Seksjonen forskning består av saker som er skrevet av ansatte i Forskningsrådet, Sintef, NTNU og UiO.
– Vi har sett hvordan løsningen kan knyttes mot banken uten å gi for mye informasjon om brukeren, og hvordan data flyter mellom autentiserings- eller innloggingsløsningen og selve applikasjonen, sier seniorforsker Halbach. (Bilde: Colourbox)

E-ME

Er vi klare for pengetransaksjoner via Facebook?

Prototypen til norske forskere fungerer.

  • Forskning

Sosiale medier er ikke bare sosiale lenger - de brukes også til mer formell kommunikasjon, for eksempel når politiet sender ut oppdateringer på Twitter, eller en interesseorganisasjon organiserer seg via en Facebook-gruppe.

Etter hvert som den formelle kommunikasjonen øker, kan det også bli aktuelt med pengetransaksjoner via sosiale medier.

Kanskje du vil samle inn til en gave når far fyller 70 år, eller hente inn det du la ut for venner ved gårsdagens restaurantbesøk.

I det norske forskningsprosjektet e-Me - Inkluderende identitetsforvaltning har seniorforsker Till Halbach ved Norsk Regnesentral utviklet en løsning som kan gjøre det mulig.

Folkefinansiering: Slik får du penger til din idé

Testet innloggingsløsning

Utgangspunktet var behovet for å prøve ut en innloggingsløsning forskerne hadde laget, med mulighet til å velge mellom fem ulike innloggingsmetoder - for eksempel med lyd eller bilde istedenfor passord.

Dagens løsning for innlogging med brukernavn og passord som skrives inn, kommer ikke til å være tilstrekkelig i fremtiden.

Tjenestetilbydere på nettet må være forberedt på å kunne tilby flere kanaler for identifikasjon, for å være tilgjengelige for mennesker med ulike behov.

Forskerne trengte noe med høye sikkerhetskrav, som var godt forankret i hverdagen på nett, og kunne brukes av eksisterende sosiale medier.

Les også: Klarer Facebook å endre måten vi bruker mobil på?

Mindre målestokk

Riitta Hellman i selskapet Karde var prosjektleder, og forteller at vennebetaling ble et opplagt eksempel på formelle, sikkerhetskrevende transaksjoner i en mindre skala.

– Et lite forskningsprosjekt kan ikke etterape en bank med alt det som foregår der, sier hun.

Prosjektlederen mener sammensmelting av tjenester er en av dagens trender, og at de sosiale arenaene også vil konvergere.

– Sosiale og uformelle medier kan fort inneholde noe mer formelt, sier hun. Prototypen fungerer, men er så langt ikke plukket opp av noen tjenestetilbydere.

Les også: Tre tjenester du bør slutte å betale for

Knytte opp kredittkort

Forskerne laget et eget rammeverk rundt betalingsløsningen, som simulerte et sosialt medium. For at en aktør som for eksempel Facebook skulle kunne ta spleiselags-appen i bruk, ville de måtte erstatte sin egen autentiseringsløsning med den de norske forskerne laget, eller en annen løsning med høyt nok sikkerhetsnivå.

Deretter måtte appen pakkes inn i et format som kan tilbys brukerne. En kobling mot en bank ville også være nødvendig.

– Det ville fungere på en lignende måte som PayPal, hvor du kan knytte et kredittkort opp mot din brukerkonto og hente eller betale penger via det, sier Halbach. Han har ikke klart å finne noen tjenester med tilsvarende funksjonalitet i eksisterende sosiale medier.

– Jeg leste for en stund siden at Facebook jobbet med en betalingsløsning. Men de har alltid snakket om mobil lommebok først. Når de har det på plass, kan det hende de vil gå videre, sier Halbach.

De norske forskerne har altså vist at det er mulig å ha en betalingsløsning i sosiale medier, og at det kan gjøres på en sikker og tilgjengelig måte, samtidig som personvernet ivaretas.

– Vi har sett hvordan løsningen kan knyttes mot banken uten å gi for mye informasjon om brukeren, og hvordan data flyter mellom autentiserings- eller innloggingsløsningen og selve applikasjonen, sier Halbach.

– Siden dette var et forskningsprosjekt, hadde vi ingen målsetning om å gå videre til et produksjonssystem og tenke kommersialisering. Vi stoppet med prototypen, sier han.

Les også: Nå kommer Visas Paypal-konkurrent

 

Et skjermbilde fra spleiselags-prototypen. (Bilde: NR)

Engstelige

Riitta Hellman i Karde AS har ledet e-Me-prosjektet.
Riitta Hellman i Karde AS har ledet e-Me-prosjektet. Anne Enger
Dagens sosiale medier har innlogging og selve tjenesten fra en og samme aktør. I løsningen til de norske forskerne er det snakk om to forskjellige moduler som potensielt kan ha ulike leverandører.

Halbach forteller at forskerne gjorde en brukerundersøkelse, som tydet på at mange er engstelige for å blande betaling og sosiale medier.

– Folk har nesten en ærefrykt for sin nettbank. Det kan være en av grunnene til at større aktører har holdt litt igjen. Kanskje markedet ikke er modent. Til syvende og sist handler det om brukernes tillit til tjenesteleverandørene, og folk flest skiller ikke mellom applikasjoner i Facebook-verdenen og Facebook selv, sier han.

En av målsetningene i prosjektet var å lage en løsning som kunne heve innlogging som vi kjenner i dag fra mange sosiale medier opp på et høyere sikkerhetsnivå, og gjøre det på en inkluderende måte.

Innloggingsløsninger blir klassifisert i fire sikkerhetsnivåer, hvor enkle innloggingsmekanismer, som brukernavn og passord, kun gir tilgang til visse typer data.

– For å få tak i sensitive data kreves det tokanals-autentisering, hvor den andre delen for eksempel kan være engangspassord som blir sendt til mobilen. Vi viste at det er mulig med en innloggingsmekanisme som kan være en tokanalsløsning. Det vil si samme sikkerhetsnivå som i dag brukes til betaling eller pasientdata, sier Halbach.

Les også: Norske fysikere vil gjøre PC-oppstarten lynkjapp

Separate siloer

Seniorforsker Till Halbach ved Norsk regnesentral.
Seniorforsker Till Halbach ved Norsk regnesentral. NR
Om sosiale medier ikke hever sikkerheten i fremtiden, så kan i alle fall deler av tjenestene ha et hevet sikkerhetsnivå.

– Vi gjorde det ved å sette en øvre grense for betalinger som kan utføres uten ny innlogging, og i tillegg ga vi innloggingen et tidsstempel som kun gjør den gyldig i en begrenset periode, forteller Halbach.

Persondata er en litt annen utfordring enn risikoen for tjuveri, og når det gjelder sosiale medier, samler de allerede inn mye informasjon om oss, som de selger på markedet for målrettet reklame. Vil en applikasjon for spleiselag bety enda mer persondata i klørne på Facebook?

– Det kommer an på om det blir Facebook eller en annen aktør som lager en slik applikasjon. En annen aktør kan lage en egen silo som bare i veldig begrenset omfang utveksler informasjon med andre siloer, for eksempel Facebook og banken, sier Halbach.

– Poenget er å ha siloer som er adskilt. Facebook-siloen, applikasjons-siloen, innloggings-siloen og bank-siloen. Informasjonen som utveksles mellom dem må være så lite så mulig og transparent for brukeren, sier forskeren.

Applikasjonen for spleiselag i sosiale medier er skalerbar og for såvidt klart til å brukes i produksjonsomgivelser, men forskerne har ikke fått noen telefoner fra aktører med kommersialiseringsplaner enda.

Denne artikkelen er levert av VERDIKT (Kjernekompetanse og verdiskaping i IKT), som er Forskningsrådets store program for IKT-forskning.

Les mer:

I august forsvinner kaffekoppen fra nettbankene

Slik kan Google Glass gjøre minibanken sikrere