Селфи-аутентификация – модное веяние или повышение надежности защиты данных?

Опубликовано Anna Сен 17, 2015 | нет комментариев

Не секрет, что уже продолжительное время компания Mastercard занимается решением проблемы аутентификации в банковской системе и тестирует приложение, с помощью которого традиционная двухфакторная аутентификация позволит производить авторизацию клиента и совершать покупки онлайн на основе технологии распознавания черт лица, а не с помощью числовых кодов. Другими словами, чтобы расплатиться кредитной карточкой в Интернете, вместо пин-кода владельцу нужно будет лишь сделать селфи. Давайте разберемся, откуда берет истоки это новое веяние под названием селфи-аутентификация.

Селфи – разновидность фотографического автопортрета, где фотографирующий снимает себя на камеру самостоятельно с расстояния вытянутой руки, иногда используя для этого зеркало или же столь популярную нынче палку для селфи. Особую популярность этот вид фотографии начал приобретать после 2005 года с появлением социальных сетей и онлайн ресурсов для общения, где пользователи с удовольствием делятся последними событиями со своей жизни и свеженькими фото. С выходом в свет телефонов с фронтальными камерами и мобильного приложения Instagram просторы Интернета буквально взорвали миллионы оригинальных, а порою даже экстремальных селфи. Звезды шоу-биза и кино, политические деятели и даже папа римский Франциск выкладывают в сеть собственные фото. Все ресурсы буквально кричат о популярности такого направления в фотоиндустрии, а само слово «selfie» было признано самым используемым в 2013 году и было включено в Оксфордский онлайн-словарь английского языка.

Как видим, популярность селфи-фото просто безумна, но прежде, чем внедрить это нововведение в жизнь, стоит серьезно усомниться в надежности такого метода аутентификации, в особенности для доступа к проведению операций онлайн-банкинга. Причин для сомнений может быть несколько, и далее в статье мы детально рассмотрим каждую из них.

Биометрия как альтернативная форма аутентификации пользователя

Прежде чем перейти к более детальному рассмотрению альтернативных форм двухэтапной аутентификации, вспомним, что подразумевает собою классическая двухфакторная аутентификация.

Причина необходимости внедрения такого типа авторизации обусловлена одними из основных рисков информационной безопасности – слабыми паролями. По статистике, у 61% пользователей один пароль используется на всех сервисах и сайтах, а 44% — меняют пароль доступа от силы раз в год. Такие данные свидетельствуют о том, что скомпрометировать компьютер или другой используемый гаджет достаточно легко. Именно в таком случае необходимо обратиться к двухслойной защите своего аккаунта от несанкционированного проникновения злоумышленников – двойной аутентификации Protectimus. Такая система подразумевает под собой два рубежа:

1. Логин и пароль,
2. Специальный код, передающийся по SMS, электронной почте или сгенерированный с помощью токена.

Для более надежной защиты используются также биометрические данные юзера – аутентификация пользователя проводится с помощью распознавания голоса или лица, сканирования сетчатки глаза или отпечатка пальца, по «рисунку» сердцебиения. Идея с селфи, кстати, также принадлежит к биометрической аутентификации.

Надежны ли эксперименты с альтернативной селфи-аутентификацией

Сперва, рассмотрим плюсы, которыми может похвастаться селфи-аутентификация. Планируется, что банковское приложение создаст цифровую карту лица каждого клиента и преобразует его в хэш, который будет храниться на сервере и служить образцом для последующего сопоставления с новыми фото. К преимуществам отнесем также такие факты:

• Фото делается мгновенно,
• Не нужно ждать sms-подтвердения и вводить код,
• Нет необходимости запоминать пароли и/или носить с собой токены, которые могут сломаться или потеряться в самый неожиданный момент,
• Это модно.

На этом позитивные стороны иссякли. Обратимся теперь к обратной стороне медали такого нововведения.

• Для проведения операции необходимо хорошее качество фото, а для этого соответственно нужна камера с большим разрешением, хорошее освещение, статическая обстановка,
• Есть вероятность того, что если после регистрации у клиента появились значительные видимые повреждения или изменения лица, он может столкнуться с трудностями при авторизации в системе,
• Если мошенник захватил данные логина и пароля клиента, и при этом имеет доступ к любой его фотографии (например, из социальной сети), каковы шансы того, что фото сделанное с другой более ранней фотографии не поможет злоумышленнику зайти в систему под именем юзера, когда он об этом даже не догадывается. При использование классической двойной аутентификации, например с помощью SMS, при несанкционированном доступе в систему на мобильный телефон будут приходить сообщения с подтверждением входа, таким образом, пользователь сможет принять экстренные меры, а для того, чтобы скомпрометировать физический токен, его нужно сперва украсть или любым другим образом им завладеть, что еще более усложняет злоумышленнику процесс “взлома”.

Принимая во внимание лишь несколько вышеприведенных примеров, уже стоит серьезно усомниться в надежности использования технологии селфи-аутентификации в банковской системе. Это не более чем внедрение популизма и привлечение молодых клиентов, ведь двухфакторная аутентификация была и остается, как и прежде, куда более надежным и проверенным методом защиты сбережений и данных.