Новости / май 2017
Рубрики: Информационная безопасностьУрФОРитейл

Банки узнают клиентов по отпечаткам

Андрей Федосеев
© ComNews
30.05.2017

Уральский банк реконструкции и развития (УБРиР) запустил идентификацию по отпечатку пальца для пользователей мобильного банка в смартфонах Apple. Банк уже рассматривает возможность внедрения такой функции для пользователей платформы Android. В свою очередь, банк ВТБ запустил вчера в промышленную эксплуатацию функцию подтверждения транзакций по отпечатку пальца для приложения "Мобильный банк". По мнению экспертов, применение отпечатка пальца в сканерах мобильных телефонов является не самым надежным способом идентификации.

УБРиР запустил идентификацию по отпечатку пальца для пользователей мобильного банка в смартфонах Apple. Теперь пользователи мобильного банка УБРиР вместо ввода пароля смогут проходить процедуру идентификации с помощью функции Touch ID.

Пресс-служба УБРиР сообщила, что эта опция разработана и запущена по просьбе пользователей мобильного банка. "Буквально каждый второй вопрос от клиентов, который приходил к нам по обратной связи, касался внедрения функции Touch ID. Поэтому мы, ориентируясь на желания клиентов, приняли решение запустить Touch ID", - сказал руководитель дирекции интернет-продаж УБРиР Денис Тур.

По словам Дениса Тура, сейчас больше половины пользователей интернет-банка УБРиР предпочитают управлять своими финансами только в мобильном банке. Из них 30% являются владельцами смартфонов Apple.

Банк уже рассматривает возможность внедрения такой функции для пользователей платформы Android. "Решение будет принято после того, как мы оценим все риски, в том числе по безопасности использования этой технологии для наших клиентов", - уточнил Денис Тур.

Денис Тур сказал корреспонденту ComNews, что УБРиР внимательно следит за новыми технологиями, и в ближайшей перспективе запустит голосовую биометрию для идентификации клиентов в дистанционных каналах обслуживания. По его словам, эта технология позволяет распознать клиента по голосу и таким образом осуществлять доступ к личным данным, например к информации о состоянии счета.

"Создание единой системы идентификации позволит пользователям банковских услуг решать свои вопросы дистанционно, без обращения в точки обслуживания. Банк, в свою очередь, сможет легко проверять личность клиента по биометрическим параметрам, тем самым существенно снижая свои риски. В будущем это позволит активно развивать дистанционные услуги: клиенты смогут получать кредиты, пользоваться другими банковскими предложениями, не вставая с дивана. Все документы можно будет полноценно заверять с помощью биометрических параметров, приравненных к собственноручной подписи", - отметил Денис Тур.

Банк ВТБ24 уже предоставляет пользователям мобильного приложения "ВТБ24-Онлайн" опцию идентификации по отпечатку пальца. "Вход по технологии Touch ID в приложении для iOS был внедрен в августе 2015 г., а вход по отпечатку пальца в Android - в феврале 2017 г.", - рассказала ComNews начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева.

В ВТБ24 считают, что данный способ идентификации со временем вытеснит все остальные способы и будет использоваться не только для авторизации, но и для подтверждения операций. По мнению Елены Дегтевой, также данный способ идентификации видится крайне перспективным на фоне активного развития использования биометрических сервисов в финансово-технологическом сегменте.

29 мая 2017 г. розничный бизнес банка ВТБ запустил в промышленную эксплуатацию функцию подтверждения транзакций по отпечатку пальца для приложения "Мобильный банк". Технология доступна для устройств на платформе iOS.

"Использовать сканер отпечатка пальца смартфона можно не только для входа в мобильное приложение, но и для подтверждения операций в нем. Применение данной технологии делает мобильное банковское приложение еще более безопасным, так как отпечаток пальца нельзя украсть", - подчеркнул в разговоре с корреспондентом ComNews заместитель руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин.

Он сказал, что использование биометрии при идентификации клиентов в финансовых учреждениях начало набирать обороты. Александр Солонин добавил, что в России пока только применяется идентификация по отпечатку пальца, в то время как уже существует голосовая идентификация. "Снятие отпечатка пальца - удобное и, самое главное, уже привычное действие для пользователей смартфонов", - заключил Александр Солонин.

Директор по инновациям банка "Открытие" Алексей Благирев сообщил ComNews, что банк запустил функцию идентификации по отпечатку пальца для пользователей мобильного банка в смартфонах Apple почти два года назад. По его словам, надежность такого способа идентификации определяется в первую очередь возможностью проверять рисунок капилляров, чтобы понять, что человек жив. В остальном, добавил он, отпечаток сложно подделать.

Пресс-службы Сбербанка, Альфа-Банка и "Почта банка" вчера воздержались от комментариев.

"При текущем уровне развития технологий использование отпечатка пальца в сканерах мобильных телефонов не может быть надежным способом идентификации - это всего лишь хороший способ повысить удобство клиента при работе с приложением. Да, технология Touch ID является довольно безопасной, однако скомпрометировать ее все же возможно. Например, сообщалось, что, сфотографировав руку жертвы, преступники могут распечатать ультратонкие перчатки и преодолеть сканер отпечатков пальцев. Есть и другие способы атак, в том числе использование "мастер-отпечатков", созданных по сотням отпечатков других людей и эксплуатирующих технический недостаток мобильных сканеров, связанный с тем, что они захватывают всего лишь небольшую часть поверхности подушечки", - прокомментировал руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention Денис Горчаков.

По его словам, при выборе между вводом PIN-кода и сканером отпечатков нужно учитывать несколько моментов. "Первый легче подсмотреть и использовать, особенно если тот хранится в заметках на телефоне. Отпечаток пальца сложно подделать, но если кому-то очень понадобятся данные, смартфон будет довольно просто разблокировать, силой приложив палец владельца к сенсору. Можно и совместить две атаки: например, известны случаи, когда грабитель разблокировал телефон, добавлял в него свой отпечаток пальца и по этому отпечатку заходил в мобильный банк. Некоторые банки учитывают возможность такого сценария в своих мобильных приложениях, некоторые - нет", - заключил в разговоре с корреспондентом ComNews Денис Горчаков.

Идентификация по отпечатку пальца может быть надежной лишь при соблюдении ряда условий, заметил технический директор компании Check Point Software Technologies в России и СНГ Никита Дуров. Во-первых, значение имеет способ хранения отпечатков - система должна преобразовывать их в сложную зашифрованную структуру, которой хакеры не смогут воспользоваться, даже получив к ней доступ, - рассказал Никита Дуров корреспонденту ComNews. - Во-вторых, сам процесс сканирования должен осуществляться с помощью современных биометрических сканеров, чтобы исключить искажения и ошибки при идентификации в случае, если у пользователя, например, микротравмы пальцев или мокрые руки".

Он отметил, что качественные системы защиты и хранения требуют серьезных вложений. По его словам, некоторые компании в целях экономии могут применять более доступные аналоги, которые не могут обеспечить необходимого уровня безопасности. "Чтобы быть уверенным в сохранности своих данных, рекомендуем уточнить вышеназванные детали до использования системы", - добавил Никита Дуров.

На взгляд руководителя сектора информационной безопасности компании AT Consulting Антона Карданова, современные технологии позволяют с достаточной степенью точности идентифицировать субъекта доступа по его отпечатку пальца, но сам по себе подобный метод идентификации не такой надежный, как, например, распознавание по радужной оболочке. Если же сравнивать отпечатки пальцев с простым паролем, то, конечно, стоит отдать предпочтение биометрии, считает Антон Карданов.

"Аутентификация по отпечаткам пальцев — безусловно, шаг вперед для авторизации при финансовых операциях, однако непробиваемым этот инструмент назвать нельзя. Копировать чьи-то отпечатки пальцев затруднительно, но мошенники могут использовать различные методы, чтобы получить чей-то отпечаток и воспользоваться им, когда устройство будет в их руках. Кроме того, хакеры могут обойти защиту приложения или использовать тактику социальной инженерии, чтобы получить отпечатки пользователей устройства", - заключил в беседе с ComNews ведущий вирусный аналитик Avast Михал Салат.