Od „czegoś, co wiesz”, do “czegoś, czym jesteś” – jak biometria zmienia dzisiejsze metody uwierzytelniania
Uwierzytelnianie (and. authentication) jest jednym z najbardziej frustrujących kroków koniecznych, aby zarejestrować się do platformy usług online albo systemu call center. „Nie możesz się zalogować?”, „Nie pamiętasz hasła”?, „Nie znasz swojego loginu?, „Nowe hasło musi składać się z przynajmniej 8 znaków i zawierać przynajmniej jeden znak specjalny”. Większość z nas zna te komunikaty na wylot. Niedawne osiągnięcia technologiczne pozwalają nam jednak logować się szybciej i nie utonąć w morzu haseł, PINów i pytań bezpieczeństwa. Wykorzystanie biometrii powoduje, że jest to nie tylko wygodniejsze ale również bardziej bezpieczne. Nowy white paper Comarch ICT omawia te kwestie.
Czym jest biometria?
Zasadniczo istnieją trzy metody uwierzytelniania. Zwykle użytkownik jest proszony o podanie informacji którą zna (np. hasła, klucza prywatnego). Czasami firma prosi o pokazanie lub użycie czegoś, co użytkownik posiada, np. dowodu osobistego, karty członkowskiej lub generatora kodów. Hasła i kody PIN ciągle są jednymi z najpopularniejszych form uwierzytelnienia. Tokeny są nieco mniej popularne, ale również znajdują się w powszechnym użyciu. Te metody są narażone na to, że ktoś może zapomnieć potrzebną informację lub po prostu nie mieć dokumentów lub tokena ze sobą. Istnieje tylko jedna rzecz, której nie można zapomnieć – jest nią własne ciało. Metody biometryczne opierają się na tym „czym się jest” i wielu specjalistów zajmujących się problematyką bezpieczeństwa ocenia je jako znacznie lepsze i bardziej komfortowe niż tradycyjne metody uwierzytelniania.
Biometria to nauka o metodach mierzenia biologicznych i behawioralnych cech organizmów żywych, w tym ludzi. Wiele z tych cech i ich kombinacji ma unikatowy charakter, co pozwala na odróżnianie ludzi od siebie. Najbardziej rozpowszechnione mechanizmy to biometria naczyń krwionośnych palca, biometria odcisków palca, twarzy czy biometria tęczówki. Pionierem tego typu rozwiązań było Apple stosując między innymi czytniki linii papilarnych do uzyskania dostępu do telefonu komórkowego oraz znalazło zastosowanie w systemie płatności mobilnych Apple Pay. Obecnie wielu innych dostawców technologii komórkowych tacy jak Samsung, Microsoft, Huawei, HTC czy Oppo oferują rozwiązania wspierające technologię biometryczną. Innym przykładem jest biometria głosowa – najczęściej wykorzystywana do weryfikacji tożsamości podczas komunikacji telefonicznej. Metoda ta polega na zestawianiu głosu wypowiadanego przez klienta z zestawem próbek (voiceprints) zebranych wcześniej w celu określenia, czy dana fraza została rzeczywiście wypowiedziana przez daną osobę.
Dlaczego biometria?
Pierwsza sprawa to bezpieczeństwo. Co roku wyłudza się setki milionów euro za pomocą skradzionych danych osobowych, takich jak hasła i numery PIN. W niektórych miejscach sieci (dark web) można kupić tego typu informacje. Poniżej wymieniam najpopularniejsze zagrożenia związane z bezpieczeństwem danych. Tabela pokazuje także, że niektóre metody uwierzytelniania są podatne na tego typu ataki.
Potencjalne zagrożenia związane z danymi
| Biometria głosowa | PIN i hasło | Pytania bezpieczeństwa | Token sprzętowy |
Naruszenie danych/kradzież | Niski | Średni | Średni | Wysoki |
Udostępnianie danych | Niski | Wysoki | Wysoki | Średni |
Brute Force | Niski | Wysoki | Wysoki | Niski |
Socjotechnika | Brak | Średni | Wysoki | Brak |
Hacking | Niski | Średni | Średni | Niski/Średni |
Phishing | Niski | Średni | Średni | Niski |
Vishing | Brak | Wysoki | Wysoki | Niski |
Source: Opus Research
Zwiększony poziom bezpieczeństwa sprawia, że organizacje ograniczają potencjalne straty oraz zmniejszają koszt utraty dobrej reputacji. Metody biometryczne są korzystne także z finansowego punktu widzenia. W dłuższej perspektywie, weryfikacja głosowa jest znacznie tańsza niż niektóre używane dziś systemy. Zmniejszając frustrację użytkowników można zwiększyć ich lojalność względem firmy. Lepsza obsługa klienta pozwala także łatwiej zdobyć nowych klientów. Kolejną zaletę metod biometrycznych stanowi łatwość ich użycia, podczas gdy tradycyjne hasła powinny być długie i skomplikowane (np. zawierać małe i duże litery, cyfry i znaki specjalne). Ponadto weryfikacja biometryczna jest niezależna od języka w którym wypowiadane są słowa. Opiera się ona raczej na tym, w jaki sposób coś się mówi, niż na tym, co dokładnie się mówi. To oznacza, że systemy biometryczne mogą być dostosowane do potrzeb różnych międzynarodowych oddziałów firmy. Używany tam język przestaje być ważny.
Dla kogo?
Metody biometryczne są powszechnie używane przez banki, firmy ubezpieczeniowe, administrację publiczną i instytucje służby zdrowia.
Najpowszechniejszym zastosowaniem biometrii w branży finansowej jest możliwość weryfikacji klienta w oddziale lub uwierzytelniania operacji. W ostatnich latach szereg banków w Europie rozpoczął projekty pilotażowe płatności biometrycznych. W 2011 roku ruszył pilotaż w Banku IS Bankasi A.S. w Turcji, który wcześniej uruchomił sieć bankomatów biometrycznych. W 2012 roku Banque Accord we Francji uruchomił pilotaż w sieci supermarketów Auchan. W rozwiązaniu wykorzystano kartę MasterCard dalekiego zasięgu (WPAN) oraz dwie technologie biometryczne do wyboru: biometrię odcisku palca (Finger Print) i biometrię naczyń krwionośnych palca (Finger Vein).
W przypadku administracji publicznej, wdrożenie biometrii pozwoli na upowszechnienie transakcji elektronicznych, usuwanie procesów opartych na dokumentacji papierowej czy też poprawę skuteczności systemów administracji publicznej. Przykładowo, jednym z większych projektów biometrycznych jest baza IDENT zarządzana przez Department of Homeland Security, Immigration Control & Enforcement (USA). W 2012 roku notowano średnio 188 tysięcy zapytań biometrycznych dziennie, a w latach 2004- 2014 przeprowadzono łącznie ponad 148 milionów weryfikacji.
Badanie z 2012 r. opublikowane przez Ponemon Institute pokazuje, że 94% szpitali w Stanach Zjednoczonych doświadczyło w ciągu minionych dwóch lat przynajmniej jednego przypadku naruszenia poufności danych. W artykule opublikowanych w „Journal of American Medical Association” przeanalizowano bazę danych Ministerstwa Zdrowia i Opieki Społecznej zawierającą ujawnione wycieki danych z ponad 500 firm w latach 2010-2013. Artykuł wskazuje, że w tym okresie miało miejsce 949 włamań dotyczących w sumie 29 milionów źródeł informacji. W 2014 wycieki danych medycznych obejmowały już 80 milionów źródeł informacji. Z raportów wynika, że skradzione informacje w większości obejmowały rachunki wystawiane pacjentom oraz informacje dotyczące ubezpieczenia. Narzędzia biometryczne, tymczasem, pozwalają na dostęp do danych medycznych z zachowaniem najwyższego poziomu bezpieczeństwa. Te liczby, w połączeniu ze współczesnymi możliwościami technologicznemu pokazują, że biometria to przyszłość. Nikt nie może ukraść głosu użytkownika ani odcisków jego palców.