Rublon, więc teoretycznie wszystko powinno działać, przynajmniej po stronie samej aplikacji w telefonie. Sprawdziłem więc czy aplikacja zadziała po wyjęciu karty SIM.

Po połączeniu z siecią WiFi program uruchomił się bez karty SIM z moim numerem telefonu, na dodatek po zeskanowaniu kodu na stronie poinformował mnie o udanym zalogowaniu. Pomijając fakt niedziałającej opcji logowania w podanym serwisie, taki komunikat dyskwalifikuje ten pomysł na ten czas, przynajmniej dla mnie. Twórcy maksymalnie upraszczając korzystanie z tej formy logowania, nie wzięli pod uwagę ewentualnych problemów użytkowników z niego korzystających. Wydaje mi się, że brakuje przede wszystkim konta online z dostępem do sparowanych urządzeń z naszym kodem QR, gdzie możemy dodawać kolejne i usuwać te, które utraciliśmy.

Nawet jeśli się mylę w moich rozważaniach, twórcy pomysłu powinni powyższe wątpliwości, które mogą się pojawić u innych potencjalnych użytkowników, rozwiać już na swojej stronie, co niestety nie zostało uczynione.

Sam pomysł logowania się do serwisów bez haseł i loginów bardzo mi się podoba. Z niecierpliwością czekam na rozwiązanie, które do końca rozwiąże problem zagubienia sparowanego urządzenia. Na ten czas, powstające serwisy wzbudzają wiele moich wątpliwości w tym zakresie. Wolę polegać nadal na swojej pamięci do nawet trudnych haseł niż zamartwiać się co z dostępem do moich kont, w przypadku utraty takiego aparatu.