10 stycznia 2019

Czy analiza sposobu pisania na klawiaturze może zastąpić login i hasło do banku? Kilka milionów Polaków sprawdzi działanie biometrii behawioralnej

Czy analiza sposobu pisania na klawiaturze może zastąpić login i hasło do banku? Kilka milionów Polaków sprawdzi działanie biometrii behawioralnej

Odcisk palca, skan tęczówki, rysy twarzy, głos… O takiej biometrii –  i o tym, że już bywa wykorzystywana do weryfikacji klientów banków – zapewne słyszeliście. Ale nadchodzi kolejna rewolucja. To biometria behawioralną. Dzięki niej nie będziemy potrzebowali hasła do bankowości elektronicznej. Już na podstawie tego w jaki sposób wpisujemy swój własny login albo imię i nazwisko banki będą weryfikowały, że osoba wpisująca dane to uprawniony do wejścia na konto klient. W tym roku z pierwszych zastosowań biometrii behawioralnej może skorzystać kilka milionów posiadaczy kont bankowych. Czas się cieszyć czy bać?

Wdrożenie biometrii behawioralnej jako dodatkowego elementu systemu antyfraudowego zapowiedział kilka tygodni temu mBank. W ramach pilotażu testowany będzie na grupie 50.000 klientów banku. Pod koniec roku, choć niewykluczone, że nastąpi to wcześniej, ma objąć wszystkich klientów.

Zobacz również:

W jaki sposób ta technologia może zwiększyć nasze bezpieczeństwo? O tym rozmawiam z Mateuszem Chrobokiem, prezesem firmy Centrum Bezpieczeństwa Cyfrowego, który wraz z zespołem informatyków stworzył system oparty na biometrii behawioralnej.

Przeczytaj też: Nie możesz znaleźć swojego funduszu w nowych tabelach wyników? Może… „przymusowo” zmienił nazwę. Bo nie jest (już) superbezpieczny

Maciej Bednarek: Czym jest biometria behawioralna? Jak sprawdzacie czy dany internauta jest tym za kogo się podaje?

Mateusz Chrobok: Patrzymy na to, w jaki sposób wykonujesz różne czynności na danej stronie internetowej. Na tej podstawie budujemy matematyczne modele, które odzwierciedlają twoje zachowanie. Gdyby ktoś inny próbował skorzystać z twojego konta, wówczas zachowanie, które zaobserwujemy, będzie niezgodne z twoim modelem. Dajemy wtedy sygnał do osób zarządzających bezpieczeństwem danego serwisu interentowego, że coś jest nie tak.

Dzięki temu jesteśmy w stanie dodatkowo chronić twoje konto, np. bankowe, ale też konta w innych serwisach internetowych. Chcę podkrerślić, że  – nie interesuje nas to co robisz, ale w jaki sposób to robisz. Nie badamy więc tego co wpisujesz na klawiaturze, lecz jak w nią stukasz. Nie zbieramy loginów, ani haseł, a jedynie informację o twoim zachowaniu.

Jest kilka typów biometrii behawioralnej. My skupiamy się na interakcji użytkownika z komputerem, czyli klawiaturą, myszą, touchpadem. Model matematyczny, który odzwierciedla sposób korzystania użytkownika z tymi sensorami, jest jak dziecko, które uczy się nowych rzeczy. Z czasem model coraz lepiej potrafi potwierdzić, że jesteś osobą, za którą się podajesz, a nie kimś innym.

Jak to będzie działało w bankach?

W mBanku wdrażamy biometrię behawioralną, żeby chronić klientów przed nadużyciami. Ataków na nasze konta jest dużo i będzie ich coraz więcej. Np. jeśli logujesz się do banku z otwartej sieci wi-fi, np. w centrum handlowym, to istnieje ryzyko, że gdy zalogujesz się do banku, ktoś przechwyci twoje połączenie i zrobi coś w twoim imieniu.

Jeśli to wykryjemy – a możemy to zrobić właśnie na podstawie zmiany zachowania użytkownika na stronie internetowej – przekażemy sygnał bankowi, a ten powinien odpowiednio zareagować. Bankowe systemy antyfraudowe złożone są z wielu elementów. Potrafią badać twoje otoczenie, twoje urządzenie, prawidłowości dotyczące twoich transakcji. Biometria behawioralna jest jednym z komponentów tego systemu, ale to bank podejmuje ostateczną decyzję, jak w danej sytuacji zareagować. Im więcej jest tych komponentów, tym trudniej zaatakować klienta.

Przeczytaj też: Jak kupować w sieci i nie stracić pieniędzy? Oto cztery cechy, które odróżniają uczciwy sklep internetowy od oszustów. Warto sprawdzić przed e-zakupami!

Przeczytaj też: Niewykluczone, że w 2019 r. zapłacimy kartą bez PIN-u za większe zakupy. Czy to bezpieczne? Sprawdzamy jak banki zabezpieczają zbliżenia

W pewnym sensie śledzicie konsumentów. W którym momencie zaczynacie zbierać dane o zachowaniu danej osoby? Czy klienci banku są informowani o tym, że zostali poddani takiej praktyce?

Dane zaczynamy zbierać w momencie, gdy wejdziesz na stronę logowania banku. Twoja przeglądarka otrzymuje informację, że jesteś klientem korzystającym z usługi digitalfingerprints, a więc że wyraziłeś zgodę na zbieranie danych o twoim zachowaniu. Jeśli nie, żadne dane do nas nie trafią. Jeśli tak, wówczas dane, które zostały zebrane przez przeglądarkę, są do nas wysyłane.

Dzięki temu już na etapie wprowadzania loginu i hasła system może ocenić, czy było to robione zgodne z twoim profilem. Od tego momentu wysyłka danych trwa w sposób ciągły i na bieżąco sprawdzamy, czy to ty piszesz na klawiaturze. Jeśli odejdziesz od komputera, a ktoś inny podejdzie i spróbuje zrobić przelew w innej kwocie, na inny numer rachunku, to jesteśmy w stanie ochronić cię przed takim atakiem.

Wiele osób może zachowywać się podobnie. Jaka jest gwarancja, że wykryjecie różnice w zachowaniach internautów?

Zrobiliśmy testy w warunkach laboratoryjnych, a obecnie trwa pilotaż na wybranej grupie klientów mBanku. Im więcej mamy danych, tym tego typu systemy działają lepiej. Jeśli mamy dwie osoby używające np. klawiatury w podobny sposób, to wówczas możemy wykorzystywać inne, dodatkowe cechy. Możemy badać np. trajektorię ruchu myszki, ale też z jakim opóźnieniem lub przyspieszeniem dana osoba klika w różne elementy znajdujące się na stronie.

Okoliczności w życiu klienta się zmieniają. Może zmienił komputer, może złamał rękę. To wszystko wpływa na sposób korzystania np. z klawiatury. I co wtedy?

Z mojej perspektywy zmiana jest największą zaletą biometrii behawioralnej. Do zmian, które nie są nagłe, nasze modele przystosowują się naturalnie. Model będzie rósł w siłę ucząc się twojej zmienności. I będzie zapominał starsze cechy.

Co do złamanej ręki: systemy nie są idealne, ale przewidzieliśmy to, że będziemy musieli się nauczyć, iż popełniliśmy błąd. Jeśli zalogujesz się do systemu bankowego ze złamaną ręką, może np. zadzwonić do ciebie konsultant z banku z pytaniem, czy to ty się logujesz, bo system wykrył odstępstwo od twojego profilu behawioralnego.

Jeśli powiesz, że to ty, wówczas my dostaniemy informację, że się pomyliliśmy. Nie chcemy wiedzieć, że coś się stało z twoją ręką, ale wykorzystamy tę informację do „przeuczenia” modeli, czyli dostosowania się do tego, że się zmieniłeś.

A jeśli przesiądę się z „peceta” na „maka”? Będę pisał inaczej, początkowo mniej płynnie, będę robił błędy, długo szukał właściwych przycisków, skrótów. Jak biometria behawioralna rozwiązuje ten problem?

W fazie testów testowaliśmy zmienianie urządzeń i sprawdzaliśmy jak zareaguje system. Wynik pokazywany był w formie liczby od  1 do 1000, gdzie jedynka oznacza, że system ma 100% pewności, iż to ja jestem użytkownikiem, zaś 1000 – że system ma pewność, iż to nie ja piszę na klawiaturze. Kiedy tester korzystał ze swojego komputera, wynik oscylował w granicach 100, gdy z komputera kolegi – było to ok. 350.  Czyli nawet po przesiadce na inne urządzenie system nadal nie weryfikował testera jako kogoś obcego.

System został tak zaprojektowany, żeby uwzględnić efekty korzystania z różnych urządzeń. Ale tu znów wrócę do nauki – im częściej korzystamy z różnych urządzeń, tym system lepiej jest w stanie się tego nauczyć.

Przeczytaj też: Złodzieje naszych danych grasują. Oto siedem sposobów jak się przed nimi chronić. I dwa pomysły na skuteczny „kontrwywiad”

Przeczytaj też: Idzie szybciej, niż myślałem. Czipy do płacenia instalują nam już nie na kartach, w telefonach, zegarkach, ale i… pod skórą. To już się dzieje!

Banki już dziś zbierają na nasz temat masę danych. Teraz klienci dowiadują się, że będą zbierane kolejne. Czy mają się czego obawiać?

Jeśli chodzi o zbieranie danych, to zawsze jest się czego bać. Zawsze trzeba być świadomym tego, w jaki sposób te dane będą wykorzystywane. Jestem wielkim fanem RODO, jeśli chodzi o wyznaczenie celu przetwarzania danych. Zaczynając pracę nad tym systemem powiedzieliśmy sobie jasno – albo dane, które będziemy przetwarzać, będą służyć tylko do zapewnienia bezpieczeństwa i nigdy nikomu nie mogą być sprzedane, albo nie robimy tego biznesu.

Poza tym zbierane przez nas dane są bezkontekstowe. Nie wiemy w co klikasz, komu wysyłasz pieniądze i nie chcemy tego wiedzieć, bo wtedy mielibyśmy do czynienia ze zbiorem danych wrażliwych.

Ale nawet gdyby ktoś te nasze dane wykradł, to nie wiedziałby, że dany model odzwierciedla zachowanie konkretnego użytkownika. Dostajemy od banku strumień danych dotyczących zachowania użytkownika X, wyciągamy model zachowania użytkownika X i sprawdzamy, czy do siebie pasują. Nie chcemy wiedzieć kim jest X.

Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?

Ale bank wie, do kogo należy dany model.

To prawda, bank ma dane potrzebne do identyfikacji klienta i jest w stanie przyporządkować wynik do konkretnego użytkownika. Ale to normalne, bo bank musi wiedzieć, kogo chroni i komu zapewnia bezpieczeństwo.

Załóżmy, że sprawdza się najczarniejszy scenariusz – te dane gromadzone przez nas wyciekają. Czego na ich podstawie dowie się potencjalny atakujący? Miałby część strumienia, którego jeszcze nie „zapomnieliśmy” i modele matematyczne, czyli ciąg cyferek. Atakujący nie będzie wiedzieć, do której osoby, klienta banku, je przyporządkować.

Ile potrzeba czasu, żeby maszyna nauczyła się, że ja to ja?

To zależy od oczekiwanej od maszyny jakości „przyporządkowania” oraz tego w jakim stopniu jesteś „powtarzalny” jeśli chodzi o swoje zachowanie. W przypadku osób, które bardzo często korzystają z bankowości elektronicznej, np. księgowych, do stworzenia modelu wystarczy nawet jedna sesja kontaktu z bankiem. W tej nauce nie chodzi o czas, a o ilość danych. W przypadku przeciętnego użytkownika do stworzenia modelu wystarczy 5-6 sesji kontaktu z bankiem przez internet.

Czy biometria behawioralna może  wkrótce zastąpić loginy i hasła? Dziś w pewnym stopniu je uzupełnia. Ale czy można byłoby wyobrazić sobie sytuację, w której w ogóle nie muszę się logować do banku, bo system już na podstawie tego jak piszę na komputerze potwierdza moją tożsamość?

Z punktu widzenia możliwości obliczeniowych systemu jest jeszcze na to za wcześnie. Jeśli chodzi o pełną identyfikację użytkownika za pomocą biometrii behawioralnej, musimy poczekać co najmniej 10 lat. Ale jeśli biometria behawioralna miałaby służyć tylko do weryfikacji, czyli dzięki niej pozbywamy się hasła, ale nie pozbywamy się loginu, takie jej zastosowanie może być kwestią kilku lat. Wszystko zależy od tego, w jakim tempie ta technologia będzie się rozwijać. Myślę, że za rok będę mógł pokazać system, który tylko na podstawie tego, w jaki sposób wpisujesz login, powie czy ty to ty.

Jeśli macie własne pytania związane z biometrią behawioralną, Mateusz Chrobok odpowie na nie w komentarzach pod artykułem.

Źródło zdjęcia tytułowego: geralt/Pixabay

Subscribe
Powiadom o
22 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Tomasz
2 lat temu

Korzystam z menedżera haseł, który automatycznie wpisuje hasła, ale okazyjnie wpisuję też hasła ręcznie. Co w takim przypadku ?

2 lat temu
Reply to  Tomasz

Stanie się to częścią Twojej charakterystyki. Nasz system działa przed momentem zalogowania i kończy w momencie wylogowania lub zamknięcia karty przeglądarki. Tu największym zyskiem jest uwierzytelnianie ciągłe – wiecej informacji możesz znaleźć tu: https://fingerprints.digital/pl/funkcjonalnosc/.
Dzięki za pytanie!

wrona
2 lat temu

Czyli po pijaku nie zrobimy przelewu…

Admin
2 lat temu
Reply to  wrona

Jak żyć? Ale system się uczy, więc permanentni alkoholicy mają szansę, że ich stan zostanie uznany przez system za normę. I wtedy nie zrobią przelewu na trzeźwo 😉

2 lat temu
Reply to  Maciej Samcik

Jest dokładnie tak jak napisał Maciej. Parafrazując cytat – ludzie są lepsi od robotów gdyż zapominają. Założyliśmy, iż pewne zmiany będą się utrwalały więc naturalnie zapominamy w czasie tak by w przypadku zmiany nawyku nie brać pod uwagę przeszłości, która mogła by zmniejszać jakość modelu.

wrona
2 lat temu
Reply to  Maciej Samcik

Czyli permanentna blokada konta…

2 lat temu
Reply to  wrona

@Wrona dlaczego tak uważasz? Biometria behawioralna jest wykorzystywana jako jeden z czynników uwierzytelniania. Zapraszam do testów. Ciekaw jestem czy uda Ci się taką blokadę uzyskać ;).

Imkę
2 lat temu
Reply to  wrona

Może to i lepiej?

2 lat temu

Dziękuje za wywiad. Bardzo mi miło! Nie mogę się doczekać pytań.

Joanna
2 lat temu

Czy na świecie są stosowane podobne rozwiązania?

Admin
2 lat temu
Reply to  Joanna

Nie słyszałem, by gdzieś w banku to funkcjonowało, ale nie sądzę, by to był wyłącznie polski wynalazek

Admin
2 lat temu
Reply to  Maciej Samcik

Choć może Pan Mateusz nas zaskoczy i powie, że to nasze, polskie, autorskie?

2 lat temu
Reply to  Maciej Samcik

To o czym opowiadamy jest dokładnie Polskie autorskie stworzone przez startup wraz z ludźmi, którzy są o wiele lepsi ode mnie. Istnieją rozwiązania innych firm jednak nie dostarczają takiej samej usługi. W razie czego chętnie wejdę w szczegóły.

2 lat temu
Reply to  Maciej Samcik

@Joanna jest kilka instytucji, które testuje takie rozwiązania na świecie. Niektóre z nich zbierają dane uznawane za jednoznacznie identyfikujące użytkownika np. adres IP w EU. Część bada to co wprowadzasz efektywnie poznając informacje o np. Twoim loginie i haśle. Inni korzystają z kontekstu tego co wykonujesz a więc na przyklad informacji o transakcji. To wszystko znajduje się w dużym worku z nalepką „Biometria Behawioralna”. Nasz pomysł jest taki, by podejść do sprawy etycznie i wykorzystywać minimum danych, które nie są wrażliwe.

Peter
2 lat temu

W powyższym wywiadzie jest napisane ze dane biometryczne sa zbierane od momentu wejścia na stronę do logowania (czyli przed zalogowaniem), „Dane zaczynamy zbierać w momencie, gdy wejdziesz na stronę logowania banku. Twoja przeglądarka otrzymuje informację, że jesteś klientem korzystającym z usługi digitalfingerprints, a więc że wyraziłeś zgodę na zbieranie danych o twoim zachowaniu. Jeśli nie, żadne dane do nas nie trafią. Jeśli tak, wówczas dane, które zostały zebrane przez przeglądarkę, są do nas wysyłane. Dzięki temu już na etapie wprowadzania loginu i hasła system może ocenić, czy było to robione zgodne z twoim profilem..(…)” W regulaminie pilotażu (https://www.mbank.pl/pdf/ind/uslugi/regulamin-pilotazu-weryfikacji-behawioralnej-uzytkownika.pdf) są dwa… Czytaj więcej »

2 lat temu
Reply to  Peter

Peter – Świetne pytanie! Przyznam, że podejście do tego tematu jak chronić użytkownika w sposób etyczny z zachowaniem zasad RODO było jednym z ciekawszych zadań i naszych wymagań. By wyjaśnić jak działamy opowiem krok po kroku kiedy następuje identyfikacja przez bank i w jakim czasie nasza weryfikacja zaczyna funkcjonować. Gdy wchodzisz na stronę logowania dostarczany jest Ci skrypt do zbierania zachowania. Twoje zachowanie jest zbierane ale nie jest wysyłane jeszcze do Digital Fingerprints. W momencie zalogowania nasz partner – tu Bank jest w stanie zidentyfikować Cię i sprawdzić czy wyraziłeś zgodę na udział w projekcie. Z tego punktu mamy dwa… Czytaj więcej »

Paweł
2 lat temu

Jak moża samemu zweryfikować, że skrypt zbierający dane działa prawidłowo i nie wysyła zbieranych danych przed zalogowaniem?

2 lat temu
Reply to  Paweł

Pawle. Nie zachęcam do ingerencji w ruch, który leci do banku gdyż nie jestem pewien konsekwencji prawnych takich działań. W innych przypadkach można zastosować lokalne proxy, w którym podglądniesz cały ruch by się upewnić, że nie leci nic nieprawidłowego. Gdybyś miał trudność z doborem narzędzia daj znać. Moje zdanie jest takie, iż każde działanie powinno być jak najbardziej transparentne. Będę wdzięczny gdy podzielisz się swoimi obserwacjami.
Pozdrawiam

aaa
2 lat temu

RODO tej firmy może nie dotyczyć bo nie widzą kto i co ale banku jak najbardziej dotyczy – bank zbiera dodatkowe informacje o użytkowniku bez jego zgody, przekazuje je dalej (powierzenie przetwarzania danych). Wedle RODO nie może tej zgody mu narzucić.

Jak to prawnie bank chce rozwiązać?

2 lat temu
Reply to  aaa

@aaa Jakie dane masz na myśli? Nam jako Digital Fingerprints przekazywane są tylko dane behawioralne i to tylko po uzyskaniu zgody użytkownika. Na razie taką możliwośc dostała część klientów. Gdybyś chciał dołączyć to link znajdziesz tutaj: https://fingerprints.digital/pl/pierwszy-bank-w-polsce-uruchamia-digital-fingerprints/

Asiab78
2 lat temu

Nie pozwolę na przetwarzanie moich danych behawioralnych. Czy skrypt „na dzieńdobry” da się zablokować? Czy da się zalogować do banku bez JavaScriptu? Strona serwisu transakcyjnego puchnie, obciążenie generowane przez nią znacznie wzrosło ostatnio.

2 lat temu
Reply to  Asiab78

@Asiab78. Skrypt nie wysyła danych „na dzień dobry” – jeżeli nie wyraziłeś zgody – nie będą one przetwarzane. Istnieją banki, których strony nie funkcjonują bez JavaScriptu. Co do ostatniego pytania myślę, iż najlepiej zwrócić się do banku z Twoją uwagą. Jeżeli chciałbyś się dowiedzieć więcej o biometrii behawioralnej lub wyrazić swoją opinię to zapraszam do kontaktu.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!