W nadchodzącej rewolucji rynku płatniczego, stymulowanej dyrektywą PSD2 i standardami otwartej bankowości, ogromną rolę odgrywa bezpieczeństwo transakcji. Dla ochrony naszych środków przed nieuprawnionym dostępem, operacje finansowe podlegać będą tzw. wzmocnionemu uwierzytelnianiu. System weryfikować będzie co najmniej dwa z  trzech elementów, zdefiniowanych jako coś, co wiemy (np. PIN lub hasło), coś, co posiadamy (np. telefon komórkowy czy token) oraz coś, kim jesteśmy (np. skan tęczówki lub odcisk palca).

Nie mniej ważny z punktu widzenia standardów otwartej bankowości jest komfort użytkownika, uwierzytelnianie powinno zatem odbywać się szybko i bez wysiłku. Czy ze wszystkimi wymogami poradzą sobie dostawcy usług finansowych? Czy istnieją gotowe rozwiązania lub technologie, które znajdą tu zastosowanie?

Nowe czasy, nowe potrzeby

Hasło dostępu już dawno przestało być odpowiednim zabezpieczeniem. Hasła są zbyt często łamane, wykradane i mamy ich po prostu za dużo. Za dużo, by wszystkie pamiętać. Powszechnie stosowaną i bardzo ryzykowną praktyką jest używanie tych samych haseł do różnych kont i aplikacji. Rekordy popularności biją takie zestawy, jak 12345 czy abc123 (w Top 10 wg GeekWeek) Większość sieciowych cyberataków jest spowodowana właśnie słabymi hasłami.

Na szczęście, mamy już alternatywę. Technologią, która w ciągu kilku lat całkowicie wyeliminuje konieczność używania haseł, jest biometria. W połączeniu z dowolną dodatkową technologią zabezpieczającą, będzie skutecznie chronić nas i nasze pieniądze przez próbą oszustwa.

Biometria: unikalne dane, które mamy zawsze ze sobą


Metody biometryczne opierają się na biologicznych i behawioralnych cechach ludzkich, które są niepowtarzalne i pomagają odróżnić ludzi od siebie. Jednym z najstarszych i najpopularniejszych sposobów, jaki zna nasza cywilizacja, jest sprawdzanie odcisków palców. Współczesne technologie przynoszą jednak więcej metod: od skanów tęczówki lub siatkówki oka, poprzez biometrię głosową, biometrię naczyń krwionośnych, czytniki twarzy, kształtu dłoni, aż do metod typowo behawioralnych: sposób rysowania symbolu na ekranie urządzenia czy uderzania w klawisze. Już za kilka lat szybkiej, uwierzytelniającej analizie poddamy informacje zawarte w naszym DNA, zatem jesteśmy tylko o krok od skanowania np. oddechu.

Visa przeprowadziła badanie, z którego wynika, że europejscy konsumenci są już gotowi na biometryczne logowanie do swoich zasobów finansowych. W większości postrzegają je jako bezpieczne, szybsze i wygodniejsze. Wprowadzanie ich przez firmy do obsługi transakcji podniesie całkowity poziom obsługi klienta i zwiększy jego zadowolenie, a przez to polepszy i wzmocni relacje z marką.

Żegnajcie hasła!

Biometria, uważana aktualnie za najlepszą metodę uwierzytelniania, masowo wchodzi do systemów zabezpieczeń. Spotkamy ją w usługach i produktach, czy w zapleczu produkcyjnym i infrastrukturalnym największych światowych korporacji. Microsoft zaproponował rozpoznawanie twarzy jako sposób odblokowania komputera, Apple w telefonach iPhone zainstalował czytniki palców TouchID, dziś skorelowane również z usługą ApplePay. TouchID pozwala zapłacić zbliżeniowo telefonem tylko w połączeniu ze skanowaniem linii papilarnych. Czytniki TouchID pojawiają się w coraz większej gamie modeli smartfonów, min. od Huawei, Samsunga czy HTC.

Francuski Banque Accord wraz z siecią Auchan wprowadził już w 2012 roku biometryczne uwierzytelnianie płatności, łączące kartę MasterCard dalekiego zasięgu (WPAN) i dwie technologie biometryczne do wyboru: biometrię odcisku palca (Finger Print) i naczyń krwionośnych palca (Finger Vein). Polski Citi Handlowy również od niedawna umożliwia logowanie do konta z użyciem odcisków palca.

Przyszłością telefonicznych central kontaktowych jest weryfikacja głosowa. Takie rozwiązanie, pozwalające na zarejestrowaniu próbki głosu i wykorzystanie jej do uwierzytelniania podczas kolejnych kontaktów, wprowadził ostatnio w swoim Centrum Obsługi Klienta Biznesowego bank BZWBK. Inne banki, takie jak Alior, poszły o krok dalej i wprowadziły wideoweryfikację, gdzie rejestracja konta odbywa się w oparciu o połączenie wideo. Skanowane, analizowane i porównywane ze zdjęciem z dowodu są twarz i oczy klienta.

Wygodne i bezpieczne uwierzytelnianie, oparte o standard FIDO, przenosi doświadczenie użytkownika na wyższy poziom i jest jednocześnie zgodne z dyrektywą PSD2
Wygodne i bezpieczne uwierzytelnianie, oparte o standard FIDO, przenosi doświadczenie użytkownika na wyższy poziom i jest jednocześnie zgodne z dyrektywą PSD2.

Standard FIDO i całkiem nowe podejście.


Szybkie i proste uwierzytelnianie biometryczne staje się coraz bardziej dostępne w różnych urządzeniach, ale dostawcy usług dość wolno adaptują nową technologię. W dodatku, źle wdrożona biometria może przynieść więcej szkody niż pożytku, dlatego jej używanie powinno łączyć się z olbrzymią dbałością o poprawność techniczną.

FIDO standaryzuje zabezpieczenia biometryczne i inne, dostępne z poziomu urządzenia. Zgodność z tym standardem oznacza, że sprzęt spełnia wymagania dotyczące bezpieczeństwa i prywatności. Po zarejestrowaniu swoich urządzeń (zgodnych z FIDO) w usługach, z których korzystają, użytkownicy łączą się odtąd z tymi usługami sposób bezkonfliktowy i jednocześnie bezpieczny: przed kradzieżą ID, phishingiem czy przechwytywaniem. Jeśli zarejestrowany dla usługi autentykator zostanie skradziony, przestępca nie uzyska dostępu do naszego konta, ponieważ nie przejdzie testów biometrycznych. Zgłoszenie skradzionego urządzenia do FIDO spowoduje jego natychmiastowe odłączenie.

Dzięki wprowadzeniu standardu FIDO, dostawcy usług otrzymują wymagane do uwierzytelnienia informacje o użytkownikach, a jednocześnie wyeliminowana jest konieczność gromadzenia innych danych osobowych, których naruszenie może być potencjalnie szkodliwe. W takim sensie, standard FIDO jeszcze bardziej pomaga chronić naszą prywatność.

Otwarty standard sieciowy konsorcjum W3C

Wizją organizacji o nazwie FIDO (skrót od Fast Identity Online) jest silne uwierzytelnianie, obecne w usługach sieciowych na całym globie. FIDO Alliance od lat pracuje nad przekształceniem wypracowanej przez jej członków własności intelektualnej w otwarte i ogólnodostępne standardy. O silnej roli tej organizacji w świecie finansowym świadczy fakt, że jej członkami są największe korporacje z tego sektora, takie jak American Express, Goldman Sachs, ING, MasterCard, PayPal czy Visa.

Czytaj więcej: Standardy RTS do PSD2

Standardy FIDO zostały w 2015 roku zgłoszone w postaci specyfikacji platformowych do konsorcjum World Wide Web (W3C). Po przejściu ścieżki certyfikacyjnej, będzie funkcjonować jako globalny standard sieciowy. FIDO udostępnia też publiczne API. Specyfikacje określają zunifikowany mechanizm używania poświadczeń kryptograficznych dla uwierzytelniania w sieci. Opisują wiele sposobów użytkowania, zarówno dla urządzeń mobilnych typu smartfon jak i dla tokenów (np. w postaci USB). Dzisiaj, urządzeń działających w oparciu o ten standard przybywa w lawinowym tempie, biometria zgodna z FIDO jest instalowana w modelach telefonów od czołowych światowych producentów. FIDO uznają również takie korporacje jak Google, DropBox czyGitHub.

Co ważne, FIDO daje nowym członkom dostęp do protokołów projektowych jeszcze w fazie ich opracowywania, umożliwiając następnie korzystanie z nich już w domenie publicznej. Można więc spodziewać się, że z czasem działania tej organizacji przekształcą cały ekosystem tożsamości cyfrowej. Ponieważ specyfikacje FIDO są otwarte, mogą być rozbudowywane i uwzględniać przyszłe innowacje.

Passwordless experience to już nasza teraźniejszość - dzięki biometrii i FIDO pojawia się w uslugach płatniczych na całym świecie.
Passwordless experience to już nasza teraźniejszość – dzięki biometrii i FIDO pojawia się w usługach płatniczych na całym świecie.

Protokół UAF, czyli passwordless experience w usługach płatniczych


UAF (Universal Authentication Framework) to jeden z protokołów FIDO, który zapewnia użytkownikowi silne uwierzytelnianie bez używania hasła. Używając metod biometrycznych i innych, loguje się on do lokalnego urządzenia, a następnie urządzenie uwierzytelnia się w usługach online (biometria, kiedy stosowana, dostępna jest tylko w urządzeniu, nigdy poza nim). Na żadnym etapie procesu nie jest wymagane hasło. Niezależnie od tego, jaki autentykator stosuje użytkownik, FIDO UAF określa wspólny interfejs dla niego do dalszych procedur sieciowych. Jest to rozwiązanie najbezpieczniejsze z możliwych dla uwierzytelniania podczas logowania do nowoczesnych usług płatniczych.

Postanowiliśmy wprowadzić zabezpieczenia zgodne z FIDO do Otwartego API Bankowego, ponieważ jest to jedyny standard, dający pełną zgodność z rygorystycznymi wytycznymi RTS i wymogiem silnego uwierzytelnienia. W tym samym czasie, proces jest wygodny dla użytkownika i zajmuje dosłownie chwilę. FIDO przenosi uwierzytelnianie na poziom urządzenia. Możemy wyznaczyć do roli autentykatora np. telefon komórkowy, który podłączamy jednorazowo do konta w banku. Logowanie odbywa się za pomocą metod biometrycznych lub tradycyjnych: PIN, unikalny wzór rysowany na ekranie, odcisk palca. Żadna z tych informacji nie jest transportowana do zewnętrznych baz danych, podatnych na ataki. To czyni cały proces jeszcze bezpieczniejszym.

Spróbujmy wyobrazić sobie tylko próbę włamania na konto, zabezpieczone w ten sposób: atakujący musiałby przede wszystkim złamać podwójne zabezpieczenie na samym urządzeniu. Nie tylko uzyskać dostęp do niego, ale również stać się posiadaczem próbki czy szablonu biometrycznego. Nie jest to bynajmniej opłacalne, dzisiaj ataków dokonuje się na setki czy tysiące kont jednocześnie: podatny na ataki ekosystem haseł dał napastnikom duży zwrot z inwestycji przy stosunkowo ograniczonym ryzyku. Ekosystem zabezpieczeń, oparty o FIDO, jest znacznie trudniejszy do sforsowania.

 Czytaj więcej:  Otwarte API i otwarta bankowość: 7 pomysłów na nowe produkty