W tym roku w USA rozpoczęto testy nowego systemu MasterCard Identity Check, który pozwala na autoryzowanie płatności online za pomocą „smartfonowych autoportretów” kupującego. Po pobraniu specjalnej aplikacji mobilnej dedykowanej obsłudze kart kredytowych można skanować swoją twarz, aby zatwierdzić płatność. Czy to dobry pomysł? Czy uwierzytelnianie poprzez rozpoznawanie twarzy w smartfonach zastąpi hasła, kody i PINy? Czy może poprawić bezpieczeństwo użytkowników mobilnych urządzeń?
W branży płatności online kluczem do odniesienia sukcesu jest bezpieczeństwo i łatwość obsługi, choć zwykle nie jest to łatwe połączenie. Najważniejszym elementem w procesie zabezpieczania transakcji płatniczej są metody uwierzytelniania. Te, które nie opierają się na kłopotliwych hasłach, zapewniają zarówno bezpieczeństwo, jak i łatwość użytkowania – zyskują na popularności przy zakupach online i w tradycyjnych sklepach. Nowe karty kredytowe i debetowe oferują obecnie transakcje zbliżeniowe przy użyciu technologii NFC (Near Field Communication), ale prawdziwa walka przenosi się do aplikacji mobilnych, które pozwalają na autoryzowanie płatności za pomocą smartfonów.
Najpierw były PINy i kody
PINy są stosowane w smartfonach przez ponad dekadę, ale stosunkowo powoli przyjmują się wśród użytkowników. Ponad 20% posiadaczy iPhone’ów nadal uważa PIN za bezużyteczny, pokazują badania przeprowadzone w 2015 r. dotyczące skutków wprowadzania technologii uwierzytelniania za pomocą odczytywania odcisków palców Apple Touch ID (w iOS 9 Touch ID odblokowuje nie tylko urządzenia, ale także poszczególne aplikacje). 30% firm nie wymaga od swoich pracowników korzystania z co najmniej alfanumerycznych haseł (ciągi liter i cyfr) na urządzeniach mobilnych, wynika z badań przeprowadzonych przez Champion Solutions Group.
PINy i alfanumeryczne kody dostępu są trywialne w aktywacji, a jednocześnie stosunkowo słabe, co częściowo wynika z tego, w jaki sposób są używane. Posługiwanie się często tymi samymi PINami i hasłami na wielu urządzeniach znacząco zwiększa ryzyko. I chociaż alfanumeryczne kody dostępu są trudniejsze do złamania, to zbyt wielu użytkowników wybiera takie, które łatwo odgadnąć, jak na przykład „123456” lub słowo „hasło”. Badania wykazały, że jeden na siedem iPhone’ów może zostać odblokowany za pomocą jednego z 10 najpopularniejszych PINów. Dlatego też najlepsze praktyki uwierzytelniania na urządzeniach mobilnych obejmują ustanawianie i egzekwowanie użycia haseł o odpowiedniej długości i złożoności. Dzięki temu kody dostępu stają się trudniejsze do odgadnięcia.
Smartfon portfelem
Apple Pay i aplikacje Google Wallet, które zamieniły smartfony w portfele, pozwalają na dokonywanie płatności zbliżeniowych za pomocą telefonów Apple lub Android, a niedawno dołączył do nich MasterCard ogłaszając aplikację, która pozwoli zatwierdzać transakcje online skanem twarzy (pay by face). Firma wystawiająca karty kredytowe planuje wprowadzanie także innych biometrycznych metod uwierzytelniania, takich jak: odciski palców, rozpoznawanie głosu i bicie serca, co pozwoli na przeprowadzanie transakcji w pełni bezstykowo i bez zakłóceń.
Smartfonowe autoportrety, ale z mrugnięciem
MasterCard ma nadzieję, że wykorzystanie „selfies” (czyli smartfonowych autoportretów) pozwoli zastąpić SecureCode, system oparty na hasłach aktualnie używany do weryfikacji tożsamości klientów podczas robienia zakupów online. Użytkownicy korzystający w punkcie sprzedaży z aplikacji testowanego systemu MasterCard Identity Check będą otrzymywać na telefon prośbę o akceptację transakcji w postaci okienka pop-up. Zatwierdzenie płatności ma się odbywać poprzez spojrzenie w kamerę telefonu i jednokrotne mrugnięcie okiem, które ma zapobiegać oszustwom polegającym na podstawianiu zdjęć właściciela smartfonu. Dzięki zastosowaniu technologii uwierzytelniania rozpoznawania twarzy, aplikacja może konwertować obraz do unikalnego ciągu binarnego, który jest porównywany ze wzorem przechowywanym przez system MasterCard. Jeżeli są zgodne, wówczas transakcja zostaje autoryzowana. Inna oferowana metoda uwierzytelniania biometrycznego to skanowanie linii papilarnych za pomocą wbudowanych w telefon czytników.
MasterCard chce identyfikować ludzi wedle reguły: „kim są, a nie tego, co pamiętają”. Przewaga uwierzytelniania biometrycznego nad tradycyjnymi hasłami, kodami i PIN-ami, polega na tym, że w przypadku biometrii czynnikiem kontroli dostępu jest to „kim jesteś” – mierzalna fizjologiczna lub behawioralna, niepowtarzalna charakterystyczna cecha, którą znacznie trudniej sfałszować, wykraść lub naśladować w porównaniu do hasła lub klucza. I użytkownicy nie muszą o niej pamiętać.
Zalety i wady biometrii
To, że za pomocą dzisiejszych smartfonów można odczytywać odciski palców, rozpoznawać głos i obraz twarzy – eliminuje potrzebę stosowania kosztownych i kłopotliwych zewnętrznych czytników. Z drugiej strony zdarza się, że urządzenia służące do odczytu lub pomiaru biometrycznego mogą błędnie weryfikować użytkownika. Ponadto ludzie pozostawiają w wielu miejscach swoje odciski palców, które de facto stają się odpowiednikiem hasła zapisanego na karteczce. Dość łatwo je skopiować i stworzyć replikę, np. w silikonie. Czyjś głos również łatwo można nagrać, a dynamiczne dane biometryczne, takie jak mruganie mogą też zostać przechwycone i skopiowane.
Dlatego też ochrona danych biometrycznych jest tak niezwykle ważne. W przeciwieństwie do hasła, odcisku palca lub kształtu twarzy nie można zmienić. MasterCard nie wyjaśnia do końca, w jaki sposób aplikacja będzie chronić i przekazywać dane biometryczne służące do uwierzytelniania. Najprawdopodobniej numer identyfikacyjny telefonu będzie powiązany z procesem uwierzytelniania, aby dodać kolejną warstwę ochrony. Co ciekawe, choć telefony z Androidem można odblokowywać za pomocą funkcji rozpoznawania twarzy, to Google postrzega to rozwiązanie jako „o niskim poziomie bezpieczeństwa i eksperymentalne”, traktując PIN jako bezpieczniejszą metodę uwierzytelniania. Próby z technologią pay by face podejmuje nie tylko MasterCard. Również serwis Alibaba w 2015 roku testował metodę rozpoznawania twarzy przy dokonywaniu płatności.
Uwierzytelnianie za pomocą rozpoznawania twarzy z pewnością ułatwi i przyspieszy procesy płatnicze, i jeśli uwierzytelnianie biometryczne podniesie poprzeczkę bezpieczeństwa na wyższy poziom niż obecnie oferują systemy płatności kartą, to można uznać to za krok we właściwym kierunku. Pamiętać jednak należy, że żaden system nigdy nie będzie w 100% bezpieczny, a łatwe w użyciu metody zabezpieczenia są lepsze niż silne zabezpieczenia, których nikt nie używa.
Wieloczynnikowa weryfikacja tożsamości
Połączenie haseł (coś, co wiesz) i biometrycznych metod uwierzytelniania (coś, czym jesteś) z urządzeniami mobilnymi (coś, co posiadasz) powoduje, że urządzenia i aplikacje wymagają wieloczynnikowej weryfikacji tożsamości, co znacząco zwiększa ich bezpieczeństwo.
Podejście „telefon jako token” (phone-as-a-Token) to tylko jedna z form uwierzytelniania wieloczynnikowego. Inne metody obejmują PINy wysyłane na telefony za pośrednictwem wiadomości tekstowych SMS lub aplikacje działające na urządzeniach mobilnych generujące jednorazowe hasła. Te metody uwierzytelniania według analityków Gartnera mają szanse na znaczące wzrosty na rynku rozwiązań uwierzytelniających.
Oczywiście, metody uwierzytelniania przy użyciu mobilnych urządzeń będą ewoluować. Jedna z firm zaprezentowała na przykład system haseł opartych wyłącznie na emotikonach. Zaczynają się już też pojawiać wearables pełniące rolę tokenów sprzętowych, za pomocą których można odblokować znajdujący się w pobliżu smartfon. Informacje kontekstowe, takie jak lokalizacja użytkownika, to kolejne sposoby wspierające procesy uwierzytelniania.
Roczne przychody z mobilnych rozwiązań biometrycznych wzrosną z 1,6 mld dolarów w 2014 r. do 34,6 mld dolarów w 2020 r., prognozują autorzy raportu Acuity Market Intelligence opublikowanego w czerwcu 2015 r.
Czytaj też: Twoje ciało hasłem dostępu
Pozostaw komentarz