بانکداری بدون پسورد با لایونس دیتکشن و بیومتریک

من از گذرواژه‌ها (پسورد‌ها) متنفرم. می‌خواهم بدون سروکله زدن با ترکیب‌های چند حرفی و چند عددی، به سرویس‌های تلفن‌همراه و اینترنتی دسترسی داشته باشم. گذرواژه‌ها، بدان جهت که قابل حدس زدن بوده و امکان به‌سرقت رفتن آن‌ها وجود دارد، پرخطر‌تر و نامناسب‌تر از سایر روش‌های احراز هویت امروزی هستند.  به همین دلیل است که احراز هویت بیومتریک (زیست‌سنجی) را روشی قدرتمندتر و امن‌تر دانسته و پیشرفت‌های حاصل شده در این زمینه را دنبال می‌کنم. بانکداری بدون پسورد با لایونس دیتکشن و بیومتریک موضوعی است که می خواهیم در این مطلب به آن بپردازیم.

بنابر گزارش Gartner در اکتبر ۲۰۱۹، «رویکرد فناورانه برای احراز هویت بیومتریک» مدعی است، برای دستیابی به احراز هویت بدون گذرواژه و در نتیجه افزایش میزان رضایت UX/CX (تجربه‌ی کاربر/تجربه‌ی مشتری) و افزایش سطح اعتماد و مسئولیت‌پذیری، از این نوع احراز هویت استفاده می‌شود. بنظر من و سایر سازمان‌های خدمات مالی که مشغول رقابت برای جذب مشتری هستند، این امر اتفاق بسیار خوبی است.

Gartner در آن گزارش، بانکداری تلفن‌همراه را «خارق‌العاده» دانسته و اعتقاد دارد که بزودی وجود این قابلیت در تلفن‌های همراه، تبدیل به امری ضروری برای احراز هویت بیومتریک خواهد شد. از آنجائیکه افزایش میزان اعتماد و مسئولیت‌پذیری از جمله عوامل کلیدی در افزایش درآمد موسسات مالی هستند، ما هم معتقدیم وقت آن فرارسیده که سازمان‌های مالی نیز احراز هویت بیومتریک در بانکداری تلفن‌همراه را بکارگرفته و سطح میزان رضایت مشتریان خود را بهبود ببخشند.

آیا مشتریان از آمادگی لازم برای استفاده از احراز هویت بیومتریک در زمینه‌های تجاری و بانکداری برخوردار هستند؟

نتیجه‌ی بدست آمده از نظرسنجی اخیر Visa از ۱۰۰۰ مصرف‌کننده‌ی آمریکایی، موید این امر است. اکثر شرکت‌کنندگان در این نظرسنجی احرازهویت بیومتریک را نسبت‌ به احرازهویت مبتنی‌بر گذرواژه، ترجیح می‌دهند:

• آن‌ها بیان داشتند که احرازهویت بیومتریک، آسان‌تر (۷۰%) و سریع‌تر (۶۱%) از گذرواژه است.
• ۵۲% ادعا کردند در صورتی که بانک در آینده خدمات احراز هویت بیومتریک ارائه نکند، اقدام به تعویض آن خواهند کرد.

متداول‌ترین مزایای ذکر شده برای احرازهویت بیومتریک در میان پاسخ‌دهندگان عبارتند از:

• عدم نیاز به بخاطر داشتن چندین گذرواژه (۵۰%)
• امنیت بیشتر نسبت‌به گذرواژه‌ها (۴۶%)
• فراموش نکردن/از دست ندادن روش احراز هویت (۳۳%)

یکی از عوامل مهم برای اندازه‌گیری میزان کیفیت تجربه‌ی مشتری، نرخ ترک تراکنش است. حدود ۵۰% از شرکت‌کنندگان در نظرسنجی Visa بیان کردند که خرید آنلاین خود را به این دلیل که نمی‌توانستند رمزعبور خود را به‌یاد بیاورند، ترک کرده‌اند.

گزارش Gartner بیان می‌دارد که «طی چند سال اخیر، مزایای احراز هویت بیومتریک برای افزایش میزان سطح رضایت مشتری، سبب افزایش کاربرد آن در نرم‌افزار‌های بانداری تلفن‌همراه شده است». لازم است که سازمان‌های مالی علاوه‌بر بررسی راه‌حل‌های موجود برای دستیابی به احرازهویت بیومتریک، از تفاوت میان روش‌های احراز هویت بیومتریک مبتنی بر دستگاه و شخص ثالث نیز آگاهی داشته باشند. یکی از مزایای روش‌های بیومتریک مبتنی بر شخص ثالث – شامل بکاربردن SDK در نرم‌افزار تلفن‌همراه (نظیر برنامه‌ی ارائه شده توسط OneSpan) – این است که بانک قادر به ارائه‌ی خدمات به تعداد بیشتری از مشتریان خواهد بود. همه‌ی کاربران تلفن‌همراه، دسترسی به دستگاه‌هایی که سخت‌افزار و نرم‌افزارهای مورد نیاز برای احرازهویت بیومتریک را دارا باشند، ندارند (احرازهویت مبتنی‌بر دستگاه). بااین‌حال، تقریبا تمامی تلفن‌های همراه، دوربین دارند که می‌توان از آن برای تصویربرداری از صورت کاربر و احرازهویت وی استفاده کرد.

آیا احراز هویت بیومتریک و بانکداری بدون پسورد، قابل اطمینان‌تر از سایر روش‌های احراز هویت است؟

پاسخ من به این پرسش مثبت است؛ به‌طور قطع احراز هویت بیومتریک و بانکداری بدون پسورد ایمن‌تر از سایر روش‌های احرازهویت است. کلید یک سیستم احرازهویت مطمئن، توانایی آن برای شناسایی و جلوگیری از جعل هویت ویژگی بیومتریکی فرد می‌باشد. سیستم تشخیص اثر انگشت، تشخیص چهره یا هر روش بیومتریک دیگر، صرفا گونه‌ی ساده‌ی دیگری از گذرواژه نیست.

بدون آنالیز‌ها و تجزیه و تحلیل‌های بیشتر، هیچ راهی برای تشخیص فرد ارائه دهنده‌ی گذرواژه وجود ندارد. تنها می‌دانید که گذرواژه‌ی وارد شده با نسخه‌ی ثبت شده مطابقت دارد. از سوی دیگر، سیستم احراز هویت قابل اطمینان، با قابلیت تشخیص زنده بودن تصویر و سیستم ضد جعل و با تایید هویت و اعتبار سوژه/شخص ارائه دهنده‌ی نمونه‌ی بیومتریکی، عامل اطمینان دیگری را سبب می‌شود. به این دلیل که اثرانگشت، تشخیص چهره و یا هرگونه داده‌ی بیومتریکی دیگر، به صورت زنده ارائه شده و به کاربر زنده مرتبط است.

رد کردن تصور غلط از احراز هویت بیومتریک و بانکداری بدون پسورد

بنابر گزارش Gartner، «احرازهویت بیومتریک، مبتنی‌بر مخفی کردن ویژگی‌های بیومتریک ارائه شده به سنسور بیومتریک نیست؛ بلکه بر دشواری‌های جعل هویت فرد زنده‌ی ارائه دهنده‌ی آن‌ها تکیه دارد. عدم اطلاع از نکته‌ی اخیر، سبب بوجود آمدن تصورات غلطی در این زمینه شده و با ارائه‌ی اطلاعات محدود در زمینه‌ی شناسایی حملات هویتی (PAD) در دستگاه‌های مشتریان، و اخبار منتشر شده در مورد حملات موفقیت‌آمیز علیه Apple Touch ID، سنسور‌های سوایپ سامسونگ، قابلیت تشخیص چهره در دستگاه‌های اندرویدی و غیره، تشدید و تقویت شده است.

احتمالا تابحال این انتقاد را شنیده‌اید که «درصورت افشا شدن و به خطر افتادن اثر انگشت یا چهره‌ی خود، قادر به تغییر دادن آن نخواهید بود.» درست است؛ نمی‌توانید همانند گذرواژه، ویژگی‌های بیومتریکی خود را تغییر دهید. بااین‌حال، این فرضیه که مجرم سایبری با به سرقت بردن اطلاعات بیومتریکی شما، قادر به عبور از چالش‌های احرازهویتی پیش‌رو می‌باشد، تصوری اشتباه است.

1. نمی‌توان به معنای واقعی کلمه، اثر انگشت یا چهره‌ی فرد دیگری را به سرقت برد. جدای از فیلم‌های ژانر وحشت، مجرمان سایبری معمولا به‌دنبال به سرقت بردن و جدا کردن چهره و یا اثرانگشت فرد از بدن وی نیستند. سیستم‌های بیومتریکی با طراحی مناسب، اثرانگشت یا چهره‌ی شخص را «ذخیره» نمی‌کنند. بلکه یک نمایش ریاضی از نمونه‌ی بیومتریک ثبت شده در سیستم را ذخیره می‌کنند (که به‌عنوان الگو از آن یاد می‌شود). ارائه‌ی نمایش ریاضی به تنهایی هیچ ارزشی ندارد (شماره‌ی هایلایت شده‌ی ۱ در تصویر زیر را مشاهده کنید).

2. ارائه‌ی زنده‌ی ویژگی بیومتریک، امری محوری است. بر اساس گزارش Gartner: «در یک روش تشخیص اثر انگشت قدرتمند، مهم نیست که مهاجم تصویری از اثر انگشت فرد را ارائه دهد؛ هر چیزی بجز انگشت واقعی فرد (متصل به بدن زنده) نباید موثر واقع شده و کارگر بیافتد». حمله‌، عبارت از ارائه‌ی بازتولید یک ویژگی بیومتریکی (جعلی بودن آن) است که تداعی کننده‌ی مرجعی از پیش ذخیره شده برای کاربر مشروع و قانونی می‌باشد (برای مثال مدل‌های سه‌بعدی پرینت شده، ماسک‌ها، تصاویر، ویدیوها و غیره). تشخیص زنده بودن تصویر مشخص می‌کند که آیا ویژگی بیومتریکی، توسط انسان زنده ارائه شده یا نمایشی دیجیتالی و ساختگی (جعلی) است. تشخیص و شناسایی حملات هویتی (PAD)، ترکیبی از مکانیسم‌ها و فرآیندهای ضد جعل و تشخیص زنده بودن تصویر است. ممکن است در برخی موارد، PAD موجود در سیستم‌های احرازهویت بیومتریکی مبتنی‌بر دستگاه، کمتر از فناوری‌های احرازهویتی شخص ثالث باشد. استاندارد ISO/IEC 30107، روشی دقیق را برای اندازه‌گیری کارآمد بودن PAD ارائه می‌دهد.

به‌طور قطع، امنیت سیستم‌های احراز هویت بیومتریکی، تنها به حوزه‌ی حملات هویتی به سنسور‌های دریافت‌کننده‌ی داده‌ها محدود نمی‌شود. حملات متعدد و تکراری یکی دیگر از مخاطرات هستند؛ ولی در بسیاری از موارد، فناوری‌هایی که از یکپارچگی نرم‌افزار اطمینان حاصل می‌کنند (نظیر سیستم‌های امنیتی درون برنامه‌ای و محافظ‌های برنامه/RASP)، موجب کاهش‌یافتن و به حداقل رسیدن ریسک می‌شوند. ولی سازمان‌های مالی باید در امور طراحی، اجرا و پیاده‌سازی، استقرار و پیکربندی بکارگیری راه‌حل‌های احراز هویت بیومتریکی نهایت دقت را بکارببرند.

با یوآیدی، احراز هویت غیرحضوری از جمله احراز هویت سامانه ثنا و احراز هویت سجام را به کمک هوش مصنوعی در کوتاهترین زمان انجام دهید.