If it ain’t broken – ZABA will fix it!

Nova verzija m-zaba mobilne aplikacije donijela jednu dobru, ali i jednu novost iz kategorije WTF – na ekranskoj tipkovnici za unos PIN-a se pri svakom pokretanju ispremiješaju tipke…

Da ne kažete kako sam vječito gunđalo, namćor i nadžak-deda (sve valjane primjedbe, uvjeravam vas) krenut ću od dobre novosti. Iako ne prva među hrvatskim bankama, Zagrebačka banka (ZABA) unutar m-zaba aplikacije sada možete uslikati 2D odnosno QR kod na računu/uplatnici i tako automatski popuniti nalog za plaćanje. Turbo korisna stvar za sve koji iz bilo kojeg razloga ne žele zaploviti u magični svijet e-računa/iračuna.. Kudos ZABA!

E sad je dosta pohvala – od druge novosti koju je donijela nova verzija aplikacije m-zaba se UI/UX ekipi valjda ježi svaka dlaka i dlačica na tijelu. Ekranska tipkovnica za unos PIN-a kod prijave u aplikaciju je prije bila standardnog, T9 rasporeda s kakvim se barem mi na ovim prostorima družimo pa tamo negdje od prvih Iskrinih telefona ETA iz 1980-tih.

I tu zapravo nemam ništa niti dodati niti oduzeti. Argumenti za ostaviti na miru jedno ovakvo općeprihvaćeno, rašireno i funkcionalno rješenje koje uz pomoć mišićne memorije značajno olakšava osnovnu zadaću odnosno unos PIN-a su očiti.

No, evo što kaže changelog uz m-zaba aplikaciju na Play Storeu:

The keyboard for entering PIN is changed to a variable keyboard layout – further alignment with the highest safety standards of mobile banking

Ovo pridonosi prije stopi krivo unesenih PIN-ova nego što rješava neki realan problem s mobilnim bankarskim aplikacijama

Dakle, varijabilni layout tipkovnice odnosno to što će aplikacija pri svakom pokretanju ispremiješati T9 ekransku tipkovnicu za unos pina bi trebao kao donijeti veću sigurnost. Besmrtnim riječima Nelsona Muntza iz Simpsona: “HA-ha!”.

Zanemarimo na trenutak činjenicu da svi religiozno brišemo ekrane svojih smartfona od tragova prstiju svako malo i gotovo refleksno, pa je slaba vajda nekome tko će se dočepati vašeg smartfona i pokušati dešifrirati gdje vi to najčešće lupate prstom.

Umjesto toga, uživite se u ulogu scenarista petparačkih CSI telenovela i zamislite da je moguće da se u nekom tajnom laboratoriju NSA ili neke slične troslovne agencije radi na nekakvom softveru/hardveru koji će od svih tih mrlja na ekranu razlučiti što su pritisci na ikonice, a što su tragovi unosa PIN-a na standardnoj T9 ekranskoj tipkovnici. Ili recimo hakerske braće Rusa koji rade na nečem sličnom. Nekako ne vjerujem u tako nešto, barem ne u opsegu koji bi trebao zabrinuti običnog malog čovjeka.

Gdje je ta velika opasnost od koje nas štite bankari? Gdje su potvrđeni slučajevi masovnih provala na račune stotina milijuna ljudi širom svijeta kroz otkrivanje PIN-a za mobilne aplikacije na osnovu tragova prstiju po ekranu?

Dobro, nije ovo baš posve besmisleno – ovakva randomizacija rasporeda tipki štiti od toga da vam netko “snimi” PIN dok ga ukucavate na javnom mjestu, mazne vam mobitel iz ruke i spuca vaš novac na koku, kurve, karte i kompjuterske igre sa Steama. Pod snimanjem se ne misli toliko na oko sokolovo lokalnog dugoprstića koliko recimo na malo sofisticiraniju ekipu koja bi iz prikrajka kamericom snimila rad vaših prstiju po ekranu.

Zvuči logično. No, u nedostatku vijesti o tome da se u stvarnom životu, na terenu tako skidaju PIN-ovi meni cijela ta priča o alignment with the highest safety standards of mobile banking zvuči prije kao ispunjavanje nekog bulleta s prezentacije o bankarskoj sigurnosti koje je netko gurnuo kao CYA (cover your ass), a bankarski svijet prihvatio kao dio latest buzzworda.

Padaju mi na pamet neki drugi, realni problem u svijetu elektroničkog bankarstva kojima se bankari, eto, ipak malo sporije bave… recimo problemi o kojima posljednjih par tjedana bruji fejsoblogosfera, te o njima piše Lucijan u svom osobnom stavu u Bugu.

UPDATE 1: kažu mi da ovakvu varijabilnu tipkovnicu za unos PIN-a otpočetka ima i PBZ u svojoj mobilnoj aplikaciji. Dakle, ni njih ne volem 😉

UPDATE 2: sličnu stvar, ali u sklopu elektroničkog bankarstva u browseru ima i portugalska Caixa Geral de Depósitos. E, ni njih ne volem!

UPDATE 3: mudar komentar s Fejsa by pojemario.com: “ne radi se o tome da će netko ići dešifrirati mjesta i mrlje po kojima si tipkao nego o tome da netko u tramvaju, na ulici ili u kafiću stoji iznad ili pokraj tebe i GLEDA te kako tipkaš PIN te vrlo lako zapamti koje si tipke pritisnuo po redosljedu. Tog istog ne sprečava ništa da ti istrgne telefon iz ruke ili ti ga ukrade par minuta kasnije iz torbe i počisti tvoj račun znajuči tvoj PIN.”