Biometria behawioralna

Brzmi nieco nudno ale potencjał jest. Polecam filmik

A tu trochę więcej o całym projekcie

1lajk

To brzmi aż za dobrze. Gdzie jest luka?

Luka jest taka, że kolejne “coś” będzie zbierało nasze dane i będzie je “gdzieś” przechowywało. No i jak każde zabezpieczenie zapewne i to będzie miało jeszcze kilka innych podatności i 0day’ów. Nic nie jest idealne.

1lajk

Generalnie nie jest tak różowo jak na tym filmie. Nie mogę powiedzieć, że na tym temacie zjadłem zęby, ale ‘coś tam wiem’. W mBanku też mi było dane chwilę wewnętrznie siedzieć także fajnie fajnie, ale rzeczywistość taka fajna nie jest.

Coś takiego ma sens działać głównie na komputerze, ale nie na smartfonie, a to tam byśmy sobie tego najprędzej życzyli.

1lajk

To prawda. To nie jest tak, że chłopaki nagle odkryli “amerykę” i od teraz wszystko będzie super bezpieczne.
Co nie zmienia jednak faktu, że jeśli algorytm będzie dobrze skonstruowany i faktycznie nauczy się rozpoznawać kto jet kto to pomysł może okazać się przydatny. Ale to jeszcze sporo wody w Wiśle upłynie.

2lajki

Wydaje mi się, że o nich słyszałem w podcaście Panoptykonu. Pomysł fajny i widzę go jako jakieś usprawnienie systemów bezpieczeństwa, ale nie można (i raczej nigdy nie można będzie) na tym polegać jako głównej metodzie bezpieczeństwa. Poza tym

a bankowość obecnie zdecydowanym krokiem zmierza z desktopu na smartfony właśnie.

A można wdrożyć zabezpieczenia oparte o U2F, 2FA (nie w postaci kodów SMS) w otwartym standardzie. Zamiast tego widzę banki wolą pójść w takie rozwiązania, które z założenia są dalekie od doskonałości. :man_shrugging: Nawet power userzy nie mają za dużo pola do ochrony swojej bankowości.

Fajny bajer jako internalowy system do alertów albo do wykrywania data-crawlerów.

2FA już dawno w dobrych bankach nie jest tak realizowany tylko w formie push’a. Tu problem jest inny. Cały rynek korzysta z rozwiązań Vasco w postaci software tokena, który lekko mówiąc jest niedoskonały, ale to inny temat. Autentykacja jednak wyszła już dawno poza SMSy.

OTP jednak nie da się uniknąć przy parowaniu, Ala aby uniknąć scamu ryzyko jest minimalizowane poprzez np oddzwaniają IVR-y, listy w kopertach czy właśnie hardware tokeny.

W masowym rozwiązaniu lepszy już jest hardware token niż klucz U2F, bo statystyczny człowiek nie wie co z tym zrobić, a bezpieczeństwo jednego i drugiego jest niemal identyczne. Klucz U2F robi dokładnie to samo dla użytkownika niekorporacyjnego.