Szeptembertől két faktoros azonosítás a bankoknál. Előtérbe kerülhetnek a biometrikus módszerek is

A változás sokrétű, de az egyik kulcselem, hogy a bankok két faktorral fogják azonosítani az elektronikus fizetéseknél az ügyfeleket. Ilyen faktor lehet valami, ami az ügyfél birtokában van (telefon, kártya), valami, amit tud (statikus PIN-kód, vagy egyéb információk, anyja neve, utolsó bankkártya-használat), illetve valami, ami csak az ügyfélre jellemző (az ujjlenyomat, az arca, az írisze, de akár a mobiltelefonjának használata, mozgatása, gépelése).

Forrás: FinTechZona

Forrás: FinTechZona

Jönnek a kétfaktoros ellenőrzések

Vagyis a nagyon közeli jövőben nagy szerepe lehet a biometrikus azonosításoknak, amelynek a nemrég megjelent, “Kész a Pénz? – Minden, amit a FinTechről tudni kell és érdemes” című szakkönyv is egy külön fejezetet szentel. A biometrikus azonosítások tehát olyan azonosítások, amelyek az emberi szervezet egyedi jellemzőinek felismerésén alapulnak. Ezek közül ismert az arc-, hang-, írisz- retina-, véna-, DNS-, tenyér- és ujjlenyomat azonosítás, de még az is, az egyénre jellemző pontos azonosító lehet, ahogyan mozgunk, például járunk, vagy akár a tollat, a billentyűzetet, a mobiltelefont, vagy az egeret használjuk aláírásnál.

A biometrikus azonosítás szabályai

Néhány alapvetést rögtön érdemes rögzíteni. Az egészen biztos, hogy a biometrikus azonosítás nagyon érzékeny téma, tele van személyes adattal, mégpedig olyan adatokkal, amelyek összekapcsolva mindenfélére alkalmasak. Gondoljunk csak a megkülönböztetésekre, biztos, hogy az adatokból könnyen előugrik a kor, az egészségi állapot, a bőrszín, akár a nemi orientáció is, vagy más rassz-alapú mintavétel. Az új uniós GDPR-szabályok is eszünkbe juthatnak, amikor rögzítjük: a biometrikus azonosítás témakörében különösen hangsúlyos lehet az adatok felhasználásának célhoz kötöttsége. Meg kell határozni, hogy ki és hogyan vehet fel mintákat, hogyan lehet azt tárolni, harmadik félnek átadni.

Különböző módszerek

Ami a különféle módszereket illeti, a szakirodalom szerint jelenleg a retina-, illetve íriszazonosítás mutatói a legjobbak, vagyis ezek a módszerek a legelőrehaladottabbak. Egy jó minőségű felismerő rendszerben szinte nincsen hiba, akár egymilliárd azonosításra jut egy tévedés. Innen aztán szép sorban egyre bizonytalanabb az ujjlenyomatok, az arc, vagy a hang azonosítása. Az egyes metódusok részletes bemutatása, meghaladja ezen rövid írás kereteit, de a könyv erről is tartalmaz alfejezeteket.

Hekkelés

A biometrikus azonosítás problémáira hívta fel a figyelmet egy német etikus hekker csoport. Bemutatták, hogyan lehet ellopni egy éppen a digitális biztonság fontosságáról beszélő német miniszter ujjlenyomatát. Ehhez mindössze egy okos telefont és egy ingyenes szoftvert használtak.

Jan “Starbug” Krissler biztonsági szakértő Ursula von der Leyens volt német védelmi miniszter (aki pont a napokban lett az Európai Bizottság elnöke. A szerk.) ujjlenyomatát szerezte meg egy sajtótájékoztatón úgy, hogy egy digitális kamerával több szögből is lefotózta a kezét, A képeket a VeriFinger szoftverbe töltötte fel és ezzel rekonstruálta az ujjlenyomatot. A hekker ezzel arra hívta fel a figyelmet, hogy az ujjlenyomat nem a legbiztosabb módja adataink, készülékeink védelmének.

Inkább kontracsekk. Párhuzamos azonosítás

Végül egy fontos megjegyzés. A biometrikus azonosítások nagyon fejlettek, ugyanakkor azt azért érdemes megfigyelni, hogy a rendszerek jellemzően nem az önálló azonosításra születnek, hanem valamilyen szekunder ellenőrzésre. Vagyis ma még a legjellemzőbb felhasználási terület a párhuzamos azonosítás.

Mire gondolunk? Ha a Fradi stadionjába, a Groupama Arénába be szeretne lépni valaki (és tételezzük fel, hogy működik a vénaszkenner), akkor a rendszer nem azt deríti ki a véna ellenőrzéséből, hogy az 50 ezer klubkártyás közül éppen ki szeretne belépni, hanem azt, hogy a szurkolói kártyáját átadó ember valóban a kártyatulajdonos-e.

Éppen így a digitális aláírások ellenőrzésénél sem az a metódus, hogy odaírunk valamit és a képernyőre feljönnek a személyes adataink, hanem előbb aláírjuk a szerződést és a rendszer verifikálja, hogy valóban azok vagyunk-e, akiknek megadtuk magunkat.

Forrás: fintechzone.hu

Szita Szabolcs

Kapcsolódó cikkek: