Biometrinen tunnistus

Yleistyykö biometrinen tunnistus maksamisessa?

Biometrinen tunnistus on taas pinnalla viime aikoina keskustelua herättäneen Mastercardin Selfie Payn myötä. Tämä kasvonpiirteistä henkilön tunnistava teknologia on yksi monista tavoista korvata perinteinen PIN koodi, hyödyntäen ihmisen luontaisia ominaisuuksia.

Biometrisiä menetelmiä markkinoidaan niiden helppouden ja turvallisuuden perusteella, mutta onko tämä kehityssuunta todella niin ruusuinen kuin ratkaisutoimittajien lupauksista voisi odottaa?

 

Biometrinen tunnistaminen yleistyy, muttei täysin ongelmitta

Biometrinen tunnistaminen ei ole uusi keksintö, mutta vasta nyt sitä ollaan tuomassa laajemmin vähittäiskaupan maksamiseen.

Uudet tunnistamistavat eivät kuitenkaan ole täysin ongelmattomia. Tietyt olosuhteet, kuten kylmä tai kostea ilma, voivat tehdä esimerkiksi sormenjälkitunnistuksen hyvin hankalaksi. Loppupeleissä asiakas joutuu kuitenkin naputtelemaan tutun PIN -koodinsa päästäkseen maksamaan, eikä erityistä turvallisuushyötyä ole saavutettu.

Biometrisiin tunnisteisiin liittyy myös paljon myyttejä. ”Maailmassa ei ole kahta samanlaista sormenjälkeä” tyyliset urbaanilegendat antavat perusteetonta uskoa menetelmän erehtymättömyydestä. Eikä asiaa auta, että halpoja sormenjälkitunnistimia on suhteellisen helppo huijata.

 

ValitasoVirtuaalinen välitaso vastauksena biometrian riskeihin

Lisäriskiä biometriseen tunnistautumiseen muodostuu siitä, ettei esim. sormenjälkeä voi salasanan tavoin vaihtaa identiteettivarkauden jäljiltä. Näin ainoaksi mahdollisuudeksi jää tietyn todentamistavan käytön täydellinen kieltäminen, mikä sulkee myös sormen omistajan ulos tietystä tunnistustavasta.

Toinen ongelma, johon ei ole kiinnitetty tarpeeksi huomiota on biometristen tunnisteiden sisältämä informaatio. Muun muassa iiriksestä saadaan henkilön tunnisteen lisäksi esimerkiksi terveyteen liittyvää tietoa.

Biometrisen tiedon turvaamiseksi, tunnistamiseen tulisikin aina sisällyttää jonkinlainen välitaso. Biologinen Informaatio ei saa sellaisenaan päätyä tunnistajan järjestelmään, vaan suotavampaa olisi, että erillinen laite (esimerkiksi asiakkaan puhelin) ottaa tiedon vastaan ja välittää eteenpäin tunnisteesta johdetun koodin.

Näin todentamiseen riittää koodinpätkän vertaaminen tunnistajan tietokantaan, eikä biologinen informaatio vaarannu. Vaikka asiakkaan sormenjälki ja laite varastettaisiin, voidaan vaadittua koodinpätkää muuttamalla ottaa sormi taas käyttöön uudessa puhelimessa ilman pelkoa jäljen väärinkäytöstä.

 

Selfiestä vaihtoehto PIN-koodille?

Mobiilimaksamisen siivittämänä on nyt rantautumassa kasvontunnistukseen perustuva Mastercardin Selfie Pay.

Sormenjälki ja kasvotunnistus ovat perustasolla hyvin samanlaisia todentamistapoja, molempien verratessa kasvonpiirteistä tai sormen juonteista johdettuja pisteitä.

Myös selfiessä on omat ongelmansa, jotka liittyvät pääasiassa kameran toimintaan ja tilan valaistukseen. Käytettävyys ja se paljon mainostettu helppous kärsivät, kun asiakas joutuu täydessä kassajonossa tai hämärässä ravintolassa hakemaan juuri oikeaa kulmaa kameralle.

Näille menetelmille löytyy vaihtoehtoja, mutta aina on olemassa tilanne, jossa biometrinen tunnistus ei ole se optimaalisin vaihtoehto. Aika ajoin biometrinen tunnistautuminen voi hankaloittaa maksamista, sen helpottamisen sijaan.

Miksi kehitystä sitten jatketaan? Miksi suuret korttiyhtiöt rakentavat kiivaasti biometriikkaan perustuvaa teknologiaa, jos se ei kerran toimi kaikissa tilanteissa?

 

Hyvä kompromissi turvallisuuden ja käytettävyyden välillä

Ajoittaisista ongelmistaan huolimatta, biometrinen tunnistautuminen tarjoaa hyvän kompromissin tietoturvan ja käytettävyyden välillä. Maksamisen kehittäminen on jatkuvaa painia näiden kahden tekijän välillä. Helppous ja turvallisuus kulkevat harvoin käsi kädessä, minkä vuoksi hyvien kompromissien löytäminen on tärkeää.

Kasvontunnistus tarjoaa erinomaisen käytännön esimerkin turvallisuuden ja käytettävyyden suhteesta:

Kasvonpiirteitä tunnistaessa valitaan toleranssit, joiden puitteissa tunnistautuminen hyväksytään. Kevyemmillä toleransseilla tunnistautuminen onnistuu vaikeammissakin olosuhteissa, mutta myös salauksen murtaminen muuttuu helpommaksi. Raskaammilla vaatimuksilla ongelmaksi muodostuvat tunnistautumisen hankaloituminen ja maksamisen hidastuminen.

Tässä kiteytyy hyvin sähköisten maksujen tietoturvan dilemma: Helppo on harvoin turvallinen ja turvallinen on harvoin helppo.

 

Biometrinen tunnistus lisääntyy lähivuosina

Sormenjälkeä lukuun ottamatta, biometrisiä tunnistamismenetelmiä lanseerataan hyvin rauhallisella aikataululla. Onkin mielenkiintoista nähdä, miten pian lanseerattava Daon teknologiaan perustuva Selfie Pay otetaan vastaan kuluttajien keskuudessa.

On odotettavissa, että vaihtoehtoiset tunnistamismenetelmät yleistyvät tulevien vuosien aikana. Mutta siinä missä nämä lisäävät käytettävyyttä, saavutetut turvallisuushyödyt jäävät rajallisiksi, jos varalla on aina se perinteinen PIN -koodi.

Biologiseen todentamiseen liittyvä yksityisyydensuoja paranee EU:n uuden tietosuoja-asetuksen siirtymäajan päätyttyä 25.5.2018. Biometrinen tunniste tuodaan tarkkojen käsittelysääntöjen piiriin ja myös yritykset asetetaan vastuullisiksi tietosuojarikkomuksista. Tämä tekee biometrisen todentamisen houkuttelevammaksi ainakin turvallisuusnäkökulmasta.

Jäämme mielenkiinnolla seuraamaan miten laajan suosion erilaiset tunnistautumistavat keräävät. Kiinnostavaa on myös nähdä, päästäänkö PIN-koodista koskaan eroon, vai varmistetaanko maksujen onnistuminen jatkossakin tutulla numerosarjalla.

Tietoa kirjoittajista:

Sakari Parre

Sakari ParreSeitatechin toimitusjohtaja. Pitkä kokemus pankkien ja vähittäiskaupan maksuratkaisujen kehittämisessä tarjoaa Sakarille hyvän tuntuman tulevaisuuden maksamisen kehityssuunnasta.

Toomas Selkänen

Toomas on maksamisen teknologiasta kiinnostunut markkinointiasiantuntija. Hän purkaa maksualan aiheita maallikon näkökulmasta.

Scroll to top