21 sierpnia 2017

Wirusy masowo wykradają nam loginy i hasła? Te banki dają już opcję logowania… głosem

Za każdym razem kiedy wpisuję na stronie mojego banku login i hasło, żeby dostać się na konto, czuję się nieswojo. Niby komputer ma program antywirusowy i jest podłączony do sieci, ale zawsze pozostaje ziarno niepewności: czy nie jestem śledzony i moje dane logowania nie zostały przejęte przez złodzieja? Jedną z zasad higieny internetowej jest systematyczne zmienianie haseł, ale to z kolei rodzi inny problem – zbyt często zmieniane hasło jest trudniejsze do zapamiętania i rodzi się pokusa, by je gdzieś zapisać. Z deszczu pod rynnę.

Oczywiście: login i hasło nie wystarczą do tego, by ukraść pieniądze. Każdy przelew jest dodatkowo autoryzowany SMS-em lub (to bardziej bezpieczny od SMS-u nowy wynalazek banku) kodem wpisywanym w aplikacji mobilnej banku znajdującej się na smartfonie klienta. Ale w czasach wszechobecnego phishingu w zasadzie należy zakładać, że nasze loginy i hasła do kont bankowych są skompromitowane.

Jest na to jeden, prosty sposób – logowanie głosem. Biometrię głosową jako pierwszy wdrożył już jakiś czas temu Bank Smart, pierwszy bank „smartfonowy”. Dziś działa już pod marką Nest Bank i przestał być bankiem tylko w smartfonie, ale logowanie głosem w jego aplikacji mobilnej pozostało – jako opcja do wyboru.

Czytaj też: Nowy pomysł Banku Smart. Do konta zalogujesz się… głosem

Biometria głosowa lekiem na internetowych złodziei haseł? Czy to bezpieczne?

Rzecz polega na tym, że klient, który chce się zalogować do banku, zamiast wpisywać PIN, powtarza za lektorem podyktowane przez niego zdanie. Technologia rozpoznawania głosu albo potwierdza tożsamość klienta albo poddaje ją w wątpliwość (wtedy musi się zalogować „tradycyjnie”, czyli z użyciem loginu i hasła. Margines błędu jest niewielki, ale dopóki mówimy „tylko” o logowaniu, a nie o zatwierdzaniu głosem transakcji – okruchy niepewności są do przełkięcia.

Wspominam o tym, bo ostatnio inny bank – BZ WBK – też poinformował o wdrożeniu biometrii głosowej przy logowaniu. Na razie tylko dla klientów korporacyjnych, ale zakładam, że to wstęp do udostępnienia tej metody logowania wszystkim klientom. System jest podobno zabezpieczony przed możliwością odtworzenia głosu z nagrania. Weryfikacja obejmuje zaś sposób wypowiadania się (czyli cechy behawioralne), długość tzw. kanału głosowego i budowę układu oddechowego (czyli cechy fizyczne danego „gardła”).

Czytaj też: Banki poznają nas nie tylko po paluchu, ale i po głosie. Nowa odmiana biometrii już w Polsce

Jakkolwiek logowanie głosem nie zajmuje mniej czasu, niż tradycyjne, ale nie trzeba pamiętać żadnych haseł i loginów. Wystarczy coś powiedzieć. System BZ WBK podobno jest połączony z identyfikacją numeru telefonu klienta, co oznacza, że zaraz po weryfikacji głosowej klient jest łączony ze swoim doradcą klienta. Docelowym modelem powinno jednak być identyfikowanie klienta w trakcie powitania z doradcą klienta. Do tego jeszcze daleka droga.

Mam nadzieję, że logowanie głosem będzie standardem – albo przynajmniej opcją do wyboru w największych bankach – już niedługo. Nasza pamięć jest zbyt obciążona PIN-ami, loginami i hasłami, zaś zagrożenie phishingiem jest zbyt powszechne, by bankowcy siedzieli z założonymi rękami. Logowanie głosem uniemożliwia lub przynajmniej utrudnia phishing.

Czytaj też: Pokaż dokument i twarz, a sprawdzą cię biometrycznie. To działa!

Biometria głosowa to nie wszystko. Jest też logowanie palcem i… biometria twarzy

W bankowaniu przez smartfona logowanie głosem nie jest jakimś przełomem, bo niedługo większość smartfonów będzie wyposażonych w możliwość logowania się palcem. Najnowsze smartfony Apple’a i Samsunga mają już tę opcję. Jednak przy korzystaniu z banku przez laptopa lub desktopa biometria głosowa jest dużo łatwiejszą opcją, niż biometria naczyń krwionośnych lub linii papilarnych (nie trzeba mieć dodatkowych czytników, a mikrofon jest dziś prawie w każdym komputerze.

Alternatywną opcją dla biometrii głosowej lub logowania palcem będzie pewnie biometria twarzy. Wiem, że kilka banków dość intensywnie pracuje nad rozwiązaniami dotyczącymi weryfikowania klientów na podstawie rysów twarzy. W InBanku oraz Alior Banku w wąskim zakresie wykorzystuje się identyfikację klienta via wideoczat (pracuje nad tym też BZ WBK). Jednak wideoczat jest formą komunikowania się z bankiem przeznaczoną dla osób potrzebujących bezpośredniego kontaktu z doradcą. Biometria głosowa to pomysł nadający się na automatycznego logowania i w tym jest jego siła.

Czytaj też: Względy bezpieczeństwa, czyli gdy bank dmucha na zimne. I za nic nie chce przestać

Czytaj też: Niemieckie i austriackie banki zakładają już konta przez wideoczat

Autor zdjęcia tytułowego: sasint/pixabay

5
Dodaj komentarz

avatar
5 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
3 Comment authors
Rewolucja w BZ WBK! W ofercie zostało mu tylko jedno konto. Czy lepsze od poprzednich? | Subiektywnie o finansach - Maciej SamcikpontikosnerkofilProgramista Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Programista
Gość
Programista

Panie Macieju, bardzo Pan promuje ostatnio alternatywne sposoby autoryzacji, a nie zastanawia się Pan jak te algorytmy działają. Rozpoznawanie głosu lub weryfikacja odcisków palców opierają się na prawdopodobieństwie czyli po trosze na losowaniu. Np. w odciskach palców wylicza się tak zwane „minutiae” są to punkty i wektory linii papilarnych. Takich wektorów wylicza się ok. 200. Następnie porównuje się ze wzorcem. I tu najważniejsze, żeby określić zgodność wystarczy, że połowa czasami nawet mniej wektorów będzie zgodna. Rozpoznawaniem głosu nigdy się nie zajmowałem, ze względu na bardziej skomplikowane zadnienie podejrzewam, że prób zgodności jest jeszcze mniejszy. Nie mówię że te sposoby autoryzacji… Czytaj więcej »

nerkofil
Gość
nerkofil

Nie chcę sie logowac do czegokolwiek zmienna ktora jest stała. Brak możliwości zredefiniowania loginu/ passwordu jest dokladnie tym samym, co tatuowanie numeru obozowego na przedramieniu więźniom lub SS-manom pod pachą.

BTW, niech mi ktos wskaże prosty, szybki i tani sposob wlamania do logowania tokenem.

nerkofil
Gość
nerkofil

@programista: masz racje, byle cztery cyferki pinu gwarantuja prog zgodności na poziomie 10.000, a biometria kilku co cieplejszych naczyn krwionosnych na poziomie 200… Niewyobrazalne, ze cztery losowe cyferki zabezpieczą moje pieniądze 50x lepiej niz niepowtarzalny uklad linii papilarnych. Owszem, przy prawdziwej daktyloskopii wyszukiwane zgodnosci z wzorcem ma sens, ale jest ro proces zajmujacy klikanascie godzin szybkiemu klastrowi komputerów. Ma to sens, jesli otwieramy wrota fortu Knox, ale gdy placimy w Zabce za dwie flaszki?… Wczesniej uda sie wytrzezwiec. A więc na wszechwladnej wygody- upraszczamy, kosztem bezpieczeństwa. Jesli autoryzacja biometryczna bedzie szybsza niz wpisanie PINU i bezpieczniejsza niz noszenie zwitka banknotów… Czytaj więcej »

pontikos
Gość
pontikos

Pamieta ktos budki telefonicznie z niebieskimi aparatami firmy Urmet, pierwszymi na kartę? Mialy tę zaletę, ze autoryzowaly naliczanie za polaczenie po wybraniu połączenia Z KLAWIATURY. A wiec wybierajac je z prostego dialera via mikrofon Urmeta, mozna bylo dzwonic za darmo na Madagaskar.
Ciekaw jestem czy podobny pomysl da sie zastosować przy dzisiejszej autoryzacji biometrycznej- podac zmienną za pomoca innego medium, powodujac autoryzację 😉
(Odciety palec i nagrany glos to to samo medium).

trackback

[…] Czytaj też: Wykradają nam loginy i hasła. Co zrobić żeby się uchronić? BZ WBK i Nest Bank umożliwiają l… […]

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij

Gratulacje! Jesteś zapisany