Valamikor a tavalyi év során egy felhasználói szempontból határozottan kedvező folyamat kezdett begyűrűzni a magyar bankszektorba: 2016-ban három nagybank is (MKB, K&H, CIB) vadonatúj netbankos alkalmazással rukkolt elő, melyek aktívan hozzájárulnak ahhoz, hogy az ember az ideje minél kevesebb részét töltse egy bankfiókban ácsorogva, a pénzügyeit pedig akár út közben is kényelmesen intézhesse.

A fenti trióhoz múlt hónapban csatlakozott a legnagyobb magyar kereskedelmi bank, az OTP is, melynek ugyan korábban is egész jól használható mobilappja volt, az újat viszont sokkal kényelmesebb használni - például mert jóval egyszerűbb vele a bejelentkezés.

kh_fingerprint.jpg

Az említett bankok mobilos alkalmazásaiban éppen ez az egyik legfontosabb közös tulajdonság, vagyis konkrétan az, hogy a hagyományos, többnyire PIN-kódos beléptetés mellett már támogatják az ujjlenyomat-alapú azonosítást is. Persze ehhez nem árt egy ujjlenyomat-olvasó a telefonra, illetve egy olyan operációs rendszer, ami támogatja annak a használatát (mondjuk ez utóbbi többnyire egyenesen ered az előbbiből). 

Míg a PC-k esetében a biometrikus azonosítás nem vált különösebben népszerűvé, addig az okostelefonok esetében, ahol adott esetben kényelmetlenebb lehet bepötyögni mindenféle azonosítókat, a rendszer használata magától értetődő és kézre álló (vagyis ujjra álló). Emellett - ahogy a bankok bizalma is mutatja - kellően biztonságos is, bár biztonsági szakértők időről-időre igyekeznek felhívni a figyelmet arra, hogy a biometrikus azonosítás inkább kényelmes, mintsem biztonságos, ami elsősorban abból adódok, hogy

a biometrikus azonosítónkat nem tudjuk olyan könnyen lecserélni, mint a jelszavunkat.

Az mindenesetre azért könnyen belátható, hogy elég kevés az esélye annak, hogy valaki egyszerre jusson hozzá a telefonunkhoz és az ujjlenyomatunkhoz, és a biometrikus azonosítót valamilyen módon reprodukálva pénzügyi műveleteket hajtson végre a készüléken futó netbank appon keresztül. Bár lehet, hogy abban az esetben, ha valakinek ELKÉPZELHETETLENÜL sok pénze van a bankszámláján, megéri ezzel próbálkozni, az átlagemberek pénzére inkább a különböző adathalász támadásokkal vadásznak előszeretettel a bűnözők.

Egy szó mint száz, ha a fenti bankok valamelyikénél vezeted a számláját, és a készüléked megfelel a rendszerkövetelményeknek (BlackBerryk esetén egyedül a DTEK60-on van ujjlenyomat-azonosító, illetve a KEYone-on lesz a szóköz billentyűben), használd bátran a biometrikus azonosítást.

Most már csak annyi van hátra, hogy a bankok többsége az ósdi és drága SMS-értesítést kiváltsa push üzenetekkel, de talán már erre sem kell olyan sokat várni.

Bár a felhasználói tudatosság még mindig finoman szólva hagy maga után kívánnivalókat, ha a személyes adatbiztonságról van szó, azért az utóbbi időben egyre többen látják el az okostelefonjukat valamilyen jelszózárral. Van ezek közül egészen nehezen, és könnyebben feltörhető, most éppen a biometrikus azonosítás, azaz az ujjlenyomat-, sőt íriszszkenner a divat, előbbi már az Androidnak is szerves része a Marshmallow óta, utóbbi pedig az új Lumiákon debütált.

Bár -- elsősorban a hollywoodi mozik hatásának betudhatóan -- utóbbi módszer, azaz a biometria tűnik a legbiztonságosabbnak, a mai napig vannak, akik komolyan kételkednek abban, hogy a biometrikus azonosítás tényleg olyan kényelmes és betonbiztos, mint amennyire elsőnek látszik.

samsung-galaxy-s5-finger-print-sensor-not-working.jpg

Az biztos, hogy az ujjlenyomat-szkennerek eleinte elég nehézkesen működtek, az első implementációknál az érzékenység finoman szólva nem volt optimális (lásd a fenti képen lévő üzenetet, ami számtalan Samsung-tulaj életét keserítette meg eleinte), de szerencsére ezen a téren sokat javult időközben a technológia. Az íriszszkennel pedig leginkább az a probléma, hogy bár elsőre menőnek tűnik, valójában elég hülye mutatvány minden képernyőfeloldásnál közelről a kijelzőre meredni.

A biometrikus azonosítással ráadásul van mégegy probléma: ha egyszer valamilyen módon lemásolják teszemazt valakinek az ujjlenyomatát (bár annyira nem triviális, de azért erre léteznek módszerek), akkor az azt jelenti, hogy gyakorlatilag örökre megszerezték az identitását, lévén az ujjlenyomatunk velünk születik és velünk száll a sírba is.

A BlackBerry bár a mobilbiztonság egyik legfőbb zászlóvivője, mind a mai napig nem épített egyik okostelefonjába sem biometrikus azonosítást, még a nemrég debütált androidos zászlóshajónál, a PRIV-nél is kihagyta ezt a ziccert. A cég részben a fentiekkel indokolja a döntését, részben pedig azzal, hogy kitalált valami teljesen más, teljesen egyedi jelszózárat, mely a PIN-es, vagy a minta-alapú (pattern) védelemnél lényegesen biztonságosabb.

Ez a BB10-nél debütált képjelszó, amivel szemben gyakorlatilag bárki tehetetlen, hiába szerezte meg fizikailag magát a készüléket. A képjelszó ugyanis:

  • Véletlenszerűen elhelyezett mintával dolgozik, így a kijelzőn maradt ujjlenyomatok nem árulnak el semmit,
  • Illetve ugyanebből fakadóan kileshetetlen, szemben a számzárakkal, vagy hagyományos jelszavakkal,
  • Emellett brute force módszerrel sem lehet feltörni őket, mivel néhány sikertelen próbálkozást követően rövid időre letilt, majd jelszó hiányában elindítja a biztonsági adattörlést a rendszer, így nem lehet korlátlan számban próbálkozni vele.

A képjelszó szolgáltatást a BlackBerry sikerrel ültette át a PRIV-be is, és bár nem állítanám, hogy minden helyzetben a legkényelmesebb használni (leginkább a nagy érzékenység miatt), de szerintem ad olyan védelmet, mint bármelyik biometrikus autentikáció -- jóllehet kétségtelenül kevésbé menő. Na és Te hogy véded, védenéd a telefonodat az illetéktelen behatolóktól?

Via Inside BlackBerry blog.