Dane biometryczne

Czym są biometria?

Biometria to cechy fizyczne lub behawioralne, które są unikalne dla każdej osoby i są wykorzystywane do uwierzytelniania osoby w celu uzyskania dostępu do aplikacji i innych zasobów sieciowych. Przykładami identyfikatorów biometrycznych są odciski palców, wzory twarzy, wzory machnięcia palcem, rytm pisania na klawiaturze lub głos. Uwierzytelnianie biometryczne jest popularnym składnikiem uwierzytelniania wieloczynnikowego (MFA), ponieważ łączy silne wyzwanie uwierzytelniania z doświadczeniem użytkownika o niskim poziomie tarcia.

Według Wikipedii, "identyfikatory biometryczne są często kategoryzowane jako cechy fizjologiczne lub behawioralne. Cechy fizjologiczne związane są z kształtem ciała. Przykłady obejmują, ale nie są ograniczone do odcisku palca, żył dłoni, rozpoznawania twarzy, DNA, odcisku dłoni, geometrii dłoni, rozpoznawania tęczówki, siatkówki i zapachu/zapachu". Biometria behawioralna jest związana z wzorcem zachowania, takim jak rytm pisania danej osoby lub sposób trzymania lub przesuwania telefonu.

Biometria jest coraz częściej stosowana w mobilnych aplikacjach bankowych, ułatwiając klientom logowanie i dodając kolejną warstwę bezpieczeństwa. Systemy biometryczne nie polegają na tym, że informacje biometryczne, takie jak obraz twarzy, są tajne. W przeciwieństwie do haseł i kodów PIN, danych biometrycznych nie można zapomnieć ani udostępnić, a ich skopiowanie lub kradzież są trudniejsze.  

Jak działają dane biometryczne?

System biometryczny składa się z trzech różnych elementów. W urządzeniu musi znajdować się czujnik rejestrujący i odczytujący informacje biometryczne, takie jak odcisk palca. Jeśli korzystasz z danych biometrycznych w celu uzyskania dostępu do telefonu komórkowego, musi istnieć komputer bezpiecznie przechowujący dane biometryczne w celu ich porównania. Trzecim elementem jest oprogramowanie służące do połączenia sprzętu komputerowego z czujnikiem

Biometria statyczna i biometria behawioralna: Jaka jest różnica?

Biometria statyczna

Biometria statyczna wykorzystuje cechy fizyczne, takie jak skan odcisku palca lub rozpoznawanie twarzy, do odblokowywania telefonów komórkowych, logowania się do kont bankowych lub przeprowadzania transakcji.  

Oto główne rodzaje statycznych danych biometrycznych używanych do weryfikacji Twojej tożsamości:

  • Oprogramowanie dorozpoznawania twarzy analizuje odległość między oczami użytkownika oraz odległość między podbródkiem a nosem, aby stworzyć zaszyfrowany cyfrowy model twarzy. Podczas uwierzytelniania oprogramowanie do rozpoznawania twarzy skanuje ją w czasie rzeczywistym i porównuje z cyfrowym modelem bezpiecznie przechowywanym w systemie. Systemy rozpoznawania twarzy z "aktywnym wykrywaniem aktywności" wymagają od użytkownika poruszania głową, mrugania lub wykonywania innych ruchów. Detekcja aktywności może być również pasywna, działając za kulisami, wykorzystując algorytmy do analizy próbek biometrycznych pod kątem oznak, że nie pochodzą od żywej osoby, takich jak wykrywanie papieru, ekranów cyfrowych lub wycięć w masce wydrukowanej w 3D. Silna detekcja aktywności daje pewność, że to rzeczywisty klient prezentuje swoją próbkę biometryczną systemowi, a nie napastnik próbujący się pod niego podszyć w ramach tzw. ataku prezentacyjnego.
  • Rozpoznawanie linii pap ilarnych jest jedną z najpopularniejszych form, jeśli nie najpopularniejszą, uwierzytelniania biometrycznego stosowanego w urządzeniach mobilnych. Pierwotnie został on spopularyzowany przez Touch ID firmy Apple. Czytnik linii papilarnych analizuje grzbiety i wzory odcisków palców i porównuje je z zapisanym cyfrowym modelem palca podczas uwierzytelniania. Rozpoznawanie linii papilarnych może ulec zmianie, jeśli palec jest mokry lub brudny. Napastnik nie jest w stanie odtworzyć odcisku palca danej osoby, jeśli system rozpoznawania odcisków palców posiada silną funkcję wykrywania nieaktywności, co pomaga zapobiegać atakom prezentacyjnym, w których można wykorzystać model 3D lub fałszywy obraz.
  • Rozpoznawanie tęczówki: Istnieją dwie metody skanowania oczu w celu uwierzytelnienia tożsamości osoby. Podczas skanowania siatkówki, światło krótko świeci do oka, aby pokazać unikalny wzór naczyń krwionośnych w oku. Dzięki odwzorowaniu tego wzorca, narzędzie do rozpoznawania oczu może porównać oczy użytkownika z oryginałem. W skanowaniu tęczówki, kolorowe pierścienie znajdujące się w tęczówce są skanowane. W niektórych zastosowaniach rozpoznawanie oczu może być równie szybkie i dokładne jak rozpoznawanie twarzy, ale uzyskanie próbki do porównania w świetle słonecznym, gdy źrenice się zwężają, może być trudne. Rozpoznawanie tęczówki może być również mniej wiarygodne, gdy klient nosi okulary.  
  • Rozpoznawanie głosu analizuje unikalne brzmienie głosu danej osoby, które jest określane na podstawie długości traktu głosowego oraz kształtu nosa, ust i krtani. Analiza głosu osoby jest silną metodą uwierzytelniania, ale przeziębienie, zapalenie oskrzeli, inne choroby i hałas w tle mogą zniekształcić głos i zakłócić uwierzytelnianie.
  • Rozpoznawanie ge ometrii palca wykorzystuje geometrię 3D palca do weryfikacji tożsamości

Ogólnie rzecz biorąc, statyczne dane biometryczne są uważane za bezpieczny sposób uwierzytelniania klientów i powinny obejmować wykrywanie aktywności, aby zwalczyć sfałszowane odciski palców lub zdjęcia w ataku prezentacyjnym

Cover of Gartner guide

Gartner Market Guide for In-App Protection

Download the full Gartner Market Guide for In-App Protection to learn about the application security capabilities necessary to protect your mobile apps as well the major providers in the security space today.

Download Now

Biometria behawioralna

Biometria behawioralna analizuje Twoje unikalne nawyki i ruchy, aby stworzyć wzór zachowania, który można rozpoznać podczas pisania na klawiaturze lub sposobu trzymania telefonu. Podobnie jak biometria statyczna, biometria behawioralna dodaje kolejną warstwę zabezpieczeń w celu weryfikacji Twojej tożsamości. FinancialIT.net mówi: "Ta najnowocześniejsza technologia wykorzystuje czujniki ruchu i sztuczną inteligencję do identyfikacji unikalnych manier, takich jak sposób trzymania telefonu. Jest on powszechnie uważany za ostateczną granicę w dziedzinie bezpieczeństwa."

Oto główne rodzaje biometrii behawioralnej:

  • Rytm uderzeń klawiszy analizuje sposób i szybkość pisania na klawiaturze w celu określenia charakterystycznych wzorców. Siła nacisku palców podczas pisania na klawiaturze może być również ujęta w rozpoznawalny wzór.
  • Sposób trzymania telefonu analizuje kąt, pod jakim trzymasz telefon oraz dominującą rękę, której używasz podczas korzystania z telefonu. Biometria behawioralna obejmuje również sposób, w jaki wykonujesz gest machnięcia telefonem i jaką ręką.    
  • Twój chód, czyli to jak chodzisz, jest również cechą behawioralną, którą można badać pod kątem wzorca. Ponadto, czas i miejsce, w którym zazwyczaj się logujesz i dokonujesz transakcji, również mogą zostać przypisane do wzorca zachowań.  

Biometria behawioralna jest bezproblemowym doświadczeniem dla klientów, ale stanowi wyzwanie dla oszustów, ponieważ każda osoba posiada specyficzny profil swoich nawyków i ruchów. Dzięki biometrii behawioralnej, sesja użytkownika jest stale monitorowana, więc jeśli w jakimkolwiek momencie zostanie przerwana lub potencjalnie porwana, system może to rozpoznać i podjąć odpowiednie działania, aby zapobiec oszustwu zanim ono nastąpi.

Jak biometria chroni przed oszustwami finansowymi

Dane biometryczne są wykorzystywane przez instytucje finansowe do następujących celów

  1. Do cyfrowej weryfikacji tożsamości, gdy klient zdalnie otwiera nowe konto
  2. Do uwierzytelniania klienta (przy logowaniu lub do ciągłego uwierzytelniania w trakcie sesji bankowej)
  3. Do uwierzytelniania transakcji (w celu zapewnienia, że prawowity właściciel konta jest rzeczywiście osobą inicjującą transakcję)

Konsumenci coraz lepiej radzą sobie z biometrią i wielu z nich decyduje się na korzystanie z odcisku palca lub rozpoznawania twarzy, na przykład, jako sposobu uwierzytelniania i weryfikacji tożsamości w swojej instytucji finansowej. Dane biometryczne dodają kolejną warstwę bezpieczeństwa i pomagają podnieść poziom zaufania, jakim klienci obdarzają swoją instytucję finansową. Touch ID firmy Apple, wprowadzone w 2013 roku, przyczyniło się do wzrostu popularności biometrii w bankowości mobilnej, ponieważ dostarcza instytucjom finansowym technologię opartą na urządzeniu, którą mogą wykorzystać do zabezpieczenia swojej platformy bankowości mobilnej.  

Podobnie, Android Fingerprint ID pozwala użytkownikom na weryfikację tożsamości za pomocą odcisku palca na niektórych urządzeniach z systemem Android. Javelin twierdzi, że konsumenci domagają się wyboru w zakresie uwierzytelniania. Dla ponad jednej trzeciej użytkowników, trzy metody uwierzytelniania, które najbardziej chcieliby, aby były obsługiwane przez ich instytucje finansowe, to wszystkie modalności biometryczne. Javelin zauważa również, że choć zwykle można by się spodziewać, że konsumenci, którzy chcą mieć wybór biometryczny, będą skupiać się wśród młodszych klientów, około 40% z nich było w wieku powyżej 55 lat

Jak biometria zapewnia silne uwierzytelnienie klienta

Biometria jest częścią procesu uwierzytelniania wieloczynnikowego (MFA), w którym wiele technologii może być wykorzystanych do uwierzytelnienia tożsamości osoby, która loguje się do sesji bankowej lub dokonuje transakcji finansowej. Aby uzyskać uwierzytelnianie wieloczynnikowe (MFA), należy zastosować co najmniej dwa różne czynniki uwierzytelniania. Czynniki uwierzytelniające obejmują:

Coś, co wiesz

Zwykle jest to hasło, PIN, fraza lub pytania z odpowiadającymi im odpowiedziami.  

Coś, co masz

Może to być jednorazowy kod PIN lub smartfon z aplikacją uwierzytelniającą jako urządzenie, które generuje jednorazowy kod dostępu za kulisami.

Coś, czym jesteś

Jest to wszystko, począwszy od odcisków palców, skanów siatkówki oka, rozpoznawania twarzy, rozpoznawania głosu lub zachowania klienta (np. jak mocno lub szybko pisze lub przeciąga palcem po ekranie), które mogą być wykorzystane do weryfikacji unikalnego klienta.

W rezultacie, użycie kodu PIN z funkcją rozpoznawania twarzy jest uwierzytelnianiem wieloczynnikowym, ponieważ łączy w sobie coś, co wiesz i coś, czym jesteś, podczas gdy użycie kodu PIN z hasłem nie byłoby uważane za uwierzytelnianie wieloczynnikowe, ponieważ są to po prostu dwie rzeczy, które wiesz.

Jak biometria pomaga chronić przed oszustwami finansowymi

Wykorzystanie biometrii jako części Silnego Uwierzytelniania Klienta (SCA) lub MFA może pomóc w ograniczeniu różnych rodzajów ataków oszustwa. Kiedy oszuści włamują się cyfrowo na konto bankowe, aby przejąć nad nim kontrolę, często stosują taktykę phishingu, aby nakłonić ludzi do nieumyślnego ujawnienia swoich danych logowania. W rezultacie dochodzi do przejęcia konta, które jest głównym zagrożeniem dla instytucji finansowych i ich klientów ze względu na straty finansowe i wysiłek włożony w łagodzenie skutków. Biometria może pomóc powstrzymać napastników w punkcie dostępu (logowania) poprzez prośbę o skanowanie odcisku palca lub twarzy. Atakujący nie będzie w stanie pomyślnie uwierzytelnić się i nie będzie mógł dostać się na cudze konto. Co więcej, sprawne wykrywanie liveness i spoof detection jeszcze bardziej utrudniają zadanie atakującym. Atakujący nie będzie w stanie naśladować biometrii prawowitego klienta i zostanie pozbawiony dostępu do konta.  

Jak biometria pomaga zapobiegać oszustwom podczas zdalnego otwierania konta

Dane biometryczne odgrywają również rolę w zapobieganiu oszustwom związanym z tożsamością podczas procesu zdalnego otwierania konta. Obecnie, dzięki COVID-19, wielu konsumentów unika niepotrzebnych wizyt w oddziale banku. Nawet jeśli nowy wnioskodawca nie stoi twarzą w twarz z przedstawicielem banku, bank nadal musi zweryfikować, czy zdalny wnioskodawca jest faktycznie prawowitym właścicielem dokumentu tożsamości, takiego jak paszport lub prawo jazdy. Ma to zasadnicze znaczenie w walce z oszustwami dotyczącymi składania wniosków.    

Biometria jest częścią tego procesu. Na przykład, porównanie twarzy jest wykorzystywane do weryfikacji tożsamości, aby upewnić się, że zdalny wnioskodawca jest tym, za kogo się podaje. Po sprawdzeniu autentyczności prawa jazdy, paszportu lub innego dokumentu tożsamości wydanego przez rząd, kandydat jest proszony o zrobienie sobie zdjęcia z urządzeniem mobilnym. Gdy selfie jest używane do rozpoznawania twarzy, można zastosować wykrywanie żywych kolorów, aby udowodnić prawdziwą obecność człowieka.  

Istnieją dwa rodzaje detekcji aktywności, które pozwalają określić, czy cecha biometryczna pochodzi od prawdziwej osoby, czy też jest cyfrową lub wytworzoną reprezentacją. Aktywne wykrywanie aktywności wymaga, aby osoba mrugnęła lub odwróciła głowę, natomiast pasywne wykrywanie aktywności działa za kulisami i wykorzystuje algorytmy do wykrywania oznak potencjalnego spoofingu. Technologie porównywania twarzy wykorzystują zaawansowane algorytmy do analizy danych biometrycznych pochodzących z rysów twarzy danej osoby. Na przykład położenie i wielkość oczu danej osoby względem siebie można wykorzystać do określenia, czy selfie i wydany przez rząd dokument tożsamości należą do tej samej osoby

Jak biometria poprawia doświadczenia klientów

Zastosowanie biometrii przyspiesza i ułatwia klientom interakcję z ich instytucjami finansowymi. Biometria jest bezpieczniejszym sposobem uwierzytelniania niż hasła, które często są kradzione lub zapominane. Biometria może zwiększyć zaufanie klientów do ich instytucji finansowych, ponieważ oszustom jest znacznie trudniej odnieść sukces z wykorzystaniem fałszywego odcisku palca lub selfie. Pozytywne doświadczenia z biometrią do weryfikacji tożsamości podczas zdalnego otwierania konta oraz do uwierzytelniania klienta podczas logowania również mogą zwiększyć lojalność klientów i ich zaufanie do instytucji finansowej.   

Warto zauważyć, że modele biometryczne mogą uczyć się w czasie, dzięki czemu zmiany w cechach osoby wynikające ze starzenia się są brane pod uwagę i nie unieważniają dopasowania. Jeśli użytkownik uwierzytelnia się regularnie, małe zmiany w wyglądzie nie będą na tyle znaczące, aby unieważnić dopasowanie. Zamiast tego, matematyczny model osoby będzie aktualizowany w miarę rozpoznawania zmian w wyglądzie.

Javelin Scorecard book open
Analyst Report

Javelin | Mobile Biometrics Platform Scorecard

To help financial institutions evaluate mobile biometric solutions, Javelin ranked 12 vendors using the advisory firm's Functional, Innovative, and Tailored (FIT) model. Discover which vendors lead the pack in key areas like ease of integration, long-term value, and flexibility in adapting to business needs and use cases.

Download Now

Co analitycy mówią o biometrii

Według Gartnera, "uwierzytelnianie biometryczne nie może i nie zależy od tajności cech biometrycznych, ale zamiast tego opiera się na trudności podszycia się pod żywą osobę prezentującą cechę urządzeniu przechwytującemu ("sensorowi") - czyli na ataku prezentacyjnym". Gartner dodaje, że ta kwestia nie jest powszechnie znana, co prowadzi do pewnych powszechnych błędnych przekonań, wzmocnionych przez ograniczone wykrywanie ataku prezentacyjnego (PAD) w urządzeniach konsumenckich i rozgłos o udanych atakach na Apple Touch ID, czujniki machnięcia Samsunga, rozpoznawanie twarzy w systemie Android itp. Korzyści dla klienta wynikające z uwierzytelniania biometrycznego, zdaniem Gartnera, spowodowały wzrost liczby aplikacji bankowości mobilnej w ciągu ostatnich kilku lat.

FirmaJuniper Research oszacowała, że sprzęt do rozpoznawania twarzy, taki jak Face ID w ostatnich iPhone'ach, będzie najszybciej rozwijającą się formą sprzętu biometrycznego w smartfonach. Oczekuje się, że w 2024 roku liczba ta osiągnie ponad 800 milionów, w porównaniu z szacunkową liczbą 96 milionów w 2019 roku. Nowe badania, Mobile Payment Authentication: Biometrics, Regulation & Forecasts 2019-2024, zauważają jednak, że większość smartfonów z funkcją rozpoznawania twarzy będzie oparta na oprogramowaniu, z ponad 1,3 miliarda urządzeń posiadających taką możliwość do 2024 roku

MarketResearch.com zauważa, że walka z oszustwami bankowymi w świecie cyfrowym wymaga bardziej niezawodnych technologii. "Biometria jest potężną bronią w walce z rosnącym zagrożeniem oszustwami finansowymi. Technologia ta jest zatem w centrum uwagi dzięki takim korzyściom jak: łatwe, niezawodne uwierzytelnianie oparte na unikalnych znakach fizycznych, które są trudne do odtworzenia lub powielenia, np. rozpoznawanie głosu, skanowanie tęczówki oka, odcisk palca i rozpoznawanie twarzy; eliminacja konieczności pamiętania haseł i zarządzania hasłami jednorazowymi (OTP); zwiększone bezpieczeństwo odporne na strategie cyberhakerskie; niezrównana wygoda; znacznie zmniejszone ryzyko kradzieży tożsamości; wyższa jakość doświadczenia użytkownika; minimalny lub zerowy interfejs użytkownika; oszczędność czasu i zmniejszenie obciążenia pracą związaną z uwierzytelnianiem na zapleczu, między innymi." MarketResearch.com twierdzi, że globalny rynek biometrii dla bankowości i usług finansowych ma osiągnąć wartość 10,8 mld USD do 2025 roku.

Javelin twierdzi, że przechowywanie szablonów biometrycznych lokalnie na urządzeniu danej osoby zmniejsza ryzyko związane z narażeniem danych na szwank, czy to w trakcie ich przesyłania, czy też przez złośliwe podmioty, których celem jest scentralizowany magazyn danych biometrycznych. "W połączeniu ze standardami uwierzytelniania, takimi jak te opracowane przez FIDO Alliance, lokalne uwierzytelnianie biometryczne jest prawie niemożliwe do wyłudzenia lub niewłaściwego wykorzystania przechwyconych danych". Javelin zauważa również, że "Jeśli złośliwa osoba jest w stanie z powodzeniem zarejestrować swoje własne cechy w biometrycznym urządzeniu uwierzytelniającym, to nawet najbardziej wyrafinowana metoda uwierzytelniania nadal pozwoli jej przejść przez wyzwania bezpieczeństwa. W związku z tym wielu dostawców oferuje dodatkowe narzędzia oceny ryzyka wbudowane w ich platformy, takie jak fingerprinting urządzeń i geolokalizacja. Inne narzędzia, takie jak skanowanie dokumentów, stanowią naturalne uzupełnienie skanowania biometrycznego, które umożliwia porównanie danych biometrycznych pobranych przez użytkownika z obrazem na dokumencie identyfikacyjnym."

Biometria i zgodność z przepisami

Biometria pomaga organizacjom spełnić wymagania Strong Customer Authentication (SCA) zawarte w Drugiej Dyrektywie Unii Europejskiej o Usługach Płatniczych (PSD2), które są regulacjami dotyczącymi usług płatności elektronicznych. Zgodnie z wymogami SCA, uwierzytelnianie musi opierać się na co najmniej dwóch z następujących czynników: wiedzy (takiej jak hasła lub PIN-y), posiadaniu (takim jak tokeny lub urządzenia mobilne) lub dziedziczeniu (biometria).

Zgodnie z ogólnym rozporządzeniem UE o ochronie danych (GDPR), uwierzytelnianie dwuskładnikowe jest wymagane dla zachowania zgodności z przepisami. Oznacza to, że zwykła kombinacja nazwy użytkownika i hasła nie stanowi już wystarczającego zabezpieczenia dla ochrony danych, ponieważ hasła mogą być łatwo skradzione, udostępnione lub wykorzystane. Natomiast uwierzytelnianie dwuskładnikowe (2FA) służy do identyfikacji osoby, gdy dwa z trzech możliwych czynników uwierzytelniania są połączone w celu przyznania dostępu do strony internetowej lub aplikacji: coś, co dana osoba wie, coś, co dana osoba posiada lub coś, czym dana osoba jest, co wiąże się z wykorzystaniem danych biometrycznych, takich jak odcisk palca lub skan twarzy.

W Stanach Zjednoczonych największy regulator stanowy, nowojorski Departament Usług Finansowych, wydał rozporządzenie zatytułowane Cybersecurity Requirements for Financial Services Companies. Wymaga ona stosowania uwierzytelniania wieloczynnikowego, w tym biometrii, "w celu ochrony przed nieuprawnionym dostępem do informacji niepublicznych lub systemów informacyjnych". Informacje niepubliczne to informacje prywatne danej osoby

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego