mBank ogłosił dziś na konferencji prasowej w Warszawie, że rusza z przełomowym rozwiązaniem opartym na biometrii behawioralnej, które ma znacząco poprawić bezpieczeństwo użytkowników korzystających z serwisu banku na swoich komputerach.
Bank realizuje ten projekt we współpracy z Centrum Bezpieczeństwa Cyfrowego S.A. – spółką z portfela funduszu mAkcelerator, mowa więc o wyłączności mBanku omawianego rozwiązania.
Chodzi o weryfikację behawioralną o nazwie Digital Fingerprints, która polega na analizie interakcji użytkownika z komputerem, takich jak sposób poruszania kursorem myszy czy korzystania z klawiatury. To trochę co innego niż biometria w klasycznym rozumieniu. Dotychczasowe metody zabezpieczeń nie są ponoć aż tak bezpieczne jak unikalny profil użytkownika wytworzony na bazie jego zachowania przed komputerem. Pomyślmy – odcisk palca można podrobić, rozpoznawanie twarzy również bywało zawodzące i chociaż mówimy tu o dość skrajnych przypadkach, to jednak miały miejsce.
Biometria behawioralna mierzy trudne do podrobienia wzory zachowań. Jedną z kategorii tej biometrii jest HCI (Human-Computer-Interaction) – analizuje sposób korzystania z klawiatury, myszy i touchpada. Muszę przyznać, że zaprezentowany nam na prezentacji przykład na żywo robił niezłe wrażenie. Wykorzystano do tego testowe konto mBanku, „należące” do osoby testującej. Właściciel zalogował się, poruszał się po stronie i na dole ekranu można było obserwować pasek, zapełniający się nieco na zielono. Oznaczało to, że bank nie wykrywał żadnego podejrzanego zachowania.
Następnie poproszono dziennikarza-ochotnika by spróbował zrobić to samo. Mówimy więc o sytuacji, gdzie ktoś np. zna nasz login i hasło, ma dostęp do kodów weryfikacyjnych albo ukradł nam laptopa z zalogowaną sesją w banku.
Dziennikarz wpisywał login i hasło i już na tym etapie obserwowaliśmy, jak pasek wypełnia się na żółto. System wykrył nietypowe wpisywanie powyższych danych i dalej było tylko gorzej (dla potencjalnego złodzieja oczywiście). Inne korzystanie z touchpada i scrollowanie strony zaczęło alarmować bank jeszcze bardziej. W takich niebezpiecznych sytuacjach bank może po prostu nie dopuścić np. do wykonania przelewu lub wylogować niepowołanego gościa z sesji.
Weryfikacja behawioralna jest póki co w fazie testów. Właśnie rusza program pilotażowy, który potrwa prawdopodobnie do końca 2019 roku i obejmie 50 tysięcy chętnych klientów. Jak czytamy w informacji prasowej:
Po wyrażeniu zgody przez uczestnika, w serwisie transakcyjnym mBanku uruchamiać się będzie specjalny kod. Zmierzy on typowe zachowania użytkownika w trakcie korzystania z bankowości on-line, oparte na: sposobie poruszania myszy, przycisku „scroll” oraz „touchpada”, dynamice korzystania z klawiatury komputera, a w przyszłości używaniu ekranu smartfona. Na tej podstawie zostanie zbudowany „obraz” użytkownika, czyli jego indywidualny profil behawioralny. System będzie identyfikować użytkowników, porównując ich bieżące interakcje z gotowym profilem.
Po testach usługa zostanie zaoferowana każdemu klientowi mBanku i będzie po prostu kolejnym elementem zabezpieczeń. Jednocześnie bank zapewnia, że nie jest to forma śledzenia użytkowników czy stosowania czegoś w rodzaju keyloggerów. System będzie jedynie na bieżąco analizować zachowania użytkowników podczas (i tylko wtedy) korzystania z bankowości elektronicznej mBanku. Dane mają być zbierane wyłącznie do budowy profili behawioralnych niezawierających wrażliwych informacji i magazynowane w formie profili matematycznych, których ani Centrum Bezpieczeństwa Cyfrowego S.A. ani inne podmioty nie będą mogły identyfikować z jakąkolwiek osobą. System ma badać jak użytkownik korzysta z serwisu, a nie to, co w nim robi.
Według specjalistów z Centrum Bezpieczeństwa Cyfrowego S.A. w przyszłości weryfikacja behawioralna może nawet całkowicie zastąpić dotychczasowe znane nam i wykorzystywane zabezpieczenia.
Źródło: mBank