Opinie: Czy logowanie odciskiem palca w aplikacji bankowej niesie ze sobą więcej korzyści czy zagrożeń?

19-09-2015, 00:47

Jeden z polskich banków wprowadził biometrię do swojej aplikacji mobilnej na urządzenia z systemem iOS. Od ponad miesiąca jej użytkownicy, aby zalogować się, nie muszą podawać identyfikatora ani kodu PIN - wystarczy, że zeskanują odcisk palca za pomocą czytnika Touch ID. Sama aplikacja nie przechowuje skanów linii papilarnych, korzysta z tych zapamiętanych na urządzeniu. Zapytaliśmy kilku ekspertów, jak oceniają to rozwiązanie.

W pierwszej kolejności zwróciłam się do ING Banku Śląskiego, który zaoferował wspomniane rozwiązanie swoim klientom. Poprosiłam o przybliżenie zastosowanej technologii. Odpowiedział mi Szymon Mitoraj, Dyrektor Departamentu Bankowości Internetowej, Mobilnej i Zarządzania Procesami.

Rozwiązania biometryczne to szerokie pojęcie, które zawiera w sobie zarówno te najbardziej popularne, jak rozpoznawanie głosu czy odcisk palca w telefonie, jak i te mniej znane typu analiza sposobu korzystania z klawiatury komputerowej. W swojej idei biometria ma zwiększać bezpieczeństwo dostępu do rzeczy, które chcemy chronić, oraz ułatwiać sposób korzystania z nich. Ma być bezpieczniej, szybciej i łatwiej. ING Bank Śląski korzysta z pewnych elementów narzędzi biometrycznych, np. oferując klientom możliwość używania Touch ID dostępnego w telefonach Apple, czyli logowania za pomocą odcisku palca. Należy jednak zaznaczyć, że nie stosujemy tej technologii jako pojedynczego systemu zabezpieczenia oraz nie przechowujemy w żaden sposób danych biometrycznych naszych klientów związanych z tą usługą. W sposób bardzo rozważny i ostrożny podchodzimy do korzystania z technologii, które w swojej definicji posługują się unikalnymi, niezamienialnymi danymi osobowymi, zawsze na pierwszym miejscu stawiając bezpieczeństwo naszych klientów i ich danych.

Z takim podejściem zgadza się Chester Wisniewski, badacz Sophos Labs, który w wypowiedzi dla Dziennika Internautów podkreślił, że biometria może sprawdzić się tam, gdzie potrzeba wygody jest większa niż skala ryzyka. Ryzyko znacząco wzrasta, jeśli dostęp do danych biometrycznych mogą uzyskać osoby trzecie (choćby i pracownicy banku, co w przypadku ING akurat nie zachodzi).

Systemy biometryczne to metoda uwierzytelniania, która na pewno zasługuje na uwagę, choć z pewnością jej przydatność uzależniona jest od konkretnego zastosowania. Uwierzytelnianie biometryczne stosowane lokalnie, na przykład Apple Touch ID, niesie ze sobą stosunkowo niewielkie ryzyko i szereg korzyści. Użytkownicy urządzeń mobilnych unikają skomplikowanych haseł, dlatego prosta metoda uwierzytelniania za pomocą odcisku palca zyskała wśród nich tak duże uznanie. W przypadku Apple Touch ID dane biometryczne nie są jednak udostępniane nigdzie poza urządzeniem i nie da się ich wykorzystać do rekonstrukcji linii papilarnych.

Ryzyko wyraźnie wzrasta, gdy dane biometryczne udostępniane są osobom trzecim. Nieraz mieliśmy szansę przekonać się, że firmy i rządy nie potrafią zapewnić należytego zabezpieczenia naszych haseł czy kart kredytowych - dane często przechowywane są w niewłaściwy sposób, co czyni je podatnymi na kradzież. Jeśli dana firma nie zapewni należytej ochrony naszych danych, to rozwiązania biometryczne mogą okazać się bardzo kłopotliwe. Nie da się przecież zmienić odcisku palca, siatkówki oka czy struktury twarzy - te rzeczy nie są ulotne tak jak hasła. Dlatego w przypadku rozwiązań biometrycznych musimy postępować z należytą rozwagą.

Co więcej, rozwiązania biometryczne nie są w pełni odporne na oszustwa i powinny być traktowane jedynie jako połowa właściwego uwierzytelniania dwuskładnikowego. Połączenie czegoś, co mam - w tym przypadku odcisku palca - z czymś, co znam, np. kodem PIN, jest dużo bezpieczniejszym rozwiązaniem niż poleganie tylko na jednym komponencie uwierzytelniania. Podsumowując, uwierzytelnianie z wykorzystaniem biometrii sprawdza się głównie tam, gdzie potrzeba wygody jest większa niż skala ryzyka.

O tym, że skanery odcisków palców można przechytrzyć, przypomina Axelle Apvrille, senior antivirus researcher w firmie Fortinet. Nie warto jednak wpadać w panikę.

Ogólnie z punktu widzenia bezpieczeństwa oraz ze względów praktycznych dodanie identyfikacji biometrycznej do aplikacji mobilnej ING jest dobrym krokiem. Ludzie mają tendencję do zapominania haseł, a rozwiązania oparte o kilkucyfrowe hasła dostępu obarczone są dużym ryzykiem. Niemniej czytniki linii papilarnych są również podatne na działania cyberprzestępców.

Choć Apple twierdzi, że dane o odciskach palców uzyskanych przez Touch ID są bezpieczne i odcięte od sieci dzięki tzw. Secure Enclave, to nadal nie ma pełnej gwarancji, że nie mogą zostać wykradzione. Nie istnieją niezależne analizy potwierdzające skuteczność zabezpieczeń Apple, więc użytkownikom pozostaje jedynie zaufanie. Wykradzioną bazę odcisków hackerzy mogą wykorzystać do uzyskania dostępu do kont bankowych lub odsprzedać ją na czarnym rynku, na którym prawdopodobnie osiągnęłaby wysoką cenę. Dla porównania dane karty kredytowej można nabyć już za około 50 euro, a pełen zestaw danych personalnych za około 70 euro.

Znane są też inne, fizyczne metody na obejście zabezpieczeń biometrycznych. Czytniki linii papilarnych można oszukać przy pomocy odlewów lub specjalnych wydruków zdjęć odcisków w wysokiej rozdzielczości. Należy pamiętać, że odciski palców zostawiamy niemal wszędzie i ich ściągnięcie przez osoby, którym na nich zależy, może się okazać dużo prostsze, niż nam się wydaje.

Podsumowując, choć identyfikacja biometryczna ma swoje luki, to jej wdrożenie można uznać za krok w przód w dziedzinie bezpieczeństwa.

Podobne zdanie ma Kamil Sadkowski, analityk zagrożeń z firmy ESET, który podaje kolejne przykłady oszukiwania czytników linii papilarnych, zastrzega jednak, że na razie to tylko teoria, a w praktyce może być inaczej.

Skanery odcisków palców od dawna wykorzystuje się w niektórych laptopach do zabezpieczania dostępu przed niepowołanymi osobami, podobnie jak do ochrony budynków czy pomieszczeń przed nieuprawnionym dostępem. Skuteczność tego rodzaju biometrii zależy ściśle od jakości danego skanera oraz oprogramowania, które odpowiada za proces weryfikacji zgodności odcisku palca.

Tak jak nie ma stuprocentowo bezpiecznych systemów komputerowych, tak samo nie istnieje idealna metoda uwierzytelniania - każda ma zarówno swoje mocne strony, jak i słabości. W przypadku skanerów linii papilarnych niejednokrotnie słyszeliśmy o różnych możliwych metodach oszukania danego skanera, np. poprzez użycie sztucznego palca uformowanego z żelatyny lub silikonu. Odcisk można odczytać praktycznie z każdego przedmiotu, który dana osoba trzymała w ręku, ale to nie jedyna metoda. Jan Krissler zaprezentował na ostatniej konferencji CCC sposób reprodukcji odcisku palca w oparciu jedynie o dostępne w sieci zdjęcia danej osoby - wykorzystał tę technikę do odtworzenia linii papilarnych kciuka Ursuli von der Leyen, pełniącej funkcję ministra obrony w Niemczech.

W przypadku wycieku naszego hasła możemy je zmienić na inne. Ale co w sytuacji, gdy wyciekną dane reprezentujące odcisk naszego palca? Kilka miesięcy temu badacze odnaleźli podatność występującą wówczas m.in. w telefonach Samsung Galaxy S5, za pomocą której byli w stanie przechwycić dane reprezentujące linie papilarne i wykorzystać je do autoryzacji. Jednak to tylko przykłady teoretycznych ataków, dlatego nie popadałbym w paranoję - mechanizmy biometryczne bazujące na liniach papilarnych dopiero wchodzą do powszechnego użytku i to czas pokaże, na ile w praktyce można im zaufać.

Która z przedstawionych opinii jest Wam najbliższa? Jakie sami dostrzegacie korzyści i zagrożenia wynikające z zastosowania mechanizmów biometrycznych? Zapraszam do komentowania i dzielenia się własnym zdaniem. Zachęcam też do przeczytania artykułu Joanny Tomaszewskiej z firmy Bitdefender, którya szerzej omawia nowe metody zabezpieczeń wykorzystywane przez banki.

Poprzednie zestawienia opinii dotyczące kwestii bezpieczeństwa:


  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
2930