Деньги у нас есть!
У нас ума не хватает!
Кот Матроскин
На российском рынке систем аутентификации очевидный бум: многие крупные банки всерьез озаботились внедрением систем биометрической аутентификации, в том числе и в системы дистанционного банковского обслуживания (ДБО).
Чем же завлекла банкиров биометрия, ведь этот тип аутентификации весьма специфичен и специалистов в этой области среди банковских сотрудников было весьма мало. Тем не менее раздаются голоса, что этот тип аутентификации самый надежный и самый удобный, та самая «серебряная пуля», которая раз и навсегда избавит банки от проблем с проверкой личности клиента как в офисах, так и в системах ДБО.
Для того чтобы понять все недостатки и преимущества биометрической аутентификации, надо немножко, совсем чуть-чуть уточнить базовые понятия и устранить ошибки в терминологии.
Увы, в банковской среде прочно укоренилось понятие «идентификация клиента». В руководящих документах записано: «Банк должен идентифицировать клиента». И банки это отлично усвоили.
Но если посмотреть толковый словарь, то мы увидим, что процесс идентификации – это процесс установления личности. Клиент, пришедший в банк, вполне, как правило, в состоянии назвать себя. То есть установления личности не требуется, она известна клиенту и сообщена банку. Банк должен всего лишь проверить, может ли клиент подтвердить свою личность, действительно ли посетитель тот, за кого он себя выдает. При личном визите в банк посетителя просят предъявить паспорт или другой документ, удостоверяющий личность. Дальнейшие процедуры известны сотрудникам банка: сравним гражданина с его фото на паспорте, проверим паспорт по базе утерянных паспортов и т.д. Проверка достоверности сообщенных клиентом данных о своей личности есть процесс аутентификации, идентификация посетителя произведена давным-давно органами Министерства внутренних дел, которые на основании таких документов, как свидетельство о рождении, выдали гражданину паспорт.
И если с визитом клиента в офис все просто и понятно, то как поступить при дистанционном обслуживании ? Ведь паспорт клиента сотрудник банка в этом случае проверить не может. Как провести аутентификацию клиента?
В природе имеется всего три фактора, которые можно использовать для аутентификации:
• Что-то, что я (и только я) знаю, – пароль, кодовое слово
• Что-то, что есть у меня (и только у меня), – ключ от сейфа, карта доступа в помещение, платежная карта
• То, что присуще мне от рождения: отпечатки пальцев, голос, рисунок радужной оболочки – биометрические признаки
Западные банки с момента создания систем ДБО с той или иной степенью успеха пытались создать безопасную, удобную для клиентов и недорогую систему аутентификации. Увы, любая такая система есть компромисс между безопасностью, удобством и общей стоимостью владения. И успешный интернет-банк – это тот, где найден удачный компромисс.
Еще одно необходимое понятие – аутентификация транзакций – подтверждение того, что транзакция, отправленная клиентом в банк, достигла банка в неизменном виде, а тот факт, что транзакция отправлена клиентом, не вызывает у банка сомнения.
За годы работы западные банки пришли к выводу, что использование одного фактора (исторически это был пароль) для аутентификации клиента недостаточно, и массово перешли к двухфакторной аутентификации – то есть используя любые два из имеющихся трех. Заметим, во многих странах использование двухфакторной аутентификации в финансовых учреждениях носит обязательный характер. Как правило, в качестве второго фактора использовалось что-то, что банк выдавал клиенту: таблицу одноразовых паролей, генератор одноразовых паролей, смарт карту, защищенную PIN. Биометрический фактор чаще всего оставался неиспользуемым, ибо требовал дополнительного оборудования, еще недавно вполне дорогостоящего и не слишком надежного в работе.
И только с появлением современных смартфонов, имеющих в своем составе такое оборудование, как считыватель отпечатка пальцев, видеокамеру, обладающих мощным процессором и поддерживающих высокоскоростные каналы связи, появилась возможность обеспечить биометрическую аутентификацию клиента. Если же учесть, что проникновение смартфонов продолжает расти и одновременно растет применение смартфонов для систем ДБО, то понятен соблазн использовать имеющийся смартфон для аутентификации клиента.
Есть ли какие-либо особенности у биометрической аутентификации? Несомненно. И в первую очередь это тот факт, что в отличие от первых двух аутентификационных факторов биометрия носит вероятностный характер.
Любое биометрическое оборудование и сопутствующее программное обеспечение не могут обеспечить распознавание с вероятностью 100%. Обычно вероятность того, что клиент тот, за кого себя выдает, составляет около 95%. Попытка повысить вероятность правильного распознавания приведет к одновременному повышению вероятности, что не будет опознан законный клиент. Увы, если мы сравним вероятность, что посторонний человек подберет к вашей карте четырехзначный PIN (при трех попытках), составит всего около трех сотых процента (0,03%). И этой вероятностью легко управлять: достаточно увеличить длину PIN до 5 знаков – и вероятность уменьшится до трех тысячных процента.
Чем же так привлекательна биометрическая аутентификация? Простотой использования на стороне клиента: пароль можно забыть, отпечаток пальца всегда с вами.
Иногда приходится слышать от сотрудников банка: «У нас будет использоваться двухфакторная аутентификация – мы используем для подтверждения личности клиента лицо и голос». Это типичная ошибка – многократное использование одного и того же фактора не делает процесс аутентификации многофакторным.
Какой биометрический параметр использовать для аутентификации? Выбор есть: тут и отпечатки пальца, и лицо, и голос. Отпечаток пальца – очень удобный фактор, пальцевый узор отличается даже у близнецов, в то время как попытка различить их по лицу или голосу, скорее всего, не сработает. Но увы, сканер отпечатка есть далеко не у всех моделей смартфонов.
Очень заманчиво использовать аутентификацию по голосу: уж микрофон то есть в мобильном телефоне всегда, да и получить картинку от клиента не вопрос – трудно найти телефон без камеры.
Можно проводить сравнение биометрических параметров на сервере, можно использовать для биометрической аутентификации смартфон клиента. Но надо понимать, что использование для аутентификации серверного решения, существенно снижая требования к клиентскому устройству, требует более мощных каналов связи между клиентом и банком и существенных затрат на серверное оборудование и необходимое программное обеспечение.
Есть и еще один аспект, связанный с серверным решением: безопасность всей системы аутентификации будет определяться тем, насколько безопасно хранятся биометрические параметры клиентов на сервере. Компрометация такого сервера скомпрометирует всех клиентов одновременно. Ну и хранение биометрических данных – это отдельная головная боль для службы безопасности.
Использование клиентского устройства для хранения персональных данных упрощает задачу – компрометация клиентского устройства не приводит к компрометации системы в целом, хотя и требует больших ресурсов на смартфоне клиента.
Есть и еще аспект – на российском рынке практически не проводились опросы клиентов об отношении к сбору банками биометрических данных, и здесь банки могут встретиться с нежеланием клиентов передать банкам свои биометрические данные.
Очевидно, что основное преимущество биометрии – это удобство, но безопасность биометрические решения повысить не могут. Именно поэтому банки должны отдавать себе отчет, смогут ли они монетизировать удобство на стороне клиента и хотя бы вернуть инвестиции за какой-либо приемлемый срок.