Blogsorozatunkban az SMS-alapú fizetéstől kezdve az Apple Pay-en át egészen az NFC-ig számos érdekes témakörrel foglalkoztunk már, a sort pedig nem szeretnénk megszakítani. A mai írásunkban is egy olyan területet pedzegetünk, amely nagyon fontos részét képezi mind a mobilfizetésnek, mind pedig a jövő biztonsági megoldásainak: ez nem más, mint a biometrikus azonosítás. Először is érdemes tisztázni, hogy mit takar ez a fogalom: egy olyan technológiát, amelynek célja, hogy a személyeket egyedi fizikai és testi jellemzők alapján azonosítsa, és ezt hitelesítésre használja fel.

A biometrikus azonosítás folyamata

Az általános fizetőeszközök, a mágneskártyák vagy a kulcsok könnyedén elveszíthetők, vagy akár jogtalanul eltulajdoníthatók, ezen felül a jelszavakat is gyakran el lehet felejteni. Itt jön képbe a biometrikus azonosítás, amelynek használata esetén ilyenről szó sem lehet, mivel az ujjunkat, a szemünket, vagy éppen a hangunkat mindig magunkkal hordjuk. Az azonosítást végző rendszer több elemből épül fel: van egy szenzor, ami magát a biometrikus mintázatot rögzíti, egy adatbázis, ami ezeket a mintákat tárolja, valamint egy összehasonlító algoritmus, ami segít kiszúrni a jogosulatlan próbálkozásokat.

Mivel mindenki egyedi biometrikus azonosítóval rendelkezik, így lényegében az egyik legbiztonságosabb rendszerekről beszélünk. Legalábbis elvileg. A biztonsági szakértők között sincs egyetértés abban, hogy mennyire cselezhetők ki ezek a rendszerek, de kétségtelen, hogy a mobiloknál és hordozhatók eszközöknél használt jelszavaknál, jelkódoknál és mintáknál jobb hatásfokkal védik az adatokat. Azonban gondok is adódnak, főleg, ha a manapság a fent említett eljárások között 67 százalékban használt ujjlenyomat-olvasó biztonságosságát firtatjuk: az egyik a lenyomatokat tartalmazó adatbázis feltörhetősége, sebezhetősége, illetve az, hogy például az ujjlenyomatunk minden megérintett tárgynál visszakövethető, ezáltal egy telefon biometrikus azonosítója elvileg kicselezhető.

Az Apple Touch ID szenzor felépítése

Többféle hitelesítésre szolgáló megoldás is létezik ebben a témakörben. A legismertebb módszer az ujjlenyomat-autentikálás. A szenzorok általában legalább negyven-hatvan különböző pontot rögzítenek, és mivel több szögből kell rányomni ujjunkat a leolvasóra a kalibrálás során, így elvileg ezt követően nem marad visszakövethető a minta. Sok helyen használják ezt a megoldást: útleveleknél, egyes országok választói regisztrációinál, vagy mondjuk csúcskategóriás mobiltelefonok képernyőjének feloldásánál. Egy másik lehetőség a hanganalízis, amit akár épületen belüli belépéseknél szoktak leggyakrabban használni, ennek hátránya, hogy a háttérzaj vagy az esetleges hangszállal kapcsolatos megbetegedések csökkenthetik a felismerés sikerességét. További opció a kézgeometria-elemzés, ám itt sem minden fenékig tejfel, ugyanis egy ízületi gyulladás vagy mondjuk egy jelentősebb fogyásakár az egész folyamatot tönkreteheti. Van még arcfelismerés és úgynevezett arc-thermogram is, ám ezek egyre kisebb számban használatos eljárások (bár az előbbi volt az Android Ice Cream Sandwich verziójának egyik ütőkártyája).

Sokkal fontosabb, hogy szemünk is használható azonosításra. Az egyik lehetőség a retinavizsgálat, ám ez körülményes, ráadásul különleges pontosságot igényel, mivel a fejnek mozdulatlannak kell maradnia, ugyanis a fénysugárnak a retina hátfalára kell vetülnie. Az utóbbi időben viszont sokat fejlődött az ennél jobb módszernek bizonyuló íriszfelismerés, más néven íriszdiagnosztika, amit mobiloknál a Fujitsu már be is vetett. A kontaktlencse és a szürkehályog ugyan okozhat galibát, mégis a több mint négyszáz adatpont minden fenti megoldásnál nagyobb fokú biztonságot és hitelesítési pontosságot jelent. A módszer használatakor az ember szivárványhártyájának egyedi és időben állandó kialakítását vizsgálja az azonosító. Az elkészült képről leveszi a szempillát, a pupillát és a szemhéjat, és a mintázat információit digitális formában rögzíti, majd az újabb autentikáláskor ezeknek a biteknek a sorrendjét összehasonlítja.

A biometrikus technológia felhasználásának aránya a bankok tekintetében [+]

Hogy ezeknek a módszereknek pontosan mi közük is van a mobilfizetéshez, arra az Apple Pay-ről szóló írásunkban részletezett fizetési eljárás az egyik legjobb példa. Az almás vállalat az ujjlenyomat-olvasót használja fel arra, hogy a tranzakciók során a fizető felet, egyben mobil és a kártya tulajdonosát azonosítsa, a tranzakciók közben az ujjnak a szenzoron kell lennie. Az almás vállalat alkalmazásboltjában szintén fizethetünk így, vagyis vásárolhatunk dalokat, alkalmazásokat. A Samsung Pay is ehhez hasonlóan működik, ám itt az azonosítást még a telefonnak a terminálhoz érintése előtt el kell végeztetni a leolvasóval. A dél-koreai gyártó ráadásul még arra is felhasználja a mobilok biometrikus leolvasóját, hogy a böngészőben ne kelljen bepötyögni a jelszavakat, hanem a szenzort megérintve automatikusan kitöltődjenek a titkos adatok. Nyilván a későbbiekben még több funkció kerül majd kiaknázásra, hiszen az iOS-ben már egy ideje, az Androidban pedig az M-től kezdve rendszerszintű hozzáférést kapnak az ujjlenyomat-olvasóhoz az alkalmazásfejlesztők.

Már kártyákba épített ujjlenyomat-olvasó is létezik, köszönhetően a Zwipe és a MasterCard együttműködésének.

Az Acuity felmérése szerint 2020-ra már az interneten zajló vásárlások és egyéb tranzakciók azonosításának 65 százaléka biometrikusan történik majd, ráadásul az eljárással foglalkozó cégek forgalma is nőni fog, a 2014-ben mért 1,6 milliárd dollár helyett 5 év múlva már 34,6 milliárd dollár bevétellel számolhatnak. A riport szerint a hitelesítések 35 százaléka mobiltelefonon történik majd, amit a bankok is jó szemmel néznek, hiszen egy 2012-es kimutatás szerint a 121 megkérdezett bank 48 százaléka preferálta a biometrikus technológiát, hiszen sokkal biztonságosabbnak tartják a PIN-kódoknál. A statisztikák szerint egyébként az íriszfelismerésé és az ujjlenyomat-olvasóé a jövő, a fog és DNS-vizsgálaton alapuló módszerek inkább a katonai és a rendőrségi folyamatok részei maradnak.