Usa il mouse, frecce o sfoglia se touch
   Magazine del 22/01/2020
Digital Business

Autenticazione biometrica comportamentale: la soluzione più user-friendly
Jennekens (equensWorldline): il BioTyping raccoglie e analizza i modelli sulla base del tempo di battitura, sulla pressione, sulla superficie toccata e sul movimento fatto sullo schermo

Il campo dell'autenticazione online è da sempre conteso tra la facilità d'uso e la sicurezza. Gli sviluppatori devono infatti fare i conti col fatto che una sicurezza elevata può creare resistenze e indurre gli utenti ad interrompere il processo di autenticazione prima ancora di averlo completato. Secondo Wael Elloumi, ricercatore presso CTO/R&D/Trusted Services di Worldline, la ricerca del giusto metodo di identificazione ha portato a una proliferazione di possibilità per l'autenticazione. Questo crea confusione nei consumatori, perché devono identificarsi in modo diverso per ogni servizio online, il che rende difficile distinguere i servizi reali e quelli falsi.

Ridurre le occasioni di reato

I criminali sfruttano questa possibile confusione per rubare i dati di login dei clienti, utilizzando tecniche come il phishing (e-mail inviate a singoli individui, simili a quelle di aziende note e affidabili). Per ridurre le possibilità di frode per i criminali e garantire che banche, commercianti e clienti possano pagare in modo sicuro, l'Unione europea ha introdotto la Strong Customer Authentication (SCA) nell'ambito della PSD2 (Payment Service Directive 2 - 2015/2366), che è in vigore dal gennaio 2018.
Come funziona la SCA? Per approvare un pagamento, i clienti dovranno verificarlo personalmente utilizzando almeno due fattori di sicurezza. Esistono tre tipi di fattori che possono essere impiegati. Il primo fattore è quello legato alla conoscenza (un'informazione conosciuta), come una password o un codice PIN. Il secondo fattore è legato al possesso (qualcosa che possiedi), come una smart card o un telefono cellulare. L'ultimo invece è il fattore biometrico (qualcosa che fa parte di te), come un'impronta digitale.
Ogni fattore ha i suoi vantaggi e svantaggi. Il fattore legato alla conoscenza è attualmente la forma di autenticazione più comunemente usata, ma è anche vulnerabile perché può essere facilmente sottratto, condiviso o anche ottenuto attraverso l'osservazione diretta. Il fattore legato al possesso deve essere portato dall'utente in ogni momento e comporta il rischio di perdita o furto.

Fisicamente presente

Quindi resta l'autenticazione biometrica (fisiologica) in cui l'utente deve essere presente fisicamente per usarla. Si pensi al riconoscimento facciale o alle impronte digitali, ad esempio. L'autenticazione biometrica ha un grande potenziale in quanto è facile da usare e relativamente sicura, ma questo metodo deve far fronte anche a una serie sfide in termini di sicurezza: lo spoofing è una di queste. Questo tipo di attacco informatico è usato dai criminali per copiare i dati biometrici, falsificando l'identità, e ottenere un accesso non autorizzato. Ciò è possibile attraverso la registrazione vocale o la riproduzione in silicone dell'impronta digitale. Ma l'autenticazione biometrica si sta muovendo nella giusta direzione, soprattutto grazie agli enormi progressi dell'intelligenza artificiale (AI) e del machine learning.
Questi nuovi sviluppi consentono di identificare i consumatori attraverso il loro comportamento individuale quando interagiscono con un dispositivo. In che modo? Attraverso la creazione di un profilo comportamentale che si compone di diversi parametri: dai movimenti all'interno di un'applicazione, all'interazione dell'utente con il dispositivo, alla pressione delle dita sullo schermo, fino ai modi in cui queste si muovono sullo schermo. La complessità di questi profili comportamentali, li rende impossibili da falsificare. Inoltre, questo metodo è quasi privo di resistenze da parte dell'utente.
Gli sviluppatori adottano sempre più spesso l'autenticazione biometrica comportamentale. Le soluzioni sono già sul mercato e in Worldline lavoriamo anche su questo tipo di soluzioni. Questo ha portato a due progetti pilota con relative prove misurabili (proof of concept) del fatto che le idee hanno un potenziale sufficiente per essere pienamente integrate in questo tipo di soluzioni.

BioTyping e autenticazione biometrica comportamentale continuativa

Siamo riusciti a migliorare la sicurezza dell'autenticazione basata su PIN sui dispositivi mobili aggiungendo un ulteriore livello di sicurezza trasparente e non intrusivo basato sul comportamento di BioTyping. La nostra soluzione raccoglie e analizza i modelli sulla base dei dati raccolti, che consistono nel tempo di battitura, nella pressione sullo schermo, nella superficie toccata sullo schermo e nel movimento fatto sullo schermo. In totale, sono stati raccolti 540 schemi che ritraggono le modalità con cui gli utenti digitano il codice PIN che sono successivamente stati utilizzati per costruire il profilo comportamentale. I risultati ottenuti hanno dimostrato che l'accuratezza media del nostro metodo è del 99,52%.
Nell'ambito del 3D Secure 2.0 - il nuovo protocollo di autenticazione per i pagamenti con carta di credito online basato su scelte di rischio - stiamo testando l'autenticazione biometrica comportamentale continua. Questo ci permette di prendere decisioni di rischio più accurate, raccogliendo fattori contestuali come la posizione, il dispositivo e il modello di rete e le diverse caratteristiche del comportamento dell'utente, come la pressione applicata eseguendo azioni quali lo swipe, lo scroll e il tocco dello schermo. Al fine di identificare l'utente, le caratteristiche contestuali e comportamentali vengono continuamente confrontate con il profilo esistente dell'utente. A seconda del punteggio di rischio, all'utente può essere chiesto di identificarsi con un secondo fattore di autenticazione. La nostra soluzione è senza resistenze perché funziona passivamente, in background, senza interferire con l'esperienza dell'utente.

Queste soluzioni all'avanguardia sono inoltre conformi alle nuove normative europee, quali i requisiti richiesti da PSD2 per SCA e il General Data Protection Regulation (GDPR) per la privacy, in quanto i dati biometrici sono sempre presenti sul dispositivo dell'utente sia per l'archiviazione sia per l'operazione di matching. Questo rende l'autenticazione biometrica comportamentale la soluzione di autenticazione biometrica più user-friendly per il prossimo futuro.

Paul Jennekens, Manager Marketing equens Worldline



Digital Business

numero di 22/01/2020
SOMMARIO di questa settimana

Condividi su LinkedIn




Sfoglia il prossimo articolo -->

*/ ?>