Biometria w bankach przyśpieszy, bo mamy dość haseł

Jeśli rozwiązania biometrycznej identyfikacji klientów i użytkowników rosnącej ilości serwisów nie zostaną szybko wdrożone to za pięć lat każdy z nas będzie potrzebował średnio 200 haseł do logowania się. To niebezpieczne. Potrzebne są nowe metody weryfikacji użytkownika.

Internauci nie są zbyt pomysłowi w zakresie tworzenia haseł do logowania. Sporo osób używa takich samych haseł w różnych serwisach, tylko nieliczni, najbardziej technicznie zaawansowani, korzystają z odpowiednich algorytmów generujących elektroniczne przepustki.

Według badań firmy Telesign aż 73 proc. dorosłych internautów w USA i Wielkiej Brytanii używa tylko jednego hasła do wszystkich miejsc w internecie wymagających logowania, a 54 proc. badanych w całym swoim dotychczasowym życiu stosowało najwyżej pięć haseł. 47 proc. korzysta z hasła, które nie było zmieniane od pięciu lat! To doskonała wiadomość dla hakerów i oszustów. W tym aspekcie fakt, że 7 proc. amerykańskich internautów doświadczyło w swoim życiu kradzieży cyfrowej tożsamości nie może dziwić. Konsekwencją była utrata przeciętnie sumy 2140 dolarów.

Jeśli to się nie zmieni ryzyko będzie coraz większe. Również w Polsce. W badaniu TNS w 2014 roku najwięcej posiadanych haseł zadeklarowali użytkownicy portali społecznościowych (34 proc. ma cztery lub więcej haseł). Najmniej zadeklarowali użytkownicy kart płatniczych (41 proc. posługuje się jednym PIN). Generalnie więc większość polskich respondentów korzysta zaledwie z jednego lub dwóch haseł dostępu.

Rozwiązania biometryczne mogłyby ograniczyć zagrożenia, ale przyjmują się one bardzo powoli. Większość instytucji finansowych w dalszym ciągu wymaga tradycyjnego loginu i hasła. Technologia jednak rozwija się coraz szybciej i proponuje nowe i bezpieczniejsze sposoby zabezpieczania cyfrowego dostępu, szczególnie poprzez urządzenia mobilne. Obecnie możemy mówić, o co najmniej kilku bardziej zaawansowanych możliwościach logowania. Należą do nich:

• podwójne uwierzytelnienie – użytkownik musi pamiętać tylko login lub hasło, bądź numer telefonu albo adres e-mail – kod dostępu wysyłany jest e-mailem lub SMS, czasem po weryfikacji geolokalizacji właściciela telefonu
• logowanie poprzez sieć społecznościową (Facebook, LinkedIn lub Twitter)
• potwierdzenie tożsamości użytkownika smartfona poprzez zalogowanie na innym urządzeniu i weryfikacja poprzez połączenie bluetooth

Największe możliwości stwarza jednak biometria. Firma Deloitte w raporcie A World Beyond Passwords podaje, że 31 proc. osób w wieku 18-24 lata już posługuje się odciskiem palca korzystając ze swojego telefonu, a do końca 2017 roku w użyciu będzie już miliard telefonów z czytnikami linii papilarnych. Nieco mniej popularnym sposobem jest logowanie się głosem czy za pomocą siatkówki oka.

Pojawiają się też coraz ciekawsze rozwiązania, szczególnie te dotyczące bankowości mobilnej. Firma EyeVerify zbudowała aplikacje, która umożliwia logowanie się do mobilnych urządzeń i finansów poprzez spojrzenie w zamontowaną w smartfonie kamerę. Usługa pod nazwą EyePrint ID polega na przesłaniu zdjęcia oka szyfrowanym połączeniem odpowiadającym 50-cyfrowemu hasłu i porównanie go z wzorcem. Dokładność tego biometrycznego rozwiązania jest bliska 100 proc. Zaadoptowały je między innymi Arizona Federal Credit Union i Mountain America.

Podobną technologię opartą o wysłanie zrobionego smartfonem selfie (skanowanie twarzy) proponuje firma Mitek z Doliny Krzemowej. Logowanie twarzą lub głosem wprowadził w zeszłym roku amerykański bank USAA. Podobnie brytyjski AtomBank.

W Polsce pierwszą instytucją finansową, która wprowadziła w zeszłym roku logowanie głosem był SmartBank, jednak bankowa biometria mobilna to na naszym rynku ciągle rzadkość. W Słowacji jeden z największych tamtejszych banków – Tatra banka – wdrożył w swoim call center biometrię głosową Nuance FreeSpeech, która pozwala na bezpieczne i automatyczne uwierzytelnianie klienta. W ciągu zaledwie 12 miesięcy ponad 70 proc. klientów zaczęło korzystać z tej metody uwierzytelniania, a średni czas tego procesu w biurze obsługi skrócił się o 66 proc. Oryginalne sposoby uwierzytelnienia daje też tzw. noszona technologia, np. opaski fitness – dzięki nim można zweryfikować klienta po biciu serca, czy przepływie krwi.

Najbardziej wiarygodne metody kontrolowania dostępu wynikają jednak z postępów sztucznej inteligencji. Wg Deloitte umożliwia ona już stosowanie dynamicznych systemów nadawania dostępu w oparciu o ocenę wiarygodności sposobu logowania. Uczące się algorytmy na bazie różnych sposobów identyfikacji uwzględniającej obraz lub wyraz twarzy, lokalizację GPS, wzorce zachowań (np. posługiwanie się klawiaturą na smartfonie, sposób mówienia lub chodzenia) będą kalkulować naszą wiarygodność i mogą decydować czy będziemy mieli pełny dostęp do nasze konta, czy tylko do wybranych jego funkcji.

Sztuczny grymas twarzy może więc zablokować przelew większej sumy bez dodatkowego uwierzytelnienia, tak samo może się stać jeśli nasz telefon znajduje się w niestandardowej lokalizacji. Na szczęście o ustawieniu odpowiednich zapór sami będziemy mogli decydować. O ich stosowaniu może przesądzać jednak fakt, że takie kody dostępu są dziesięciokrotnie bezpieczniejsze niż posługiwanie się odciskiem palca i stukrotnie lepsze niż używanie czterocyfrowego PIN-u.

Postęp technologiczny sprawi, że rynek biometryczny będzie szybko się rozwijał. Firma Goode Intelligence przewiduje, że do roku 2020 osiągnie on obroty 11 mld dol. Za pięć lat ma działać już ponad 620 milionów urządzeń mobilnych oraz 160 milionów sztuk noszonej technologii (wearables) uwierzytelniających transakcje o wartości 5,6 bln dol. Taki wzrost rynku jest pochodną postaw konsumentów – jak wynika z badań Visa, dwie trzecie europejskich klientów instytucji finansowych deklarują chęć stosowania biometrii przy dokonywaniu płatności, a ponad 70 proc. jest zainteresowanych stosowaniem dwuczynnikowych zabezpieczeń płatności elektronicznych.

30 proc. badanych zdarzyło się zrezygnować z zakupu w internecie ze względów bezpieczeństwa. Jak mówi Jonathan Vaux, dyrektor Visa Europe ds. innowacyjnego partnerstwa, biometria kreuje szansę uproszczenia i poprawienia doświadczenia klienta w kontaktach z instytucjami finansowymi. Dodaje jednak, że najlepsze rezultaty w zakresie bezpieczeństwa i komfortu użytkownika daje połączenie biometrii (opartej na prawdopodobieństwie podobieństwa) z innymi elementami uwierzytelniania (np. skan siatkówki plus lokalizacja). Badania wskazują, że bariery psychologiczne rozwoju rynku dla takich rozwiązań zostały już pokonane.

Mirosław Ciesielski
Wykładowca akademicki
specjalizuje się w rynkach finansowych

Czytaj także:

Biometria – klucz do przyszłości

Sezamie otwórz się! Biometria zmienia bankowość