راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

احراز هویت مبتنی بر رفتار – احراز هویت مستمر

لیلا نظری، مدیر پروژه احراز هویت دیجیتال در هلدینگ فناوری و نوآوری صاد / در مراحل اولیه شروع بانکداری دیجیتال، تراکنش‌‌های مالی ارائه‌شده به صورت آنلاین، محدود بود و از مهم‌ترین علت‌های آن می‌توان به ریسک‌های بسیار در شناسایی و تشخیص هویت کاربران اشاره کرد. با این حال با تقاضای بیش از پیش مشتریان مبنی بر دریافت سرویس‌های بانکی و پرداختی همچون انتقال وجه، کارت به کارت، افتتاح حساب، دریافت وام و پرداخت اقساط به صورت آنلاین، مؤسسات مالی به سمت ارائه چنین خدماتی حرکت کردند و همین موضوع زمینه را برای مجرمان و هکرهای سایبری بازتر کرده و نگرانی‌های جدید و جدی‌تری را در مورد چگونگی تأیید هویت مشتریان آنلاین به وجود آورده است، چراکه مشتریان عموماً فاقد آگاهی یا ظرفیت لازم برای محافظت از دستگاه‌های خود در برابر بدافزارها و حملات هستند چنان‌که جدیدترین گزارش‌ها نشان می‌دهد که حملات بدافزارهای تلفن همراه در طول سال گذشته تقریباً دو برابر شده است و تصاحب (هک) حساب مبتنی بر تلفن همراه ۷۹ درصد افزایش‌یافته است.

ایمن‌سازی دستگاه‌های تلفن همراه چالش‌های منحصربه‌فردی را برای مؤسسات مالی ایجاد کرده است که از آن جمله می‌توان به موارد زیر اشاره کرد:

  • ریسک مرتبط با کاربرپسند بودن فرآیندها: کاربران از اپلیکیشن‌های بانکی خود انتظار راحتی بالای کاربری را دارند. درگیری غیرضروری در تجربه احراز هویت ممکن است کاربران را به سمت تغییر مؤسسه مالی و سرویس دهنده سوق دهد.
  • خطرات مرتبط با دستگاه‌های قابل حمل: دستگاه‌های تلفن همراه در عرض چند ثانیه به سرقت رفته و انتقال و تعویض سیم‌کارت جزو تکنیک‌های رایج کلاه‌برداری در این حوزه هستند که منجر به در اختیار گرفته شدن شماره تلفنی که قربانی برای ثبت نام در بانک استفاده کرده است می‌شود و سؤال مهم اینجاست که در حال حاضر چه راهکاری برای تشخیص ریسک تلاش برای ورود از یک کشور خارجی، در نیمه‌شب وجود دارد؟
  • خطرات بدافزارها: وضعیت دستگاه تلفن همراه در هر زمان می‌تواند دست‌خوش تغییر شود. هر بازدید از یک وب‌سایت جدید و دانلود هر برنامه جدید از فروشگاه‌های آنلاین و در برخی موارد حتی از فروشگاه‌های رسمی نیز خطر نصب سهوی بدافزار را به همراه دارد. مصرف‌کنندگان ممکن است از اقدامات حفاظتی لازم بر روی دستگاه‌های خودآگاه نباشند و یا به یک WIFI حفاظت نشده متصل شوند که می‌تواند توسط کلاه‌برداران کنترل شوند، همه این موارد خطر آلوده شدن تلفن‌های همراه و یا تبلت به بدافزار یا ره‌گیری و تغییر داده‌های تلفن همراه آن را افزایش می‌دهد.

امروزه این سؤال که «مؤسسات مالی چگونه می‌توانند اطمینان حاصل کنند که با یک متقاضی یا مشتری قانونی در حال معامله هستند؟» به این سؤال تغییر کرده است که «مؤسسات مالی چگونه می‌توانند مطمئن شوند که با یک متقاضی یا مشتری قانونی سروکار دارند بدون اینکه تأثیر منفی بر تجربه کاربری آن‌ها بگذارند؟»


نیاز به احراز هویت شفاف و مستمر مشتری


رویکردهای مبتنی بر رمز عبور دیگر پاسخگوی نیازهای امنیتی فعلی نیست و احراز هویت چند عاملی ضروری می‌نماید. درحالی‌که احراز هویت چندعاملی بخش اساسی یک رویکرد احراز هویت مدرن است از سوی دیگر مؤسسات مالی به این مسئله آگاه هستند که به تجربه کاربری و سفر مشتری نباید مراحل اضافی را تحمیل کنند. از این رو مؤسسات مالی به فناوری‌هایی روی می‌آورند که در پس‌زمینه کار می‌کنند و درواقع می‌توان گفت که برای کاربر نامرئی هستند و کاربران در طی تجربه کاربری نسبت به آن دریافتی ندارند. فناوری‌های احراز هویت تطبیقی مبتنی بر ریسک، نقاط داده‌ای مهم را جمع‌آوری کرده و بدون تأثیر بر راحتی کاربر، آن‌ها را تجزیه‌وتحلیل کرده تا تعیین کنند که آیا در واقع کاربر قانونی در حال انجام تراکنش است یا خیر؟

موسسه مالی که هویت کاربر را در ابتدای فعالیت بانکی تأیید کرده است نمی‌تواند مطمئن باشد که این فرد، همان فردی است که ۱۰ دقیقه بعد یک تراکنش پولی بزرگ را درخواست کرده است، چراکه ممکن است در طی ده دقیقه گذشته دستگاه یا فضای کاربری مورد حمله قرار گرفته باشد، بنابراین بهترین روش جمع‌آوری و تجزیه‌وتحلیل داده‌ها، رویکرد مستمر است.


احراز هویت مبتنی بر رفتار چیست؟


احراز هویت بیومتریک از ویژگی‌های منحصربه‌فرد افراد برای تأیید هویت آن‌ها استفاده می‌کند. به گفته گارتنر «برای اینکه احراز هویت (از طریق تأیید، شناسایی و یا غربالگری) مفید باشد یک ویژگی بیومتریک، باید منحصربه‌فرد، پایدار و قابل اندازه‌گیری باشد. علاوه بر این، باید یک نمونه (تصویر، ویدیو، صوت و …) از آن ویژگی را بتوان گرفت و داده‌های شناسایی (یک مجموعه ویژگی) را به گونه‌ای استخراج کرد که منحصربه‌فرد بودن را حفظ کند.»

پیش از این، چندین روش مبتنی بر ویژگی‌های بیولوژیکی استاتیک مانند شناسایی اثر انگشت، چهره و یا تحلیل سیستم مویرگی انگشت در جریان‌های احراز هویت بانکی رایج شده‌اند، این موارد نمونه‌های فعال بیومتریک هستند به این معنی که به یک عمل خاص از کاربر مثل اسکن اثر انگشت نیاز دارند.

برخلاف احراز هویت مبتنی بر صفات بیولوژیکی ساکن، احراز هویت مبتنی بر رفتار، اقدامات کاربر و نحوه تعامل کاربر با دستگاه خود مانند نحوه حرکت در یک سایت، تعامل با دستگاه، کیبورد و صفحه نمایش را برای تأیید مداوم هویت خود را رصد می‌کند.


اجزای تجزیه‌وتحلیل رفتاری


برای آن که بتوان پروسه تجزیه‌وتحلیل رفتاری را به صورت کامل طی کرد و تصمیم‌گیری‌های درست و بجا در مورد تشخیص هویت افراد ارائه کرد می‌بایست بر همه‌ی نقاط رفتاری کاربر تمرکز داشت، این نقاط را می‌توان در قالب چهار لایه تقسیم و مورد بحث قرار داد که در ادامه به صورت مختصر به مرور آن‌ها می‌پردازیم:

  • درونی‌ترین لایه یا لایه رفتار و تعامل با دستگاه: در این لایه، تحلیل رفتاری یک نمای کلی از سفر کاربر و تجزیه‌وتحلیل زمان کاری او را ارائه می‌دهد. احراز هویت مبتنی بر رفتار برای ارزیابی رفتار ناوبری در برنامه و دستگاه مانند سرعت مرور، دقت حرکت و غیره استفاده می‌شود.
  • تعامل با حساب: تجزیه‌وتحلیل رفتار می‌تواند انحرافات از رفتار معمول کاربر را با مقایسه با داده‌های تاریخی مربوط به گیرندگان جدید، مبالغ تراکنش، زمان ورود به سیستم، تغییرات آدرس و موارد دیگر تشخیص دهد.
  • رفتار بین کانالی / متقابل دستگاه: این لایه رفتار کاربر را در کانال‌ها، دستگاه‌ها و محصولات، تجزیه‌وتحلیل می‌کند.
  • لایه بیرونی یا لایه تجزیه‌وتحلیل سمت سرور: در این لایه از تجزیه‌وتحلیل رفتاری، داده‌ها به موتور ریسک داده می‌شود تا تجزیه‌وتحلیل پیوندها بین عناصر مختلف داده جمع‌آوری‌شده، کاربران، گروه‌های کاربران، شرکت‌ها و رویدادها را امکان‌پذیر کند تا با استفاده از موتور تصمیم‌گیری و یادگیری ماشین برای قدرت. تجزیه‌وتحلیل زمان واقعی از آن استفاده کنند.

انواع بیومتریک رفتاری


بیومتریک رفتاری یک زمینه نسبتاً جدید از تحقیقات و اجرای فناوری در زندگی روزمره است. در حال حاضر، سه جهت اصلی در توسعه بیومتریک رفتاری وجود دارد: حرکت‌شناسی، الگوهای صوتی و ژست‌های مبتنی بر دستگاه.

حرکت‌شناسی

حرکت‌شناسی تجزیه‌وتحلیل داده‌های بدن را در شرایط زیر فراهم می‌کند:

  • وضعیت بدن (نشسته، ایستاده)
  • راه رفتن (طول گام، سرعت حرکت)
  • نحوه استفاده از دستگاه (تلفن همراه) مثلاً زاویه خاص نگه‌داشتن گوشی

الگوهای صوتی

تکنولوژی تشخیص صدا مدت زیادی است که در حال استفاده در راهکارهای نرم‌افزاری ست. بیومتریک رفتاری یک الگوی صوتی را بر اساس تغییرات صوتی که در گفتار افراد رایج است، شناسایی می‌کند.

ژست‌های مبتنی بر دستگاه

هر فردی در اثر استفاده مداوم با دستگاه (موبایل، تبلت و …) نوعی اثر از خود به جای می‌گذارد، مثال‌هایی از این اثرات عبارت‌اند از:

  • الگوی ضربه زدن به کلیدها (سرعت ضربه زدن و مدت‌زمان فشار دادن کلیدها، الگوی تصحیح اشتباهات تایپی)
  • تعاملات تلفن همراه (کشیدن انگشت، ضربه زدن، اعمال فشار، تایپ کردن، یا بزرگنمایی)
  • حرکت مکان‌نما (استفاده از مکان‌نما، سرعت، کلیک‌ها، مسیرها و تغییرات جهت)

مفاهیم کلیدی و فناوری‌های جدید


اگر بخواهیم به سطح زیرین بیومتریک رفتاری نگاهی بیندازیم حس‌گرهای هوشمند و یادگیری ماشینی و هوش مصنوعی خودنمایی می‌کند.

حس‌گرهای هوشمند

امروزه حس‌گرهای کوچک با کارایی بالا تولید شده‌اند و آن‌ها را می‌توان در هر محصول الکترونیکی شخصی مدرن، از دستگاه‌های تلفن همراه و پوشیدنی‌ها گرفته تا لوازم خانگی پیدا کرد. در عین حال، هر یک از این حسگرها، می‌توانند برای جمع‌آوری داده‌ها به صورت غیرفعال پیکربندی شوند. شتاب سنج و ژیروسکوپ برای این اهداف مناسب هستند و تقریباً در هر دستگاه تلفن همراهی تعبیه شده‌اند.

یادگیری ماشینی/یادگیری عمیق

هوش مصنوعی نقش ارزشمندی در بیومتریک رفتاری دارد، این تکنولوژی می‌تواند وارد رقابت با ادراک انسان شود و حتی از آن پیشی بگیرد و این به لطف توسعه الگوریتم‌هایی است که داده‌ها را جمع‌آوری و تجزیه‌وتحلیل می‌کنند.


مزایای احراز هویت مبتنی بر رفتار


  1. با توجه به اینکه احراز هویت رفتاری به اقدامات طبیعی کاربر متکی است، زمان لازم برای احراز هویت کاربر به حداقل می‌رسد. اصطکاک کمتر مشتری و کاربرپسند بودن محیط ارائه خدمت، مشتریان را به استفاده بیشتر از خدمات موسسه مالی ترغیب می‌کند.
  2. به عنوان بخشی از تجزیه‌وتحلیل ریسک، احراز هویت مبتنی بر رفتار دقت امتیازدهی ریسک را افزایش می‌دهد و به مؤسسات مالی این امکان را می‌دهد تا به طور ایمن خدمات مرتبط با ریسک بیشتری را هم بتوانند ارائه دهند.
  3. احراز هویت مبتنی بر رفتار دارای انعطاف کافی برای بهینه‌سازی فرآیند احراز هویت است. این فناوری یک تجربه کاربری عالی برای کاربران واقعی فراهم می‌کند، درحالی‌که در عین حال داده‌هایی را ارائه می‌دهد که می‌توانند به عنوان محرکی برای افزایش چالش احراز هویت در مواقع ضروری عمل کنند. به عنوان مثال، اگر کاربری سعی کند از یک مکان مشکوک وارد سیستم شود، احراز هویت مبتنی بر رفتار می‌تواند به احراز هویت کاربر کمک کند و نیاز به چالش‌های احراز هویت مرحله به مرحله را از بین ببرد.
  4. احراز هویت مبتنی بر رفتار می‌تواند نقش فعالی در کاهش خطر تقلب داشته باشد. امتیاز شباهت آن را می‌توان برای تجزیه‌وتحلیل تقلب استفاده کرد و به عنوان یکی از نقاط داده برای تعیین امتیاز ریسک تراکنش عمل کند. به این ترتیب، می‌تواند به کاهش نتایج مثبت کاذب نیز کمک کند.
  5. احراز هویت مبتنی بر رفتار به عنوان یک SDK مستقل با قابلیت پیاده‌سازی آسان می‌تواند در دسترس باشد. این فناوری پروفایل‌های مشتریان جدید را به صورت خودکار و به گونه‌ای که برای مشتری نامرئی است ایجاد می‌کند و نیاز به اقدامات اضافی کاربر برای ثبت نام را از بین می‌برد.
  6. تکرار یا تشخیص ویژگی‌های رفتاری تقریباً غیرممکن است. تجزیه‌وتحلیل هم‌زمان چندین ویژگی نیز درجه ایمنی را افزایش می‌دهد.
  7. احراز هویت مبتنی بر رفتار به هیچ سخت‌افزار بیومتریک اختصاصی نیاز ندارد و همین امر موجب کاهش هزینه برای مؤسسات مالی می‌شود.
  8. داده‌های رفتاری رفتار کاربر را به یک نمایش ریاضی در نمایه آن‌ها تبدیل می‌کند که برای مجرمان بی‌معنی است و از این لحاظ یک سطح امنیت خصوصی را نیز تضمین می‌کند.

پیش‌بینی برای آینده بیومتریک رفتاری


احراز هویت مبتنی بر تصویر و گفتار، شیوه‌ رایج احراز هویت کاربران در فرآیندهای حساس کنونی در اپلیکیشن‌های پرداختی و بانکی کشور است، به تبع افزایش کاربران خدمات بانکداری دیجیتال و بالا رفتن توانایی نفوذگران و مخربان اهمیت احراز هویت مستمر مبتنی بر مشخصه‌های رفتاری بدیهی و امری اجتناب‌ناپذیر می‌نماید و مسیری است که به‌زودی شاهد شکل‌گیری و گسترش آن در نرم‌افزارها و اپلیکیشن‌های داخلی خواهیم بود.

بیومتریک رفتاری یک فرصت عالی برای مؤسسات مالی برای غنی‌سازی تجزیه‌وتحلیل ریسک خود با داده‌های خاص کاربر است که در عین حال، برای گرفتن داده‌ها نیازی به هیچ اقدامی از سوی کاربر نیست. با انجام تجزیه‌وتحلیل مستمر و بلادرنگ در پس‌زمینه، تجربه بانکی مثبتی را برای کاربران قانونی تضمین می‌کند و در عین حال کلاه‌برداران را شناسایی و متوقف می‌کند مانند هر دستاورد دیگری در علم و فناوری، بیومتریک رفتاری افق‌های گسترده‌ای برای توسعه دارد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.