Banki, fintechy i regulatorzy poszukują mocniejszych, głównie biometrycznych, metod uwierzytelnienia klienta w sieci. Estoński start-up Keystroke DNA proponuje rozwiązania oparte na personalnym stylu logowania do aplikacji. Pytamy o nie dyrektora generalnego firmy Iwana Staroduba.

ObserwatorFinansowy.pl: Czy wymyślanie kolejnych sposobów autentykacji klienta ma sens?

Ivan Starodub: Idea uwierzytelnienia klienta polegająca na analizie sposobu wpisywania nazwy użytkownika i hasła wynika z konieczności zwiększenia bezpieczeństwa w sieci. Coraz więcej klientów instytucji finansowych korzysta ze smartfonów jako urządzeń do procesowania transakcji i uwierzytelnienia. Oznacza to, że wpisujemy na smartfonie nazwę klienta oraz hasło i na to samo urządzenie dostajemy sms z kodem do przeprowadzenia transakcji. Takie rozwiązanie naraża nas na działanie hakerów. Wiele instytucji szuka lub wymaga dodatkowych sposobów weryfikacji autentyczności klienta. W tę stronę idą też regulacje.

Do kogo adresowana jest wasza aplikacja?

Myślimy o instytucjach publicznych, przede wszystkim o obszarze e-goverment. W Estonii jest on na wysokim poziomie, bo większość spraw urzędowych obywatele mogą załatwić w sieci. Ale to rozwiązanie przydatne również dla firm fintech i sektora bankowego.

Reklama

Na czym dokładnie ono polega?

Możemy zidentyfikować klienta po sposobie, w jaki wpisuje swoją nazwę użytkownika i hasło. Jest to uwierzytelnienie, które działa w tle i nie wymaga żadnych dodatkowych działań użytkownika. A wiadomo przecież, że każdy dodatkowy wymóg zniechęca klientów.

Twierdzi pan, że sposób wpisywania naszego hasła do internetu czy aplikacji bankowej pozwala nas zidentyfikować jak charakter odręcznego pisma czy podpisu?

Właśnie tak. Sposób ten różni się jednak w zależności od używanego urządzenia. Inaczej to wygląda na smartfonie, a inaczej na tablecie czy laptopie. Oznacza to, że jeśli przekazalibyśmy swoją nazwę użytkownika i hasło do rachunku innej osobie, nie będzie mogła się ona do odpowiedniej aplikacji zalogować.

Szczerze mówiąc, nadal nie bardzo rozumiem, na czym polega różnica.

Sposób posługiwania się rzeczywistą lub wirtualną klawiaturą to element naszej biometrii. Mierzymy milisekundy miedzy wpisywaniem poszczególnych znaków, znaczenie ma też sposób naciskania i zwalniania klawiszy i znaków. Stąd, aby zwiększyć bezpieczeństwo, hasła klienta powinny być odpowiednio długie. Rozmawiamy teraz z jednym z banków, który wymaga haseł składających się z zaledwie ośmiu znaków. Aby zwiększyć bezpieczeństwo naszego rozwiązania (ale innych również) hasło powinno być dłuższe. Treść hasła nie ma znaczenia i nie musimy go znać, liczy się sposób, w jaki jest wpisywane.

Na jakim etapie rozwoju jest wasz start-up?

Wraz z moim partnerem z USA, który wrócił po latach do Estonii, analizowaliśmy to zagadnienie, zatrudniliśmy dwóch analityków, którzy opracowali odpowiedni algorytm, i założyliśmy w Tallinie firmę, która obecnie ma 150 tys. zarejestrowanych użytkowników. Na razie zaangażowaliśmy środki własne, ale rozpoczęliśmy już współpracę z inwestorem private equity. Jesteśmy też na etapie komercjalizacji naszego rozwiązania. Prowadzimy negocjacje z jednym z banków w Polsce i ukraińskim portalem rządowym. Estonia to tylko punkt wyjścia – z definicji skazani jesteśmy na umiędzynarodowienie działalności.

No tak, ale nie jesteście jedyni na rynku. Są konkurencyjne sposoby uwierzytelnienia klienta choćby za pomocą głosu czy skanu twarzy.

Oczywiście zdajemy sobie sprawę z istnienia konkurencji. Działa rumuński start-up Typing DNA, ekspansywny jest niemiecki KeyTrac, aplikacje z zakresu dynamiki pisania komputerowego ma Microsoft. Są już techniki identyfikacji twarzy, ale może być ona dostępna na wielu portalach społecznościowych; głos z kolei można nagrać. Podgląd stylu wpisywania znaków online jest znacznie trudniejszy. Można śledzić, jakie znaki wpisujemy, ale tego, jak to robimy, już raczej nie. Dodatkowo proponujemy stosunkowo prostą metodę integracji naszego algorytmu do finansowych ekosystemów i na tym polega nasza przewaga.

No dobrze, ale jak dokładne są wasze algorytmy? Czy dobry haker może imitować klienta?

To bardzo mało prawdopodobne. Trzeba bardzo dużo czasu i prób, aby odtworzyć styl pisania danej osoby.

Ale czy nasz sposób pisania nie jest zależny od sytuacji, w której się znajdujemy? Mówię chociażby o stresie czy pośpiechu?

W takiej sytuacji lepiej unikać logowania do chronionej naszym cyfrowym podpisem aplikacji. Alkohol również może zaburzać nasz rytm wpisywania hasła i nasz system to identyfikuje. 10 proc osób nie jest się w stanie zalogować do aplikacji za pierwszym razem.

I co wtedy się dzieje?

Klient otrzymuje komunikat, aby odczekał chwilę i spróbował jeszcze raz. Za drugim razem procent osób, który się nie udaje, jest znacznie niższy. W stosunku do nich przewidziane są dodatkowe sposoby uwierzytelnienia, np. klient musi się skontaktować z bankiem i odpowiedzieć na weryfikujące go pytania.

Instytucje, którym oferujecie swoje rozwiązania, akceptują te ograniczenia?

Tak, bo i tak poziom uwierzytelnienia klienta i bezpieczeństwa jest wyższy niż dotychczasowe klucze zabezpieczeń. Znacznie mniej niepowołanych ludzi będzie miało dostęp do zastrzeżonych systemów lub aplikacji.

Jaki jest wobec tego wasz model biznesowy? Na czym chcecie zarabiać?

Proponujemy model oparty na subskrypcji. Na razie wybranym firmom przekazaliśmy nasze algorytmy do testowania. Pewną liczbę uwierzytelnień – np. 10 tys. na miesiąc – będziemy udostępniać za darmo, później pojawią się opłaty. Na początku nie będziemy też obciążać klienta kosztami integracji naszej aplikacji z jego systemem operacyjnym. Zależy nam na tym, aby nasze rozwiązanie stało się standardem, a ponieważ będzie atrakcyjne finansowo, będzie dostępne dla fintechów i start-upów, które często mają kłopot z wykazaniem się mocnym sposobem uwierzytelnienia klienta.

Rozmawiał Mirosław Ciesielski, wykładowca akademicki; specjalizuje się w rynkach finansowych