我们中的一些人会对一个勇敢的、新的无密码的世界感到非常兴奋。不得不记下来的日子将一去不复返了27密码并把它们贴在屏幕旁边。或者不得不对房间另一边的同事大声喊出来。
对于银行和其他金融机构来说,一个没有密码的世界可能并不是他们所想的结局。他们已经意识到,即使有双重身份验证的帮助,密码也不足以保护敏感的客户信息免受当今数字威胁的影响。
从那以后,他们一直在寻找有效保护客户账户的创新方法。没过多久,他们就开始考虑生物识别技术——测量和分析一个人的独特特征。
尽管一些银行已经采用了一些生物识别模式,最近越来越多的金融机构因其:越来越多的金融机构开始通知行为生物识别学
- 灵活性。它可以根据组织的具体需要进行调整。
- 方便。它不需要专门的硬件,并且不会产生负面影响的用户体验。
- 效率。它实时起作用,可以与其他身份验证模式一起使用。
- 安全。复制或偷窃本质上很难。
让我们了解这是一个有前途的生物识别的模型,我们吗?
什么是行为生物识别?
也被称为behaviometrics或者基于行为的身份验证,这是一种动态的身份验证形式,调查一个人的行为模式 - 他们与系统和技术交互的方式 - 识别用户。
在金融部门,这用于不断确保与在线银行,电子商务网站,付款应用程序或多因素认证服务的交易中的人是他们声称从他们登录的时间他们退出的时间。
在使用此模式时,一个不需要更多的密码来记忆或下载,并保存一组备份代码,即他们的密码会出现问题。随着行为生物识别态通常是被动的,意味着一个人不会意识到它是在那里,用户可以不断和安全地进行金融交易,而无需采取额外的行动。
在金融领域之外,行为生物识别技术可以应用于任何能够与系统进行交互的现代计算机技术,这些系统允许用户不受干扰地执行任务,并实时保护可能敏感的数据。下面是一个实际情况:
莎拉通过一个流行的辛迪向她的室友送25美元P2P付款应用程序作为本周末杂货的贡献。他们计划有一个90岁的恐怖电影马拉松比赛,她邀请了她的表兄弟,罗宾来标记。虽然莎拉和辛迪正在厨房准备饭菜,但罗宾留在起居室挑选电影。
罗宾锯莎拉把她的手机留在沙发上,解锁了。在偷偷看看厨房的入口之后,她抓住了手机并加载了她的堂兄的P2P应用程序,打算向自己的帐户汇款,因为她的妈妈在她今天早上检查时的钱包里有太多钱包。罗宾明天举办了一个晚上和朋友们,如果莎拉意识到转移,她确信她的表兄弟会理解。
在罗宾证实了应用程序上的货币转移后,屏幕上弹出一条消息,说明她没有被授权这样做。这是因为在付款应用中安装的生物识别软件已经认识到Robin的行为模式不匹配,针对Sarah的独特档案。
关上大门!它真的可以那准确的?
恐怖和可怕的,这是伟大的为消费者和金融机构。上面的场景是假设的,可能没有那么令人信服,所以这里一个真实的:欧洲银行从2012-2013实施了对其在线银行服务的行为生物识别计划。从每次会话数量有限的客户端收集行为数据几个月。
当客户登录到网上银行门户网站并在客户注销时结束时,会议开始。登录时,他们完成的交易可以范围从使用一次性密码到常规银行交易,如检查帐户或转入金钱。
随着行为生物识别技术在幕后工作,客户一般都越来越几乎没有从生物识别方案中断。在试运行后,他们评估了数据的准确性,并确定了这些会议期间的客户被认为是正确的用户99.7%的时间。
这意味着,如果用户A使用行为生物识别实现登录在线银行,系统可以根据他们的行为模式验证登录的用户仍然是用户A,从会话开始到结束。
与其他生物识别方式相比,据说精度为99.7%。
这几乎听起来太好了。它是如何工作的?
行为生物识别的准确性的关键是机器学习或者具有能够自动学习的计算机系统,并在不明确编程的情况下改善数据。A user’s behavioral patterns, such as the way one holds their smartphones, moves their mouse, or swipes their finger on a tablet screen, are measured and recorded using sensors (or the accelerometer and gyroscope if we’re talking about other devices like smartphones).
然后,高级软件算法分析所有收集的数据,为用户创建一个配置文件。然后使用这个配置文件不断检查在线银行会话中的用户,正如我们在上面的案例研究中看到的那样。这个用户可能是真正的用户,一个冒名顶替者,或者一个机器人。
真正的用户几乎总是符合他们的个人资料,而一个冒名者将无法模仿受害者的行为是不可能模仿的。机器人通常无法展示可测量的人类响应,并且根本不响应会话中注入的额外随机被动行为测试。也就是说,一个系统可以发现机器人最简单。
在撰写本文时,行为生物识别技术被用于持续身份验证、基于风险的身份验证、内部威胁检测以及欺诈检测和预防。
等待。当产品开始收集用户的行为模式时,它不是隐私违规吗?
涉及生物识别性的时候,隐私是一个巨大的关注点,这种特殊的模态并不对他们免疫。
与传统形式的生物识别性,聚集和存储一个人的生理特征,例如他们的指纹或虹膜扫描,行为生物识别学会收集与特定个人无关的用户数据。一个人的指纹可以识别它们,但它们如何移动他们的鼠标指针或阻止他们的智能手机。行为生物识别技术也不需要知道您的身份,您的储蓄在哪里,或者您的帐户凭据是什么,或者您的帐户凭据是什么,以确保您是最后一次登录的用户。
根据到了国际生物特征识别协会,由行为生物识别应用程序收集的数据是在标准隐私法下由设备或网络运营商接收的数据。但由于行为数据可以被归类为非个人身份信息,FTC,州政府和美国国会是考虑规范和限制其收集和分享。
这主要是由于行为监测和针对在线广告目的的实践,而不是用于身份验证的目的或作为添加的安全层。电子前沿基金会(EFF)发布了关于这种行为监测的关注和解决方案的立法底漆,您可以读取这里.
这种方式的提供者所能做的就是教育用户基于行为的身份验证的安全好处,让收集的数据如何被使用变得透明,并让用户有权撤销其生物特征数据的使用许可。IBIA已经被声明了这种行为生物识别者提供者正在寻找新的方法来解决隐私问题。
行为生物识别技术是否存在任何缺点?
无论虚幻的行为生物识别学如何声音,事实就是这种模式 - 就像其他人一样 - 并不完美。语音或扬声器识别,签名分析, 和击键动态是行为生物识别性的方法,它们各自都有缺点。有时,他们甚至会造成额外的安全风险。
例如,可以通过获取目标声音的高质量录音来规避语音认证,以便将来回放。背景噪音也是语音认证的一个问题。按键分析和签名识别准确率低,容易分别受到用户的身体和情感倾向的影响。
请注意,金融系统当前提供商采用的行为生物识别方案不使用上述形式的方式。截至本文,没有关于AI驱动行为生物识别性的缺点的文献。
如果用户改变了与设备的交互方式会发生什么?
我们之前提到的行为生物识别性是一种动态的认证形式。由此,我们的意思是它不仅接受并记住一个生物识别条目,例如指纹。相反,它接收并识别用户执行动作和其他显着特征的方式的数量。分析所有这些(以及可能更多)并用于为单个用户创建配置文件。
一个人的行为变化是自然发生的,即使一个人没有意识到,这已经在衡量行为时考虑到了。我们也不要忘记,行为生物识别技术与机器学习结合在一起,可以在会话中不断检查用户的身份。行为上的细微差异不会让某人的账户无法使用。
其他威胁是否如何对地址发表的行为生物识别方法?
在金融部门,行为生物识别学可提供防止账户共享欺诈,账户收购攻击,新账户欺诈,恶意软件,一些老鼠。甚至一个提供者索赔它可以帮助防范勒索软件。
行为生物识别技术也可以用来将内部威胁的发生扼杀在萌芽状态。
尚未准备好替换密码
金融部门的行为生物识别学相对较新,并继续改善和成熟。此时,它不声明替换密码或双因素身份验证。然而,较大的图片另一个补充:一种用于保护敏感用户数据的分层安全方法。因此,我们希望达到一个完全无密码社会的最终梦想 - 这完全有可能在我们的一生中 - 我们可能不得不等待一点时间。毕竟,基础工作是准备的,我们正在看到组织开始建立它.
基于行为的认证可以潜在地改变了很多东西,我们可以期待一个新的趋势出现在用户的验证很快。而且它可能是新的和有趣的网络安全行业面临的挑战。
注释