دستورالعمل FATF و اهمیت احراز هویت دیجیتال (e-KYC) مبتنی بر ویژگی‌های بایومتریک

بر اساس تخمین‌ها، پرداخت‌های دیجیتال سالانه 12/7 درصد رشد می‌کنند و پیش‌بینی می‌شود که تا سال 2020، میزان سالانه تراکنش‌های مالی دیجیتال به 726 میلیارد تراکنش برسد و تا سال 2022 احتمال می‌رود که 60 درصد تولید ناخالصی جهان دیجیتالی شود.

ازاین‌رو گروه ویژه اقدام مالی (FATF) به تازگی دستورالعملی را منتشر کرده است که در آن به حکومت‌ها، مؤسسات مالی و دیگر ذی‌نفعان پیشنهاد می‌کند که برای جلوگیری از سوءاستفاده‌های ناشی از سرقت هویت در انجام تراکنش‌های مالی دیجیتال، از فناوری‌های احراز هویت دیجیتال استفاده و به طور جدی در این زمینه تلاش کنند.

این گروه در این دستورالعمل در ابتدا به تعریف سیستم‌های احراز هویت دیجیتال پرداخته و ویژگی‌های کلیدی آن را بیان کرده است. در ادامه نیز استانداردهای سازمان‌های بین‌المللی را در زمینه تایید هویت و اعتبار سنجی دیجیتال مشتری آورده است. مزایا و ریسک‌های استفاده از سیستم‌های احراز هویت دیجیتال بحث بعدی این گزارش است و در نهایت دستورالعملی برای ارزیابی سیستم‌های احراز هویت دیجیتال ارائه کرده است.

در این دستورالعمل گروه ویژه اقدام مالی به ویژگی‌های بایومتریک افراد به عنوان یکی از ویژگی‌های اصلی برای احراز هویت دیجیتال در بخش‌های مختلف دستورالعمل اشاره شده است. ویژگی‌های ذاتی افراد که در احراز هویت دیجیتال از آنها استفاده می‌شود را ویژگی‌های بایومتریک افراد معرفی کرده و بیان داشته است که ویژگی‌های بایومتریک برای شناسایی و تایید هویت افراد کمک می‌کنند.

این بخش‌ها شامل بیان ویژگی‌های بایومتریک افراد، فناوری‌های استفاده از ویژگی‌های بایومتریک برای احراز هویت دیجیتال، ریسک‌های استفاده از ویژگی‌های بایومتریک و جایگاه ویژگی‌های بایومتریک در احراز هویت سنتی هستند.

فناوری‌های احراز هویت دیجیتال

استانداردها، فرآیندها و فناوری‌های هویت دیجیتال به نقطه‌ای از رشد رسیده‌اند که سیستم‌های احراز هویت دیجیتال این امکان را پیدا کرده‌اند که در حال حاضر یا به زودی مقیاس‌پذیر شوند.

فناوری‌های مربوط به این حوزه شامل: فناوری استفاده از طیفی از ویژگی‌های بایومتریک، استفاده از اینترنت و تلفن همراه، شناسنامه‌های دستگاه‌های دیجیتال و اطلاعات مربوط به آنها (مانند شماره تلفن، آی‌پی تلفن‌های هوشمند، جی‌پی‌اس و غیره)، اسکنرهای با وضوح بالا، انتقال ویدیوی با کیفیت بالا (برای تشخیص زنده بودن تصویر)، هوش مصنوعی و یادگیری ماشین و فناوری دفترکل توزیع‌شده هستند.

استفاده از ویژگی‌های بایومتریک در ثبت‌نام و احراز هویت (صحت / اعتبار سنجی اولیه)

صرفاً جهت اهداف تصویرگری، برخی از نمونه اقدامات انجام شده در مؤلفه اول می‌تواند شامل موارد زیر باشد:

• جمع‌آوری: ارائه حضوری مدارک هویتی؛ ارسال آنلاین اطلاعات مربوط به شاخص‌های اصلی و سایر تایید کننده‌ها (به عنوان مثال پر کردن فرم آنلاین، ارسال عکس سلفی برای جمع‌آوری ویژگی‌های بایومتریک چهره) و مجموعه آنلاین مدارک هویتی (به عنوان مثال، با ارسال عکس دیجیتالی از گواهینامه رانندگی یا گذرنامه
• اعتبارسنجی: تأیید صحت مدارک الکترونیکی برای اطمینان از اعتبار مدارک، داده یا اطلاعات (به عنوان مثال استفاده از ویژگی‌های امنیتی فیزیکی، تاریخ انقضا و تأیید صحت خصوصیات و شاخص‌ها از طریق سایر خدمات
• ثبت تکراری: ایجاد یکتایی یا منحصر به فرد بودن شخص در سیستم با استفاده از جستجوی ثبت‌های تکراری، الگوریتم‌های جمع‌آوری بیوگرافی و یا تشخیص بایومتریک.
• تأیید: راهکارهای بیومتریک مانند تشخیص چهره و تشخیص زنده بودن برای تطبیق شخص با مدارک شناسایی ارائه شده.
• صدور تأیید اعتبار یا اعتبار سنجی: ارتباط دادن یک یا چند تایید کننده، (به عنوان مثال گذرواژه‌ها، ایجاد کد یکبار مصرف در تلفن‌های هوشمند، کارت‌های هوشمند PKI و غیره) به حساب هویتی.

هویت دیجیتال، شامل فرآیند جمع‌آوری و پردازش اطلاعات شخصی است. بانک‌های اطلاعات دیجیتالی که حاوی شاخص‌های هویتی برای اثبات هویت هستند، ممکن است شامل اطلاعات شخصی و ویژگی‌های تایید شده (PII) و ویژگی‌هایی مانند نام، سن، تاریخ تولد، شماره شناسایی فرد، و همچنین اثر انگشت یا سایر اطلاعات بایومتریک باشند.

ویژگی‌های بایومتریک در مرحله ایجاد پروفایل افراد در سیستم احراز هویت به کار می‌رود در تشکیل پروفایل افراد از مشخصات بایومتریک افراد استفاده می‌شود همچنین در مرحله تایید نیز ویژگی‌های بایومتریک افراد مانند تشخیص چهره و تشخیص زنده بودن به کار گرفته می‌شود.

انواع ویژگی‌های بایومتریک افراد

ممکن است شاخص‌های تاییدکننده بر اساس ویژگی‌های ذاتی (بیولوژیکی یا رفتاری) فرد باشد. لازم به ذکر است که بایومتریک به سرعت در حال تکامل است، که این باعث به‌وجود آمدن انواع متمایزی از فناوری‌های تایید هویت بایومتریک ایستا و پویا شده است که از لحاظ قابلیت اطمینان بودن و حفظ حریم خصوصی درجه ریسک متفاوتی دارند.

به ترتیب با توجه به بلوغ فناوری و میزان پذیرش تجاری و همچنین شدت تهدیدات احتمالی در مورد حریم خصوصی، سیستم‌های هویت دیجیتال ممکن است شامل کاربردهای زیر باشند:

• خصوصیات بایومتریک فیزیکی، مانند اثر انگشت، الگوهای عنبیه، صدا و تشخیص چهره که همگی ایستا هستند.
• خصوصیات بایومتریک بیومکانیکی، مانند مکانیک ضربه به کلید، که حاصل تعامل منحصر به فرد عضلات، اسکلت‌ها و سیستم عصبی فرد است.
• ویژگی‌های بایومتریک رفتاری، بر اساس رفتارهای اجتماعی شامل الگوهای حرکتی، الگوهای ارسال ایمیل و پیام‌های متنی، استفاده از تلفن همراه و الگوهای جغرافیایی.

فاکتورهای احراز هویت

عوامل تأیید اعتبار به طور سنتی، شامل سه دسته اصلی است:

• فاکتور دانشی: چیزی که شما می‌دانید مانند: یک راز مشترک (به عنوان مثال، رمز یا عبارت عبور)، یک شماره شناسایی شخصی (PIN)، یا پاسخ به یک سؤال امنیتی از پیش انتخاب شده.
• فاکتور مالکیت: چیزی که شما دارید، مانند: کلیدهای رمزنگاری ذخیره شده در سخت‌افزار (به عنوان مثال، در تلفن همراه، تبلت، رایانه یا یک فلش مموری) یا نرم‌افزاری که کاربر آن را کنترل می‌کند، رمزعبور یک بار مصرف (OTP) در یک دستگاه سخت‌افزاری یا یک نرم‌افزار تولید کننده OTP که بر روی یک دستگاه دیجیتالی مانند تلفن همراه نصب شده است.
• فاکتور ذاتی: چیزی که شما هستید (بایومتریک‌ها شامل ویژگی‌های بایومتریک صورت، اثر انگشت یا الگوی عنبیه و بایومتریک رفتاری پیشرفته که براساس روش منحصربه‌فردی که شخص با دستگاه‌های دیجیتالی تعامل دارد، مانند نحوه نگه‌داری و استفاده از تلفن همراه)

به طور سنتی، و همانطور که در استانداردهای NIST منعکس شده است، احراز هویت دیجیتالی در زمان‌های مشخصی انجام می‌شود وقتی شخصی ادعای هویت می‌کند و قصد شروع انجام یک تراکنش دیجیتالی (جلسه آنلاین) یا حضوری و یا دسترسی به یک حساب کاربری یا سایر خدمات مالی را دارد.

اگرچه امروزه، بسیاری از نهادهای قانونی، به ویژه مؤسسات مالی بزرگ در کشورهای توسعه یافته، در آغاز تراکنش‌های مالی با مبلغ زیاد با شیوه‌های سنتی یا تحلیل ریسک تراکنش، به احراز هویت می‌پردازند.

یوآیدی و احراز هویت دیجیتال مبتنی بر ویژگی‌های بایومتریک

پلتفرم احزار هویت دیجیتال یوآیدی با ارائه امکان احراز هویت با استفاده از ویژگی‌های بایومتریک افراد اولین و تنهاترین پلتفرم در ایران در این زمینه است. پلتفرم یوآیدی با استفاده از هوش مصنوعی و تکنولوژی‌های پیشرفته توانسته بستر مناسبی را فراهم آورد تا ارائه‌دهندگان خدمات مالی بتوانند کاربران خود را با ویژگی‌های بایومتریک به صورت سریع، دقیق و با امنیت بالا احراز هویت کنند.

تکنولوژی‌های پیشرفته تشخیص زنده بودن تصویر یا Liveness Detection و پردازش تصویر (Image Processing) از ویژگی‌های بایومتریک افراد برای احراز هویت دیجیتال استفاده می‌کند.