Authentification biométrique : cinq mythes brisés

Samuel Bakken, juin 3, 2020
Biometric Authentication: Five Myths Busted

La biométrie est de plus en plus utilisée dans les applications bancaires mobiles pour sécuriser le processus bancaire numérique tout en offrant une expérience utilisateur pratique. La technologie est particulièrement utile dans l’ère actuelle COVID-19, car il ya eu un changement énorme vers les services bancaires mobiles et en ligne en raison de l’abri sur place des commandes. Des enquêtes récentes montrent que les consommateurs sont de plus en plus à l’aise d’utiliser l’authentification biométrique pour sécuriser leurs transactions bancaires numériques, avec 65 pour cent des Américains se disant prêts à fournir des informations biométriques à leur banque. Bien que les consommateurs adoptent la biométrie pour les services bancaires numériques, il y a encore quelques idées fausses au sujet de la technologie, qui peut facilement être dissipé.

Voici cinq mythes courants liés à la biométrie, et la vérité que les institutions financières et les consommateurs devraient savoir:

Mythe : La reconnaissance faciale et des empreintes digitales est facilement dupée par une empreinte digitale ou une photo statique

Réalité: Les systèmes sophistiqués d’authentification biométrique d’aujourd’hui comprennent des capacités de détection de la vivacité pour lutter contre les attaques de présentation, ou « parodies » qui pourraient inclure des modèles imprimés en 3D, des masques, des images ou des vidéos. La détection de la vie peut être active, ce qui oblige un utilisateur à cligner des yeux ou à tourner la tête; ou passif - courir dans les coulisses à l’aide d’algorithmes pour analyser des échantillons biométriques pour les signes qu’il n’est pas d’une personne vivante, comme la détection de papier, écrans numériques ou découpes dans un masque imprimé 3D.

Les méthodes actives de détection de la vie sont plus visibles et plus faciles pour un attaquant à étudier et à contourner, tandis que la détection passive de la vie est plus rapide, moins intrusive et comprend des techniques plus avancées pour déterminer la présence en direct. Pour les cas d’utilisation sensible tels que les services bancaires mobiles, une solution tierce qui combine plusieurs méthodes de détection anti-usurpation et de vie est un ajustement idéal.

Mythe : L’authentification biométrique offre un niveau de confiance inférieur à celui des identifiants de connexion

Réalité: L’authentification biométrique peut fournir un niveau de confiance plus élevé que les méthodes basées sur les titres de compétences, car la biométrie ne peut pas facilement être partagée. En revanche, les authentificateurs traditionnels tels que les mots de passe, les NIP et les informations personnellement identifiables des consommateurs (IIP) sont sharables et ont également été divulgués ou volés dans des violations de données de haut niveau et mis à disposition pour la vente sur le dark web. En outre, l’authentification biométrique avec la détection active et passive de la vie et la technologie anti-usurpation offre une confiance supplémentaire parce que l’empreinte digitale, le visage ou toute autre biométrie est présenté en direct et connecté à l’individu en chair et en os.

Mythe : L’authentification biométrique est une atteinte à la vie privée

Réalité: Les technologies de comparaison et de reconnaissance faciales utilisées dans les applications mobiles sont des cas d’utilisation opt-in, où un consommateur s’inscrit volontairement dans le système pour permettre une connexion de compte facile ou ajouter une couche supplémentaire de sécurité. C’est différent des technologies de reconnaissance faciale souvent rapportées dans les nouvelles, où la technologie a été utilisée dans les espaces publics, et les gens n’ont pas donné leur consentement à être surveillés.

Plus important encore, la reconnaissance faciale en tête-à-tête ne stocke pas les photos brutes à des fins d’identification, mais crée plutôt une représentation mathématique du visage. Cette représentation, qui est conservée dans le fichier pour comparaison lorsque l’utilisateur se connecte, est généralement cryptée et essentiellement inutile pour un attaquant.

L’authentification biométrique ne repose pas sur le secret des traits biométriques, mais plutôt sur la difficulté d’usurper l’identité de la personne vivante. Ce qui est le plus important est la détection efficace des parodies, qui peut faire défaut dans de nombreux systèmes biométriques natifs de l’appareil.

Mythe : La biométrie n’est pas pratique à long terme parce que des technologies comme la reconnaissance faciale ou les empreintes digitales ne fonctionneront pas à mesure qu’une personne vieillit et que leurs caractéristiques changent.

Réalité: Les marqueurs biométriques comme l’iris d’une personne restent assez stables au fil du temps, tandis que le visage ou la voix d’une personne peut changer légèrement au fil du temps. Le temps pendant lequel des changements importants aux marqueurs biométriques d’une personne se produira en fait un non-problème pour la plupart des applications d’authentification des utilisateurs, comme la plupart des consommateurs authentifient plus régulièrement et de petits changements dans leurs fonctionnalités seront notés et mis à jour avec l’application au fil du temps.

Certaines solutions d’authentification biométrique sont dynamiques et mettent régulièrement à jour le modèle d’empreintes digitales stockés du consommateur afin qu’ils cartographient les changements au fur et à mesure qu’ils se produisent. Souvent, les utilisateurs peuvent également enregistrer une deuxième empreinte digitale en cas de panne de la première. Une approche en couches de la sécurité avec de multiples facteurs d’authentification est toujours la meilleure approche.

Mythe : La biométrie ne s’applique que si l’utilisateur est déjà connu

Réalité: La biométrie comportementale, qui analyse la façon dont une personne interagit avec l’appareil mobile, peut être utilisé pour renforcer la sécurité et lutter contre la fraude, même lorsque l’utilisateur n’est pas encore connu de l’organisation. Dans le cas d’un utilisateur inconnu, comme lorsque quelqu’un demande un nouveau compte bancaire, la biométrie comportementale peut comparer le comportement du consommateur à ce qui est typique pour une population plus large. De cette façon, la biométrie comportementale peut être utilisée pour évaluer la probabilité qu’un nouveau demandeur exécute les actions d’un utilisateur légitime. Plus le score de similitude est élevé, moins l’organisation doit s’inquiéter de l’identité ou de l’intention de l’utilisateur. Plus la similitude entre le comportement d’un consommateur par rapport à des populations similaires justifie des couches supplémentaires de détection des risques et de fraude.

La biométrie est une technologie phare permettant l’avenir de la banque numérique, mais ils peuvent être intimidants pour ceux qui ne les connaissent pas. En dissipant les mythes et les idées fausses de la biométrie, des organisations telles que les institutions financières peuvent aider leurs clients à se sentir plus à l’aise d’utiliser cette technologie pour mener des transactions importantes en toute sécurité et commodément dans les canaux numériques à l’époque COVID-19 et au-delà.

Javelot - France Carte de pointage de plate-forme biométrique mobile
Rapport d'analyste

Javelot - France Carte de pointage de plate-forme biométrique mobile

Pour aider les institutions financières à évaluer les solutions biométriques mobiles, Javelin a classé 12 fournisseurs selon le modèle fonctionnel, novateur et adapté (FIT) du cabinet de conseil. Découvrez quels fournisseurs sont les chefs de file dans des domaines clés comme la facilité d'intégration, la valeur à long terme et la flexibilité dans l'adaptation aux besoins de l'entreprise et aux cas d'utilisation.

Télécharger

L’article suivant, rédigé par Sam Bakken, Senior Product Marketing Manager, est apparu pour la première fois le 2 juin 2020 sur BiometricUpdate.com.

Sam est senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaines de la sécurité de l'information.