Kody SMS, aplikacje oraz selfie. Wszystkie te rzeczy łączy jedno - służą uwierzytelnieniu online. Niestety, w dalszym ciągu budzą wiele wątpliwości wśród ekspertów ds. bezpieczeństwa w sieci.
Uwierzytelnienie oparte na selfie jest wymagane przy coraz większej liczbie czynności. To nowy trend na świecie, coraz powszechniej używany. Niektóre banki oraz instytucje zaczeły wymagać tego typu autoryzacji. W Wietnamie i Singapurze już wymaga się tego przy niektórych zakupach. Jednak to, co miało uczynić zakupy bezpieczniejszymi, budzi teraz wątpliwości ekspertów.
W tym tygodniu, Wietnam wprowadził obowiązek skanowania twarzy w aplikacjach bankowości elektronicznej jako dowodu tożsamości przy transakcjach cyfrowych powyżej 400 dolarów. Podobne zabezpieczenie dla niektórych operacji wprowadził ostatnio również Revolut, choć tam jest ono opcjonalne.
W tle pojawiają się jednak opinie, że selfie wcale nie poprawią bezpieczeństwa. Niektóre aplikacje zostały już skrytykowane za akceptowanie nieruchomych zdjęć zamiast tych "na żywo", zaledwie kilka dni po wprowadzeniu nowego systemu.
Obawy nie ograniczają się jedynie do Wietnamu, amerykańska agencja zajmująca się cyberbezpieczeństwem też zgłosiła obawy co do tej procedury. Wiele z tego typu selfie zostało udostępnionych dostawcom fintech i e-commerce, a następnie wyciekło. Oszuści zbierają takie selfie, by móc potem sprzedać je innym przestępcom.
Zrobienie selfie na potrzeby rozpoznania klienta samo w sobie nie stanowi problemu - problem polega na tym, że dane te nie są prawidłowo obsługiwane i w wielu przypadkach nie są usuwane po zakończeniu weryfikacji. Jeśli mają jakąkolwiek wartość dla przestępców, to ktoś spróbuje je ukraść.
- twierdzi Kevin Reed, dyrektor ds. bezpieczeństwa informacji firmy Acronis.
Najnowsze procedury uwierzytelniania są stale aktualizowane i do głosy dochodzą coraz to nowsze pomysły. Często wymagają nagrania wideo, prosząc osobę o konkretny wyraz twarzy lub obrót głowy, co wydaje się rozsądnym pomysłem.
Co prawda nad Wisłą nikt jeszcze nie wymyślił, by robić z selfie dodatkową warstwę autoryzacji pojedynczych transakcji, ale banki często wykorzystują tę metodę do uwierzytelniania przy otwarciu rachunku. Takie rozwiązanie zastąpiło proces podpisania umowy przy kurierze i dostępne jest w największych instytucjach, w tym Pekao SA, który do Polski wprowadził je jako pierwszy.
Instytucje nie ujawniają, ilu klientów korzysta z selfie, ale bez wątpienia preferują tę właśnie metodę. Na przykład Santander w pewnym momencie w ogóle zrezygnował z kurierów. Same banki zapewniają zaś, że pod względem bezpieczeństwa nowość nie odbiega od wcześniejszych standardów.
W praktyce obawy zdaje się budzić nie sama metoda, lecz jej implementacja. Jeśli branża finansowa uzna, że samo selfie wystarczy do poważniejszych transakcji i nie zadba o to, by wyeliminować ryzyko podłożenia statycznego obrazu, rzeczywiście możemy mieć problem. Inna sprawa, że taki scenariusz w europejskich realiach może uchodzić za mało prawdopodobny.
Zobacz: Pierwsze banki zaczynają rezygnować z kodów SMS
Źródło zdjęć: bilanol / Shutterstock.com
Źródło tekstu: The Register, oprac. własne