Biztonságtechnikai szakportál

Egyre több pénzügyi intézmény dönt úgy, hogy a banki azonosításhoz használatos PIN-kódokat és az SMS-es megerősítést, kiváltja biometrikus azonosítási módszerekkel Az ujjlenyomat, arckép, írisz stb. alapján ügyfél-azonosítást végző rendszerek persze nem jelentenek tökéletes védelmet a kiberbűnözéssel szemben.

Forrás: hírstart

Felejtsd el a kódokat!

A biometrikus azonosítás lényegében egy olyan rendszer, ami a hagyományos okiratokat kiegészítve, vagy akár teljesen mellőzve, testi paraméterek alapján képes felismerni és beazonosítani valakit, például egy banki ügyfelet. Az ilyen rendszerek elsősorban olyan, minden embernél egyedi paramétereket ismernek fel és párosítanak össze az adatbázisukban megtalálható adatokkal, mint

• arcfelismerés,
• ujjlenyomat,
• írisz- vagy retinaszkenner,
• hangazonosítás,
• illetve ezeknek elegye.

Az azonosítást végezhetik komplex szkenner-rendszerek is, de már képes lehet akár egy egyszerű mobiltelefon is ujjlenyomat-azonosítást vagy arcfelismerést végezni.

A biometrikus azonosítás előnyei

• (elvi síkon) nehezebb vele visszaélni, mint például egy személyigazolvány-számmal vagy egy PIN kóddal,
• az azonosítási folyamat sokkal gyorsabb; nem kell például a netbankunkba háromféle azonosítóval, SMS-es megerősítéssel bíbelődnünk,
• nem kell ezer jelszót megjegyeznünk, hiszen az arcunkat, ujjlenyomatunkat mindig “magunkkal hordjuk”.
• A duplikációt és a csalást is kiszűrik ezek a rendszerek, hiszen többször nem regisztrálhat ugyanaz az ember például egy banknál.

Egyes elemzők szerint ez az azonosítási rendszer segítheti a pénzügyi tudatosság terjedését is a fiatalabb, “szelfi-generáció” tagjai közt.

Forrás: Shutterstock

Egyre többen használják

A biometrikus azonosítás a bankszektorban, sőt a pénzügyi szektor egészében is egyre szélesebb körben terjed. Jellemzően úgy működik, hogy számlanyitáskor az ügyfél feltölt magáról egy képet a bank adatbázisába, mely alapján ügyintézéskor be tudják azonosítani, vagy akár egy ujjlenyomatot, melynek segítségével be tud lépni mobiltelefonján keresztül netbankjába. Íme pár érdekes megoldás:

• A brit Lloyds bankcsoportnál van már lehetőség az ujjlenyomat és arcfelismerés használatára, ha valaki be akar jelentkezni a netbankjába vagy hitelesíteni akar egy tranzakciót. Az azonosításban a Windows 10-hez alapból is járó Windows Hello segít, amely helyileg tárolja az adatokat, így nincs meg annak a kockázata, hogy az interneten keresztül illetéktelen kezekbe kerülnek az adataink.
• A Citigroup elsőként indította el hangalapú ügyfél-azonosítási rendszerét 2016-ban, a “tesztkört” Ázsiában futtatták. 2017-ben már többek közt Ausztráliában, Hongkongban, Indiában és Szingapúrban is a hangjukkal lépett be netbankjába az amerikai bankkonszern mintegy egymillió ügyfele.
• Indiában már széles körben használják a bankok az Aadhart, a kormány által fenntartott, mintegy egymilliárd indiai lakos arcának, ujjlenyomatának és íriszének adatait tartalmazó adatbázist számlanyitáshoz és ügyintézéshez. Míg a pénzintézetek önkéntesen teszik kötelezővé az Aadhar használatát, a biztosítások és a befektetési alapok esetén idén március 31-től kötelezően a biometrikus azonosítási rendszert kell használni regisztrációkor.
• A Wells Fargo az amerikai bankok közül elsőként nemcsak a netbankba való belépést engedélyezi hang-alapú azonosításon keresztül, hanem jelenleg azon is dolgozik, hogy a tranzakciók hitelesítéséhez is használható legyen a technológia. Hosszú távon a pénzintézet egy az Amazon Alexájához hasonló AI-asszisztenst is szeretne fejleszteni ügyfeleinek.
• A török Yapi Kredi bank az ország egyik utolsó magánkézben lévő pénzintézeteként több innovatív technológiával is kísérletezik, hogy életben maradhasson. Az európai piacon először vezettek be retina alapú azonosító rendszert is; a kansasi EyeVerify-jal közösen fejlesztették ezt a technológiát. A mobilbanki appba lényegében beléphet a felhasználó a retinájának azonosításán keresztül.
• Az Atom Bank az egyik legelső csak mobilos pénzintézet Nagy-Britanniában; a felhasználó a fintechcég mobilos alkalmazásában beállíthatja, hogy az azonosításhoz milyen tényezőket lehessen használni, például a PIN kódon felül arc- és hangfelismerő rendszert is be lehet rajta állítani.
• A spanyol BBVA-nál az Apple Touch ID-t integrálták a mobilos alkalmazásba, bejelentkezés után ezen a platformon a számlaadatokhoz, illetve egyenlegadatokhoz lehet hozzáférni.
• A Deutsche Bank appja sajátosan a felhasználó viselkedését elemzi és ha szokatlanul mozdulatlan, vagy éppen túl sokat mozog vagy ül az ügyfél, az alkalmazás kérhet egy szelfit, hogy azonosítani tudja a felhasználót.
• Az HSBC amerikai ágánál egy olyan hangfelismerő rendszer működik, amely nemcsak a kimondott jelszót ismeri fel, hanem azt is kiszűri, ha valaki hangfelvétellel próbál behatolni a rendszerbe. A technológia mintegy 100 tulajdonságát vizsgálja mindössze egyetlen hangsávnak, egy ikerpárnak mégis sikerült kijátszania.
• A JP Morgan azon dolgozik, hogy teljes egészében eltörölje a jelszók szükségességét és igyekszik az ügyfélazonosítási rendszerüket ujjlenyomat-alapúra cserélni.
• A MasterCard “Selfie Pay” szolgáltatásával lényegében egy mobiltelefonos kamerával elkészített szelfivel is fizethetünk, hamarosan akár az egész világon. Mindez eleme lesz egy nagyobb rendszernek, melynek neve MasterCard Identity Check; az azonosításnak része lesz egy ujjlenyomatos rendszer is. Hasonló megoldáson dolgozik egyébként a Visa is.

Magyarországon több banknál is elérhető már olyan mobilos alkalmazás, ahol ujjlenyomatos azonosítással is be lehet lépni és/vagy tranzakciókat hitelesíteni, ilyen például

• az OTP Simple mobilfizetési alkalmazás,
• a Budapest Bank mobilalkalmazása,
• a CIB mobilbankja,
• az UniCredit mobilos alkalmazása,
• az Erste mobilos online fizetési rendszere, a MobilePay,
• a K&H mobilappja,
• vagy az MKB mobilalkalmazása.

Forrás: Shutterstock

Nem tökéletes a védelem

A biometrikus azonosításnak persze nem csak előnyei vannak, számos plusz biztonsági kockázatot rejt ezeknek a használata. Például:

• könnyen lehet, hogy bizonyos környezeti tényezők (például hangazonosítás esetén a külső zajok) befolyásolják az azonosítás sikerességét. Szélsőséges esetben akár az is előfordulhat, hogy egyáltalán nem tudunk ezek miatt hozzáférni pénzügyi szolgáltatásunkhoz.
• Bár alapvetően nehezebb feltörni, mint egy PIN-kódot, ha egyszer ez mégis megtörténik, utána nem tudjuk megváltoztatni a “kódunkat”. Ugyanakkor a legtöbb rendszer úgy működik, hogy a testi adottságainkból készít egy kódot, melyet hogy ha ellopnak, ez önmagában nem jelenti azt, hogy a testi adottságaink leírását is ellopnák. Akkor van baj (lásd lentebb), ha nemcsak a kódot, hanem a testi adottságaink nyers paramétereit (pl. ujjlenyomat képe, arckép, írisz képe) is megszerzik a hackerek.

Mint bármely más, ügyféladatokat tartalmazó adatbázis, ez is illetéktelen kezekbe kerülhet, íme pár példa:

• 2014-ben az Office of Personnel Management (az amerikai civil szférában dolgozó állami alkalmazottak hivatala) adatbázisát törték fel, mintegy 5,6 millió ujjlenyomatot és 21,5 millió társadalombiztosítási számot és címet loptak el, állítólag kínai hackerek.
• Indiában alig két hete kapcsoltak le egy bűnbandát, akik lopott Aadhaar-kártyaszámokat és ujjlenyomatokat használtak ahhoz, hogy hamis számlákat állítsanak ki. Arról egyelőre még nincs infó, hogy honnan szerezték az adatokat tartalmazó programot.
• Az amerikai Avanti Markets komplex ebédlői élelmiszer-automatákkal foglalkozik, melyekből akár meleg ételt is lehet rendelni és akár ujjlenyomattal is lehet fizetni. Tavaly július elején jelentette be a cég, hogy adatbázisaikat feltörték és a kártyaadatok mellett a biometrikus adatokat is lenyúlták. Az adatok állítólag orosz hackerek kezében kötöttek ki.

Forrás: portfolio.hu

Aware.com, Bayometric, The Hindu, K&H, Sestek, Times of India, The Register, Washington Post, Gizmodo, BBC

Huszák Dániel

Kapcsolódó cikkek:

• Mennyire biztonságos a hang és ujjlenyomat azonosító?
• Bankautomata használat biometrikus azonosítással
• Biometriával erősít a Mastercard