Число онлайн-сервисов в жизни человека постоянно растет, а это значит, что ему приходится все чаще проходить процедуру регистрации, чтобы подтверждать свою личность при входе в учетную запись. Уже довольно давно аутентификация (подтверждение личности) производится с помощью логина и пароля. Однако когда онлайн-сервисов, которыми пользуется человек, набирается с десяток, создать и запомнить надежный пароль для каждого из них становится невозможно. Люди начинают использовать один-два пароля для всех учетных записей. А даже надежный пароль можно похитить с помощью шпионских программ, которыми может быть заражено устройство. Согласно отчету компании Verizon более 76% всех взломов происходят из-за украденных данных для входа в учетную запись. Понимая это, эксперты по информационной безопасности постоянно ищут новые способы усилить аутентификацию, одновременно облегчив ее для пользователя.
Одним из первых шагов к этому стали программы для создания и хранения надежных паролей. Вначале они появились на персональных компьютерах, а затем - и на мобильных устройствах. Пользователю даже не нужно копировать пароли и вставлять их в браузер - большинство таких приложений сейчас содержат встроенный обозреватель веб-страниц, куда логин и пароль вставляются автоматически. Но и этот способ хранения паролей нельзя назвать полностью надежным, поскольку, узнав всего лишь один логин и один пароль к приложению, злоумышленник может, установив его на свое устройство, получить доступ (если файл с данными находится на сервере) ко всем онлайн-сервисам пользователя.
Логичным шагом для преодоления проблемы украденных паролей стало создание двухфакторной аутентификации, при которой вторым паролем служит "ключ", имеющийся только у пользователя. Ключ может сообщать USB-токен, устройство для генерации одноразовых паролей (ОТП), таблица ОТП, приложение для генерации ОТП или же SMS, присланное на мобильный телефон пользователя, - способ, использующийся сейчас большинством российских банков. Но, как показывает практика, и SMS можно перехватить, установив шпионскую программу на устройство пользователя, подделав сим-карту или установив мобильную точку доступа в зоне действия телефона. Кроме того, введение второго пароля усложняет жизнь пользователя - ему нужно вводить дополнительные данные, да и SMS может задержаться или вовсе не прийти из-за сбоя оператора связи или SMS-шлюза.
Еще больше сложностей испытывает клиент банка при онлайн-оплате товара. Кроме уже упомянутого SMS-пароля, который ему нужно ввести для подтверждения транзакции, клиент каждый раз должен вводить номер карты, срок окончания ее действия, а также CVV-код. Проделать все это и на компьютере-то непросто, а покупки на ходу с мобильного устройства вообще превращаются в мучительный процесс.
Принимая все сказанное выше, можно сделать вывод, что банкинг в его нынешнем виде не совсем готов к переходу в цифровой мир. Сами кредитные организации пока не торопятся что-то предпринимать по этому поводу - основная инициатива исходит, скорее, от платежных систем и технологических компаний.
Личность в облаке
Первым логичным шагом для переноса банковских транзакций в онлайн является их упрощение, то есть избавление пользователя от лишних действий, с этим связанных. Для того чтобы клиент мог платить легко с любой из своих банковских карт, нужна какая-то система-посредник, к которой пользователь мог бы привязать все свои данные, чтобы затем вводить только логин, пароль и одноразовый SMS-код для подтверждения покупки. Однако здесь в полной мере актуальна проблема "курицы и яйца", с которой сталкиваются все платежные системы, - для того, чтобы клиент онлайн-магазина мог воспользоваться таким кошельком для платежа, на этом сайте должна быть внедрена соответствующая кнопка, а магазин ее не внедрит, пока система недостаточно популярна. Создатель кошелька должен вызывать доверие у магазинов и покупателей, то есть стартапам здесь не место. Поэтому интерес к рынку проявили крупные игроки, такие как Amazon, Visa и MasterCard.
Еще в 2013 г. платежная система MasterCard представила сервис MasterPass, а Visa - V.me, который в июле 2014 г. переименован в Visa Checkout. Причем MasterCard, в отличие от Visa, уже открыл свой сервис для России в декабре 2014 г. Правда, работает он не напрямую, а представляет собой "кошелек в кошельке" - пользователю необходимо привязать к нему уже существующий российский электронный кошелек.
Агрегация всех платежных возможностей пользователя в едином облаке представляется шагом правильным, однако от него есть куда двигаться дальше - и с точки зрения удобства, и с точки зрения безопасности.
Знать, иметь, быть
"Что-то, что вы знаете, что-то, что вы имеете, что-то, чем вы являетесь", - такова волшебная формула современных систем безопасной аутентификации. Имеются в виду под этим, например, логин, смартфон и биометрия, как в случае со стартапом Anchor ID, получившем на FinovateFall 2014 награду Best of Show. Вместо того чтобы создавать сложные пароли, пользователю достаточно зарегистрироваться с помощью смартфона, запомнив только имя, предваряемое символом "<". В дальнейшем при вводе имени на сайте или в приложении банка смартфон будет автоматически запрашивать подтверждение и передавать достаточные для аутентификации данные по безопасному каналу. Если этого кажется недостаточно, клиент может добавить биометрию - распознавание лица с помощью камеры.
Другой награжденный там же стартап Toopher использует данные геолокации для аутентификации и даже автоматической деаутентификации - пользователь входит в учетную запись, посещая магазин, и выходит из нее, когда покидает эту торговую точку. Конечно, в реальности все несколько сложнее, но идея именно такова.
Проблемой избавления пользователей от паролей занялись уже далеко не только стартапы, но и такие гиганты, как уже упомянутые карточные системы, правда, пока только в пилоте. MasterCard тестирует биометрию среди своих сотрудников довольно давно - для подтверждения личности используется распознавание лиц камерой смартфона. Visa также не обходит вниманием биометрическую аутентификацию. Visa Europe даже провела в Великобритании исследование, которое показало, что "поколение Z" (люди возрастом от 16 до 24 лет) весьма лояльно относятся к биометрии - три четверти опрошенных указали, что считают удобным подтверждение платежа таким способом. Среди видов биометрической аутентификации 70% предпочли бы отпечаток пальца, 39% - сканировании сетчатки глаза, 27% - распознавание лиц и 12% - распознавание голоса. Указывались и такие экзотические пока способы, как быстрый анализ ДНК (15%) и имплантированные чипы (16%).
Впрочем, это далеко не полный список технологий биометрической аутентификации. Например, решение, не требующее наличия на смартфоне не только сканера отпечатков пальца, но и камеры, предложила компания Descartes Biometrics - достаточно приложить ухо к экрану естественным движением, к которому все привыкли, и сенсоры экрана распознают его форму, что и будет служить ключом для входа.
Разработки в области "беспарольной" аутентификации уже вышли за пределы частных изобретений отдельных компаний. Понимая, что в этой области нужен качественный скачок, крупнейшие платежные системы, банки, производители электроники и другие организации создали FIDO Alliance - некоммерческое партнерство, призванное обеспечить единые стандарты в области аутентификации. В него входят более 150 компаний, включая Alibaba, ARM, Bank of America, Discover Financial Services, Google, Lenovo, MasterCard, Microsoft, NXP semiconductors, PayPal, Qualcomm, Samsung и Visa. В декабре 2014 г. они уже утвердили первую версию стандарта - FIDO 1.0.
Подтверждение личности пользователя может происходить не только на этапе входа. Некоторые системы для контакт-центров уже умеют распознавать клиента по голосу прямо во время разговора с оператором. Такую систему, например, внедрил в 2014 г. Тинькофф Банк. Еще дальше пошел шведский стартап BehavioSec - их уже принятая американскими военными на тестирование разработка, названная Continuous Mobile Authentication, узнает, является ли пользователь тем, за кого себя выдает, по его поведению - программа оценивает, как он работает с устройством, по движениям курсора мыши, жестам и другим факторам.
В российской банковской отрасли до такой фантастики пока далеко, но стоит отметить, что и здесь банки начали делать первые шаги к упрощению жизни пользователя - уже около пяти банков используют технологию Touch ID, созданную Apple, а некоторые финансовые организации привязывают приложение к идентификатору телефона или сим-карты, что позволяет упростить вход до ввода ПИН-кода.
По оценкам компании Juniper Research, в 2015 г. пользователями будет скачано 6 млн приложений с биометрической аутентификацией. К 2019 г. их количество, как ожидается, достигнет 770 млн.
