A modern pénzügyi szolgáltatásoknál kulcsfontosságú az ügyfelek azonosítása, a jogosultságok ellenőrzése. Hamarosan egy fontos változás jön, 2019. szeptember 14-től véget ér egy korszak a hazai fizetési kultúrában. Ekkortól válik kötelezővé a bankok és az ügyfelek védelmében az úgynevezett erős hitelesítés követelménye.
A változás sokrétű, de az egyik kulcselem, hogy a bankok két faktorral fogják azonosítani az elektronikus fizetéseknél az ügyfeleket. Ilyen faktor lehet valami, ami az ügyfél birtokában van (telefon, kártya), valami, amit tud (statikus PIN-kód, vagy egyéb információk, anyja neve, utolsó bankkártya-használat), illetve valami, ami csak az ügyfélre jellemző (az ujjlenyomat, az arca, az írisze, de akár a mobiltelefonjának használata, mozgatása, gépelése).
Jönnek a kétfaktoros ellenőrzések
Vagyis a nagyon közeli jövőben nagy szerepe lehet a biometrikus azonosításoknak, amelynek a nemrég megjelent, “Kész a Pénz? – Minden, amit a FinTechről tudni kell és érdemes” című szakkönyv is egy külön fejezetet szentel.
A biometrikus azonosítások tehát olyan azonosítások, amelyek az emberi szervezet egyedi jellemzőinek felismerésén alapulnak. Ezek közül ismert az arc-, hang-, írisz- retina-, véna-, DNS-, tenyér- és ujjlenyomat azonosítás, de még az is, az egyénre jellemző pontos azonosító lehet, ahogyan mozgunk, például járunk, vagy akár a tollat, a billentyűzetet, a mobiltelefont, vagy az egeret használjuk aláírásnál.
Kapcsolódó cikkek:
- Elkészült az első magyar FinTech Könyv!, 2019.04.17.
A biometrikus azonosítás szabályai
Néhány alapvetést rögtön érdemes rögzíteni. Az egészen biztos, hogy a biometrikus azonosítás nagyon érzékeny téma, tele van személyes adattal, mégpedig olyan adatokkal, amelyek összekapcsolva mindenfélére alkalmasak. Gondoljunk csak a megkülönböztetésekre, biztos, hogy az adatokból könnyen előugrik a kor, az egészségi állapot, a bőrszín, akár a nemi orientáció is, vagy más rassz-alapú mintavétel.
Az új uniós GDPR-szabályok is eszünkbe juthatnak, amikor rögzítjük: a biometrikus azonosítás témakörében különösen hangsúlyos lehet az adatok felhasználásának célhoz kötöttsége. Meg kell határozni, hogy ki és hogyan vehet fel mintákat, hogyan lehet azt tárolni, harmadik félnek átadni.
Különböző módszerek
Ami a különféle módszereket illeti, a szakirodalom szerint jelenleg a retina-, illetve íriszazonosítás mutatói a legjobbak, vagyis ezek a módszerek a legelőrehaladottabbak. Egy jó minőségű felismerő rendszerben szinte nincsen hiba, akár egymilliárd azonosításra jut egy tévedés.
Innen aztán szép sorban egyre bizonytalanabb az ujjlenyomatok, az arc, vagy a hang azonosítása. Az egyes metódusok részletes bemutatása, meghaladja ezen rövid írás kereteit, de a könyv erről is tartalmaz alfejezeteket.
Hekkelés
A biometrikus azonosítás problémáira hívta fel a figyelmet egy német etikus hekker csoport. Bemutatták, hogyan lehet ellopni egy éppen a digitális biztonság fontosságáról beszélő német miniszter ujjlenyomatát. Ehhez mindössze egy okos telefont és egy ingyenes szoftvert használtak.
Jan “Starbug” Krissler biztonsági szakértő Ursula von der Leyens német védelmi miniszter ujjlenyomatát szerezte meg egy sajtótájékoztatón úgy, hogy egy digitális kamerával több szögből is lefotózta a kezét, A képeket a VeriFinger szoftverbe töltötte fel és ezzel rekonstruálta az ujjlenyomatot. A hekker ezzel arra hívta fel a figyelmet, hogy az ujjlenyomat nem a legbiztosabb módja adataink, készülékeink védelmének.
Inkább kontracsekk
Végül egy fontos megjegyzés. A biometrikus azonosítások nagyon fejlettek, a kutatások sikeresek, remek módszereket fejlesztettek ki a szakemberek. Ugyanakkor azt azért érdemes megfigyelni, hogy a rendszerek jellemzően nem az önálló azonosításra születnek, hanem valamilyen szekunder ellenőrzésre. Vagyis ma még a legjellemzőbb felhasználási terület a párhuzamos azonosítás.
Mire gondolunk? Ha a Fradi stadionjába, a Groupama Arénába be szeretne lépni valaki (és tételezzük fel, hogy működik a vénaszkenner), akkor a rendszer nem azt deríti ki a véna ellenőrzéséből, hogy az 50 ezer klubkártyás közül éppen ki szeretne belépni, hanem azt, hogy a szurkolói kártyáját átadó ember valóban a kártyatulajdonos-e.
Éppen így a digitális aláírások ellenőrzésénél sem az a metódus, hogy odaírunk valamit és a képernyőre feljönnek a személyes adataink, hanem előbb aláírjuk a szerződést és a rendszer verifikálja, hogy valóban azok vagyunk-e, akiknek megadtuk magunkat. Akit részletesebben érdekel a téma, annak melegen ajánljuk az említett “Kész a Pénz? – Minden, amit a FinTechről tudni kell és érdemes” című szakkönyvet.
