Biometria zamiast PIN-ów na zakupach? Połowa Polaków mówi "tak"

W połowie września wejdzie w życie nowa dyrektywa unijna o usługach płatniczych (PSD2). Płacąc np. za zakupy w sklepach internetowych banki w procesie sprawdzania czy nikt się pod klienta nie podszywa będą musiały wykorzystać co najmniej dwa „bezpieczniki”. Jednym z nich może być biometria, z której – jak wynika z badań Mastercarda – chciałaby korzystać aż połowa Polaków

Jeszcze do niedawna biometria była postrzegana w kategoriach gadżetu. Banki i fintechy co prawda eksperymentowały z tą technologią potwierdzania tożsamości, ale jakoś bez zapału. Dopiero w ostatnim czasie coś się zmieniło.

Ciekawe? Po przeczytaniu wróć tutaj, kliknij i odkryj sprawdzone patenty Samcika na ochronę przed inflacją

Np. mBank testuje biometrię (tzw. behawioralną) w procesie logowania się do bankowości elektronicznej. Na podstawie sposobu pisania na klawiaturze czy poruszania myszką specjalne oprogramowanie i algorytmy oceniają czy do systemu loguje się uprawniona osoba. W kilku bankach dodatkowym sposobem weryfikacji klienta na infolinii jest jego głos.

Przeczytaj też: Bank rozpozna Cię po sposobie pisania na klawiaturze i używania myszki. Czy biometria behawioralna ochroni nas przed oszustami?

Przeczytaj też: Klient skarży się, że pracownik infolinii banku zmusił go do… nagrania próbki głosu. Po co? I czy tak wolno? Biometria schodzi pod strzechy

Z biometrią ma też do czynienia coraz więcej użytkowników smartfonów. Żeby odblokować telefon nie trzeba wpisywać kodu czy „przejechać wężykiem”, a wystarczy przyłożyć palec do czytnika linii papilarnych w telefonie. Ale np. autoryzowanie przelewów poprzez odcisk palca jest dziś możliwe tylko w nielicznych bankach i to z dużymi ograniczeniami.

Wiedza, posiadanie, cecha…

Rozwój biometrii w bankowości mogą przyspieszyć zmiany w prawie. Już za kilka miesięcy, a dokładnie 14 września, w życie wchodzi PSD2 – unijna dyrektywa o usługach płatniczych. Wprowadza ona tzw. silne uwierzytelnienie klienta (SCV). Podczas zakupów internetowych, bank autoryzujący transakcję będzie musiał wykorzystać co najmniej dwie z trzech metod uwierzytelniania klienta.

Pierwsza oparta jest na wiedzy, czyli na czymś, co zna konsument, np. login, hasło. Druga opiera się na posiadaniu, czyli np. telefonie, który wcześniej został zdefiniowany w systemie bankowości elektronicznej jako zaufane urządzenie. Trzecia metoda to cechy klienta. I właśnie na tym polu biometria może zrewolucjonizować rynek.

Przeczytaj też: Login i hasło już nie wystarczą. Za kilka miesięcy będziemy musieli nauczyć się innego sposobu wchodzenia do banku

Przeczytaj też: Login i hasło do banku zamiast kopii dowodu osobistego albo wizyty w POK-u? Rusza usługa mojeID, czyli konto bankowe jak alfa i omega

Załóżmy, że robimy zakupy w sklepie internetowym, a płacimy karta. Żeby sfinalizować transakcję, oprócz podania danych karty, musimy wpisać jeszcze np. kod SMS, który przyjdzie na zdefiniowany w banku numer kontaktowy (czyli musimy mieć przy sobie urządzenie uznane przez bank za zaufane). Ale dyrektywa PSD2 dopuszcza, by zamiast kodem, klient uwierzytelnił się np. odciskiem palca.

Taką usługę – pod nazwą ID Check – udostępniła właśnie organizacja płatnicza Mastercard (z moich informacji wynika, że wprowadziły ją już mBank i Bank Millennium).

ID Check krok po kroku

Usługa ID Check wykorzystuje telefon i biometrię. Jak to działa krok po kroku? Wchodzę w smartfonie do sklepu internetowego. Wrzucam produkt do koszyka, akceptuję cenę. Jeśli bank, który wydał moją kartę, oferuje usługę ID Check mogę wybrać potwierdzenie biometryczne. Wówczas zostanę przeniesiony do bankowości mobilnej, gdzie będę musiał potwierdzić, że ja to ja odciskiem palca lub skanem twarzy.

Z tej metody uwierzytelnienia mogę skorzystać również wtedy, gdy zakupy online robię w laptopie. Na etapie uwierzytelnienia dostanę powiadomienie w telefonie o konieczności zalogowania się do bankowości mobilnej i potwierdzenia transakcji np. odciskiem palca.

Takie zatwierdzanie transakcji nie jest nowością dla osób, które korzystają z płacenia telefonem poprzez Apple Pay lub Google Pay. Kto dodał swoją kartę bankową do jednej z tych usług oraz kupuje coś w aplikacjach mobilnych, w których jest możliwość zapłaty via Apple Pay lub Google Pay, może zatwierdzić transakcję odciskiem palca w smartfonie.

Nie zawsze silne uwierzytelnienie, czyli z użyciem dwóch metod, będzie konieczne. Dyrektywa PSD2 dopuszcza wyjątki. Chodzi np. o transakcje o stosunkowo niskiej wartości, np. do 50 zł czy powtarzalne płatności, np. za kursy Uberem czy opłacanie abonamentu w serwisach VoD.

Co drugi Polak ufa biometrii

Czy uwierzytelnienie w oparciu o biometrię może wkrótce wyprzeć takie metody jak np. kody jednorazowe? W Mastercardzie wierzą, że tak. Firma zleciła badania, które miały zbadać poziom akceptacji dla tej technologii.

Już co czwarty ankietowany przyznaje, że korzysta z biometrii , np. przy odblokowywaniu telefonu. Ale aż połowa badanych zapewnia, że korzystałoby z biometrii, gdyby miała taką możliwość. Aż 47% polskich e-konsumentów preferowałoby biometryczne (a nie oparte na hasłach i PIN-ach) uwierzytelnienie przy płatnościach kartą, zarówno online, jak i w sklepach fizycznych. Najchętniej korzystaliby z technologii rozpoznawania odcisku palca, skanu tęczówki oka, rozpoznania głosowego lub analizy rysów twarzy.

Co ważne, ankietowani są przekonani, że biometria jest bezpieczna. Potwierdzanie transakcji odciskiem palca za bezpieczne uznaje 75% badanych. To wyższy wynik niż w przypadku kodów jednorazowych (66%).

Przeczytaj też: Czy analiza sposobu pisania na klawiaturze może zastąpić login i hasło do banku? Kilka milionów Polaków sprawdzi działanie biometrii behawioralnej

Przeczytaj też: Mapa dłużników live, czyli apka w smartfonie ostrzeże, że podchodzi do ciebie nierzetelny płatnik. Co dalej? Aż strach: scoring społeczny

Aleksander Naganowski, dyrektor ds. rozwoju nowego biznesu w polskim oddziale Mastercard Europe, jest przekonany, że w ciągu najbliższych kilku lat biometria stanie się nowym standardem potwierdzania tożsamości, wypierając kody czy hasła. Bo tych – jak mówi – zdarza się nam zapominać, co często skutkuje porzucaniem koszyka w czasie zakupów online.

Podczas konferencji, na której zaprezentowano nową usługę i wyniki badań, dziennikarzom pokazano też krótki film promujący potwierdzanie tożsamości za pomocą odcisków palca. Kilku bohaterów próbuje gdzieś się zalogować, ale nie pamiętają haseł. Z każdą kolejną nieudaną próbą narasta w nich wściekłość i frustracja. Film kończy się puentą: „Liczy się to, kim jesteś, a nie to, co pamiętasz”. Czas pokaże, czy szybko porzucimy hasła i kody, a płatność w e-sklepach potwierdzać będziemy odciskiem palca czy zdjęciem twarzy.

Zdjęcie: Pixabay

14 komentarzy

Oldest

Newest Most Voted

Inline Feedbacks

Zobacz wszystkie komentarze

Anna

4 lat temu

Dwa duże banki – BNPPariBas i PekaoSA już wprowadziły mobilne zatwierdzanie transakcji w systemie bankowości elektronicznej.”Żubrzyk” zrobił to dość drastycznie,bo z końcem bieżącego roku wycofuje autoryzację za pomocą karty kodów jednorazowych,SMSy zaś potwierdzające są płatne – wprawdzie PLN tylko 0.2 ale jednak;wyjątek stanowią transakcje wykonywane ze smartfona -tu jest już SMS gratis.Będziemy zatem musieli polubić metodę – ja lubię już 🙂

-2

Odpowiedz

anonymous

Reply to Anna

Zamiast karty kodów przyślą smartfona? W końcu nie każdy go posiada.

Gosia

Reply to anonymous

Dla tych co go nie mają zostają SMSy.

Don Q.

Reply to Gosia

Płatne.

To komentarz trochę nie na temat, ale:

— ciekawostką w Google Pay jest to, że można tam zapłacić (nawet dużą kwotę) w ogóle bez zatwierdzania transakcji hasłem, biometrią, czy w jakikolwiek inny sposób — o ile zrobiło się to chwilę wcześniej (np. odblokowując telefon).

Radek

Czy w przypadku wycieku danych zawierających informacje o moim odcisku palca mogę zdefiniować w banku nowy odcisk? Tak żeby złodziej nie mógł już więcej używać obecnego – ukradzionego. Jak wygląda taka procedura?

Reply to Radek

Odcisk definiujesz na smartfonie, a nie w banku

Tak, definiuję odcisk na smartfonie i później potwierdzam transakcję bankową, prawda?
Jeśli ktoś wykradnie ze smartfona dane o odcisku, to nie chcę już nim potwierdzać transakcji. W jaki sposób zablokować autoryzację wykradzionym odciskiem i zdefiniować nowy?

Nie da się wykraść informacji o odcisku palca. A przynajmniej w teorii (tzn. w poprawnie zrobionym systemie) nie powinno się dać. Apka powinna porównywać pewien skrót, rodzaj wyniku odczytu odcisku palca ze skrótem zapisanym — więc wykradzenie skrótu nie uniemożliwi jeszcze używania podrobionego odcisku do logowania się. Teoretycznie powinna to być funkcja jednokierunkowa, choć ponoć (nie znam się na tym), jeśli jakiś genialny matematyk znajdzie nową metodę wyliczania liczb pierwszych, to roz…wali całą obowiązującą obecnie kryptografię…

Reply to Don Q.

Skrót wystarczy. Autoryzując transakcję porównuję świeży skan (skrót) z tym zapisanym. Jeśli uzyskam ten zapisany i przedstawię go jako jedną część porównania, to porównanie zwróci informację o zgodności i pozwoli na dokonanie transakcji. Wykraść się da, może nie być to łatwe, ale się da. Co jakiś czas świat obiega informacja o kolejnym złamanym zabezpieczeniu, pozyskanych wrażliwych danych. Nie jest też tajemnicą, że chińscy producenci (ZTE, Huawei) wysyłali dane ze smartfonów na swoje serwery. Oprócz szkodliwego oprogramowania podrzucanego przez sieć stosuje się też takie sposoby jak – nazwijmy to – „szkodliwy kabel USB”. Jeśli ktoś podłączy swój telefon do ładowania przy… Czytaj więcej »

„Autoryzując transakcję porównuję świeży skan (skrót) z tym zapisanym”
— nie. Powinno to być zrobione w ten sposób, że porównuje się skrót wygenerowany z odcisku ze skrótem zapisanym. W takim przypadku nic nie da zdobycie zapisanego skrótu, bo na jego podstawie nie będzie się dało wygenerować poprawnego odcisku (dzięki funkcji jednokierunkowej).

Nie potrzebuję odcisku.
Wystarczy wykraść zapisany skrót, który przedstawię potem do porównania z zapisanym skrótem, zamiast skrótu wygenerowanego.

Jeżeli ktoś oczekuje ode mnie do autoryzacji fioletowy kwadrat (ukradnę kopię) i taki kwadrat mu przedstawię, to transakcja przejdzie. Nie ma znaczenia skąd ten kwadrat jest: kradziony, wygenerowany losowo itd

Czyż nie? Czy z porównania dwóch takich samych rzeczy mogę dostać negatywną odpowiedź?

„Wystarczy wykraść zapisany skrót, który przedstawię potem do porównania z zapisanym skrótem, zamiast skrótu wygenerowanego”
— nie, gdyż system jako danej wejściowej nie przyjmuje skrótu, lecz odcisk lub hasło.

„Jeżeli ktoś oczekuje ode mnie do autoryzacji fioletowy kwadrat (ukradnę kopię) i taki kwadrat mu przedstawię, to transakcja przejdzie”
— dlatego jeśli „ktoś” oczekuje od Ciebie odcisku lub hasła, to nic nie da, że będziesz dysponował wykradzionym skrótem (dopóki nie złamiesz, nie odwrócisz jednokierunkowej funkcji, odtwarzając ze skrótu oczekiwane hasło lub odcisk).
Jeśli ukradniesz skrót fioletowego kwadratu, to przez jednokierunkowość nie będziesz mógł dojść, że ktoś oczekuje fioletowego kwadratu.

Niestety nie widzę swojego komentarza mimo upływu kilku godzin, więc próbuję jeszcze raz 🙂

Jak wygląda procedura zmiany odcisku palca, jeśli informacje o nim zostaną wykradzione z telefonu? Jak banki podchodzą do tego? Czy będą z automatu uznawać reklamacje dot. transakcji które zostaną potwierdzone wykradzionym „odciskiem”?