Biometria wypiera hasła w płatnościach

Jaką przyszłość ma biometria w usługach finansowych?

Do tej pory, gdy musiałem udowodnić, że ja to ja, posługiwałem się najczęściej różnymi rozwiązaniami typu hasła czy kody jednorazowe.

Biometria natomiast opiera się na analizie określonej cechy człowieka. Ciekawostką jest, że nie musi być to cecha fizyczna, jak np. tęczówka oka, czy linie papilarne, ale też zachowanie typowe dla danej osoby. Stosując algorytmy porównujemy zapisany wcześniej wzorzec z cechą osoby, której tożsamość mamy potwierdzić. Jeżeli ta pasuje do wzorca, możemy z dużą pewnością odróżnić jedną osobę od drugiej, właśnie z pomocą biometrii.

Biometria jest bardzo logicznym i naturalnym rozwiązaniem. Stosujemy ją bowiem od zawsze. Przecież w sytuacji, gdy spotykamy się z kimś, kogo znamy, obserwując całą postać lub twarz, stwierdzamy, że pan to pan, a ja to ja. Rzadko kiedy stosujemy tajne hasło, by się wzajemnie rozpoznać! Wykorzystanie rozwiązań biometrycznych do transakcji płatniczych, które robimy na co dzień, a które muszą być bardzo dobrze zabezpieczone, jest zatem całkowicie logiczne.

Jakie mamy rodzaje biometrii?

Biometrię dzielimy na kilka grup. Jedna z nich opiera się na unikalnych cechach biologicznych danej osoby. Mowa tutaj np. o odcisku palca czy całej dłoni. To może być także głos danej osoby, skan twarzy czy tęczówki oka.

Druga grupa to tzw. biometria behawioralna. Mówimy tutaj o rozpoznawaniu naszego zachowania. Gdy korzystamy z danego urządzenia, ono może „uczyć się nas” tego, w jaki sposób go używamy. W efekcie po pewnym czasie jest ono w stanie rozpoznać, czy korzysta z niego właściciel, czy ktoś inny. Maszyna rozpoznaje, że dana osoba np. inaczej trzyma telefon, używa innego palca do wpisywania liter czy słabiej lub mocniej naciska klawisze. W ten sposób urządzenie rozpoznaje, że ma do czynienia z ta samą lub inną osobą.

Biometria behawioralna jest system pasywnym. To oznacza, że użytkownik nic nie musi robić, wykonywać żadnych dodatkowych czynności, żeby potwierdzić swoją tożsamość.

Jest też trzecia grupa, która jest gdzieś pośrodku obu wymienionych i z którą wiążemy najwięcej nadziei na przyszłość. Mowa o rozwiązaniach biometrycznych opartych na urządzeniach, które nosimy na ciele, takich jak zegarki, opaski fitnessowe czy pierścionki. Najbardziej istotne w tym rozwiązaniu jest to, że takie urządzenie może mieć pewność, że cały czas jest na tym samym człowieku. Jeśli, zakładając rano na rękę zegarek, wykonam jakąś akcję uwierzytelniającą, wtedy to urządzenie, które jest w stałym kontakcie z moim ciałem, wie, że ja to ja przez cały czas noszenia. Może więc służyć nam do potwierdzania transakcji.

Nie oznacza to jednak, że nie będziemy mieć problemów z cyberprzestępcami…

Tak, to jest nieustająca „zabawa w kotka i myszkę”. My szukamy nowych sposobów zabezpieczenia się, a przestępcy szukają nowych sposobów łamania tych zabezpieczeń.

Dzisiaj przyzwyczailiśmy się do pewnych standardów, które są swego rodzaju kompromisem i wypadkową tego, na co pozwalała technologia. Czeki były zabezpieczone podpisem i cały system opierał się na jego sprawdzeniu, porównaniu ze wzorem. Później stwierdziliśmy, że może hasła będą bezpieczniejsze. Czy są? Można o tym długo rozmawiać. Wyniki badań w tej sprawie nie są wcale jednoznaczne. 80 proc. włamań w internecie opiera się na tym, że użyte hasło było za słabe lub doszło do zgubienia hasła. Hasła często zapominamy i – co również jest bardzo ważne – nie zmieniamy ich wystarczająco często. Niemal połowa internautów korzysta z haseł starszych niż pięć lat. Jeśli ktoś nas podejrzał, to ma rozwiązanie na lata. To sprawia, że rozwiązanie to jest znacznie słabsze niż biometria.

Jesienią tego roku wchodzą w życie nowe wymagania dotyczące płatności w sieci. Co to zmieni?

Mówimy o regulacji PSD2 wprowadzającej tak zwane silne uwierzytelnienie klienta. Będzie to duża zmiana, która idzie w dobrą stronę. Rozpoznano dwa zjawiska. Prawodawcy uznali, że z jednej strony należy zabezpieczyć rosnącą liczbę elektronicznych transakcji płatniczych w taki sposób, żeby mieć pewność, że zabezpieczenia są wystarczająco silne, a klienci nie będą narażeni na nadużycia. Z drugiej strony coraz więcej transakcji odbywa się bez naszego udziału, automatycznie Tak, jak na przykład wtedy, gdy korzystamy z usług z automatyczną zapłatą za subskrypcję, np. streaming muzyki czy wideo. Takie transakcje będą musiały mieć dodatkowe zabezpieczenie.

Nowe regulacje strukturyzują podejście do zabezpieczeń transakcji płatniczych i wymagają silnego uwierzytelnienia klienta przy każdej płatności.

Pozostaje tylko pytanie, czy rynek jest na to gotowy?

Na obecną chwilę nie. Wspólnie z naszymi partnerami przygotowujemy się do zmian i przy okazji poprawiamy doświadczenie klienta związane z tzw. silnym uwierzytelnieniem. Dotychczas wyglądało ono bardzo różnie. Mastercard rekomenduje stosowanie najlepszych rozwiązań opartych na urządzeniach mobilnych i biometrii. Chcemy, by klient mógł się jak najczęściej uwierzytelniać za pomocą najlepszych technologii, a nie haseł, które nie są dobrym zabezpieczeniem.