در مراحل اولیه شروع بانکداری دیجیتال، تراکنشهای مالی ارائهشده به صورت آنلاین، محدود بود و از مهمترین علتهای آن میتوان به ریسکهای بسیار در شناسایی و تشخیص هویت کاربران اشاره کرد. با این حال با تقاضای بیش از پیش مشتریان مبنی بر دریافت سرویسهای بانکی و پرداختی همچون انتقال وجه، کارت به کارت، افتتاح حساب، دریافت وام و پرداخت اقساط به صورت آنلاین، مؤسسات مالی به سمت ارائه چنین خدماتی حرکت کردند و همین موضوع زمینه را برای مجرمان و هکرهای سایبری بازتر کرده و نگرانیهای جدید و جدیتری را در مورد چگونگی تأیید هویت مشتریان آنلاین به وجود آورده است، چراکه مشتریان عموماً فاقد آگاهی یا ظرفیت لازم برای محافظت از دستگاههای خود در برابر بدافزارها و حملات هستند چنانکه جدیدترین گزارشها نشان میدهد که حملات بدافزارهای تلفن همراه در طول سال گذشته تقریباً دو برابر شده است و تصاحب (هک) حساب مبتنی بر تلفن همراه ۷۹ درصد افزایشیافته است.
ایمنسازی دستگاههای تلفن همراه چالشهای منحصربهفردی را برای مؤسسات مالی ایجاد کرده است که از آن جمله میتوان به موارد زیر اشاره کرد:
ریسک مرتبط با کاربرپسند بودن فرآیندها: کاربران از اپلیکیشنهای بانکی خود انتظار راحتی بالای کاربری را دارند. درگیری غیرضروری در تجربه احراز هویت ممکن است کاربران را به سمت تغییر مؤسسه مالی و سرویس دهنده سوق دهد.
خطرات مرتبط با دستگاههای قابل حمل: دستگاههای تلفن همراه در عرض چند ثانیه به سرقت رفته و انتقال و تعویض سیمکارت جزو تکنیکهای رایج کلاهبرداری در این حوزه هستند که منجر به در اختیار گرفته شدن شماره تلفنی که قربانی برای ثبت نام در بانک استفاده کرده است میشود و سؤال مهم اینجاست که در حال حاضر چه راهکاری برای تشخیص ریسک تلاش برای ورود از یک کشور خارجی، در نیمهشب وجود دارد؟
خطرات بدافزارها: وضعیت دستگاه تلفن همراه در هر زمان میتواند دستخوش تغییر شود. هر بازدید از یک وبسایت جدید و دانلود هر برنامه جدید از فروشگاههای آنلاین و در برخی موارد حتی از فروشگاههای رسمی نیز خطر نصب سهوی بدافزار را به همراه دارد. مصرفکنندگان ممکن است از اقدامات حفاظتی لازم بر روی دستگاههای خودآگاه نباشند و یا به یک WIFI حفاظت نشده متصل شوند که میتواند توسط کلاهبرداران کنترل شوند، همه این موارد خطر آلوده شدن تلفنهای همراه و یا تبلت به بدافزار یا رهگیری و تغییر دادههای تلفن همراه آن را افزایش میدهد.
امروزه این سؤال که «مؤسسات مالی چگونه میتوانند اطمینان حاصل کنند که با یک متقاضی یا مشتری قانونی در حال معامله هستند؟» به این سؤال تغییر کرده است که «مؤسسات مالی چگونه میتوانند مطمئن شوند که با یک متقاضی یا مشتری قانونی سروکار دارند بدون اینکه تأثیر منفی بر تجربه کاربری آنها بگذارند؟»
نیاز به احراز هویت شفاف و مستمر مشتری
رویکردهای مبتنی بر رمز عبور دیگر پاسخگوی نیازهای امنیتی فعلی نیست و احراز هویت چند عاملی ضروری مینماید. درحالیکه احراز هویت چندعاملی بخش اساسی یک رویکرد احراز هویت مدرن است از سوی دیگر مؤسسات مالی به این مسئله آگاه هستند که به تجربه کاربری و سفر مشتری نباید مراحل اضافی را تحمیل کنند. از این رو مؤسسات مالی به فناوریهایی روی میآورند که در پسزمینه کار میکنند و درواقع میتوان گفت که برای کاربر نامرئی هستند و کاربران در طی تجربه کاربری نسبت به آن دریافتی ندارند. فناوریهای احراز هویت تطبیقی مبتنی بر ریسک، نقاط دادهای مهم را جمعآوری کرده و بدون تأثیر بر راحتی کاربر، آنها را تجزیهوتحلیل کرده تا تعیین کنند که آیا در واقع کاربر قانونی در حال انجام تراکنش است یا خیر؟
موسسه مالی که هویت کاربر را در ابتدای فعالیت بانکی تأیید کرده است نمیتواند مطمئن باشد که این فرد، همان فردی است که ۱۰ دقیقه بعد یک تراکنش پولی بزرگ را درخواست کرده است، چراکه ممکن است در طی ده دقیقه گذشته دستگاه یا فضای کاربری مورد حمله قرار گرفته باشد، بنابراین بهترین روش جمعآوری و تجزیهوتحلیل دادهها، رویکرد مستمر است.
احراز هویت مبتنی بر رفتار چیست؟
احراز هویت بیومتریک از ویژگیهای منحصربهفرد افراد برای تأیید هویت آنها استفاده میکند. به گفته گارتنر «برای اینکه احراز هویت (از طریق تأیید، شناسایی و یا غربالگری) مفید باشد یک ویژگی بیومتریک، باید منحصربهفرد، پایدار و قابل اندازهگیری باشد. علاوه بر این، باید یک نمونه (تصویر، ویدیو، صوت و …) از آن ویژگی را بتوان گرفت و دادههای شناسایی (یک مجموعه ویژگی) را به گونهای استخراج کرد که منحصربهفرد بودن را حفظ کند.»
پیش از این، چندین روش مبتنی بر ویژگیهای بیولوژیکی استاتیک مانند شناسایی اثر انگشت، چهره و یا تحلیل سیستم مویرگی انگشت در جریانهای احراز هویت بانکی رایج شدهاند، این موارد نمونههای فعال بیومتریک هستند به این معنی که به یک عمل خاص از کاربر مثل اسکن اثر انگشت نیاز دارند.
برخلاف احراز هویت مبتنی بر صفات بیولوژیکی ساکن، احراز هویت مبتنی بر رفتار، اقدامات کاربر و نحوه تعامل کاربر با دستگاه خود مانند نحوه حرکت در یک سایت، تعامل با دستگاه، کیبورد و صفحه نمایش را برای تأیید مداوم هویت خود را رصد میکند.
اجزای تجزیهوتحلیل رفتاری
برای آن که بتوان پروسه تجزیهوتحلیل رفتاری را به صورت کامل طی کرد و تصمیمگیریهای درست و بجا در مورد تشخیص هویت افراد ارائه کرد میبایست بر همهی نقاط رفتاری کاربر تمرکز داشت، این نقاط را میتوان در قالب چهار لایه تقسیم و مورد بحث قرار داد که در ادامه به صورت مختصر به مرور آنها میپردازیم:
درونیترین لایه یا لایه رفتار و تعامل با دستگاه: در این لایه، تحلیل رفتاری یک نمای کلی از سفر کاربر و تجزیهوتحلیل زمان کاری او را ارائه میدهد. احراز هویت مبتنی بر رفتار برای ارزیابی رفتار ناوبری در برنامه و دستگاه مانند سرعت مرور، دقت حرکت و غیره استفاده میشود.
تعامل با حساب: تجزیهوتحلیل رفتار میتواند انحرافات از رفتار معمول کاربر را با مقایسه با دادههای تاریخی مربوط به گیرندگان جدید، مبالغ تراکنش، زمان ورود به سیستم، تغییرات آدرس و موارد دیگر تشخیص دهد.
رفتار بین کانالی / متقابل دستگاه: این لایه رفتار کاربر را در کانالها، دستگاهها و محصولات، تجزیهوتحلیل میکند.
لایه بیرونی یا لایه تجزیهوتحلیل سمت سرور: در این لایه از تجزیهوتحلیل رفتاری، دادهها به موتور ریسک داده میشود تا تجزیهوتحلیل پیوندها بین عناصر مختلف داده جمعآوریشده، کاربران، گروههای کاربران، شرکتها و رویدادها را امکانپذیر کند تا با استفاده از موتور تصمیمگیری و یادگیری ماشین برای قدرت. تجزیهوتحلیل زمان واقعی از آن استفاده کنند.
انواع بیومتریک رفتاری
بیومتریک رفتاری یک زمینه نسبتاً جدید از تحقیقات و اجرای فناوری در زندگی روزمره است. در حال حاضر، سه جهت اصلی در توسعه بیومتریک رفتاری وجود دارد: حرکتشناسی، الگوهای صوتی و ژستهای مبتنی بر دستگاه.
حرکتشناسی
حرکتشناسی تجزیهوتحلیل دادههای بدن را در شرایط زیر فراهم میکند:
وضعیت بدن (نشسته، ایستاده)
راه رفتن (طول گام، سرعت حرکت)
نحوه استفاده از دستگاه (تلفن همراه) مثلاً زاویه خاص نگهداشتن گوشی
الگوهای صوتی
تکنولوژی تشخیص صدا مدت زیادی است که در حال استفاده در راهکارهای نرمافزاری ست. بیومتریک رفتاری یک الگوی صوتی را بر اساس تغییرات صوتی که در گفتار افراد رایج است، شناسایی میکند.
ژستهای مبتنی بر دستگاه
هر فردی در اثر استفاده مداوم با دستگاه (موبایل، تبلت و …) نوعی اثر از خود به جای میگذارد، مثالهایی از این اثرات عبارتاند از:
الگوی ضربه زدن به کلیدها (سرعت ضربه زدن و مدتزمان فشار دادن کلیدها، الگوی تصحیح اشتباهات تایپی)
تعاملات تلفن همراه (کشیدن انگشت، ضربه زدن، اعمال فشار، تایپ کردن، یا بزرگنمایی)
حرکت مکاننما (استفاده از مکاننما، سرعت، کلیکها، مسیرها و تغییرات جهت)
مفاهیم کلیدی و فناوریهای جدید
اگر بخواهیم به سطح زیرین بیومتریک رفتاری نگاهی بیندازیم حسگرهای هوشمند و یادگیری ماشینی و هوش مصنوعی خودنمایی میکند.
حسگرهای هوشمند
امروزه حسگرهای کوچک با کارایی بالا تولید شدهاند و آنها را میتوان در هر محصول الکترونیکی شخصی مدرن، از دستگاههای تلفن همراه و پوشیدنیها گرفته تا لوازم خانگی پیدا کرد. در عین حال، هر یک از این حسگرها، میتوانند برای جمعآوری دادهها به صورت غیرفعال پیکربندی شوند. شتاب سنج و ژیروسکوپ برای این اهداف مناسب هستند و تقریباً در هر دستگاه تلفن همراهی تعبیه شدهاند.
یادگیری ماشینی/یادگیری عمیق
هوش مصنوعی نقش ارزشمندی در بیومتریک رفتاری دارد، این تکنولوژی میتواند وارد رقابت با ادراک انسان شود و حتی از آن پیشی بگیرد و این به لطف توسعه الگوریتمهایی است که دادهها را جمعآوری و تجزیهوتحلیل میکنند.
مزایای احراز هویت مبتنی بر رفتار
با توجه به اینکه احراز هویت رفتاری به اقدامات طبیعی کاربر متکی است، زمان لازم برای احراز هویت کاربر به حداقل میرسد. اصطکاک کمتر مشتری و کاربرپسند بودن محیط ارائه خدمت، مشتریان را به استفاده بیشتر از خدمات موسسه مالی ترغیب میکند.
به عنوان بخشی از تجزیهوتحلیل ریسک، احراز هویت مبتنی بر رفتار دقت امتیازدهی ریسک را افزایش میدهد و به مؤسسات مالی این امکان را میدهد تا به طور ایمن خدمات مرتبط با ریسک بیشتری را هم بتوانند ارائه دهند.
احراز هویت مبتنی بر رفتار دارای انعطاف کافی برای بهینهسازی فرآیند احراز هویت است. این فناوری یک تجربه کاربری عالی برای کاربران واقعی فراهم میکند، درحالیکه در عین حال دادههایی را ارائه میدهد که میتوانند به عنوان محرکی برای افزایش چالش احراز هویت در مواقع ضروری عمل کنند. به عنوان مثال، اگر کاربری سعی کند از یک مکان مشکوک وارد سیستم شود، احراز هویت مبتنی بر رفتار میتواند به احراز هویت کاربر کمک کند و نیاز به چالشهای احراز هویت مرحله به مرحله را از بین ببرد.
احراز هویت مبتنی بر رفتار میتواند نقش فعالی در کاهش خطر تقلب داشته باشد. امتیاز شباهت آن را میتوان برای تجزیهوتحلیل تقلب استفاده کرد و به عنوان یکی از نقاط داده برای تعیین امتیاز ریسک تراکنش عمل کند. به این ترتیب، میتواند به کاهش نتایج مثبت کاذب نیز کمک کند.
احراز هویت مبتنی بر رفتار به عنوان یک SDK مستقل با قابلیت پیادهسازی آسان میتواند در دسترس باشد. این فناوری پروفایلهای مشتریان جدید را به صورت خودکار و به گونهای که برای مشتری نامرئی است ایجاد میکند و نیاز به اقدامات اضافی کاربر برای ثبت نام را از بین میبرد.
تکرار یا تشخیص ویژگیهای رفتاری تقریباً غیرممکن است. تجزیهوتحلیل همزمان چندین ویژگی نیز درجه ایمنی را افزایش میدهد.
احراز هویت مبتنی بر رفتار به هیچ سختافزار بیومتریک اختصاصی نیاز ندارد و همین امر موجب کاهش هزینه برای مؤسسات مالی میشود.
دادههای رفتاری رفتار کاربر را به یک نمایش ریاضی در نمایه آنها تبدیل میکند که برای مجرمان بیمعنی است و از این لحاظ یک سطح امنیت خصوصی را نیز تضمین میکند.
پیشبینی برای آینده بیومتریک رفتاری
احراز هویت مبتنی بر تصویر و گفتار، شیوه رایج احراز هویت کاربران در فرآیندهای حساس کنونی در اپلیکیشنهای پرداختی و بانکی کشور است، به تبع افزایش کاربران خدمات بانکداری دیجیتال و بالا رفتن توانایی نفوذگران و مخربان اهمیت احراز هویت مستمر مبتنی بر مشخصههای رفتاری بدیهی و امری اجتنابناپذیر مینماید و مسیری است که بهزودی شاهد شکلگیری و گسترش آن در نرمافزارها و اپلیکیشنهای داخلی خواهیم بود.
بیومتریک رفتاری یک فرصت عالی برای مؤسسات مالی برای غنیسازی تجزیهوتحلیل ریسک خود با دادههای خاص کاربر است که در عین حال، برای گرفتن دادهها نیازی به هیچ اقدامی از سوی کاربر نیست. با انجام تجزیهوتحلیل مستمر و بلادرنگ در پسزمینه، تجربه بانکی مثبتی را برای کاربران قانونی تضمین میکند و در عین حال کلاهبرداران را شناسایی و متوقف میکند مانند هر دستاورد دیگری در علم و فناوری، بیومتریک رفتاری افقهای گستردهای برای توسعه دارد.
