Компьютерра - Журнал «Компьютерра» № 24 от 26 июня 2007 года

Теперь Pay By Touch грозится совершить настоящий переворот в розничной торговле, дав магазинам возможность изучать поведение и историю покупок каждого посетителя, запрашивая информацию из базы компании. Очевидно, что дело выглядит весьма сомнительным с точки зрения приватности и даже попахивает нехорошими юридическими последствиями для всех его участников.

Однако организаторы предусмотрительно "подстелили соломки", сделав чтение персональной рекламы добровольным занятием. На входе в магазин устанавливается киоск со сканером, и любой желающий, прежде чем приступить к шопингу, может приложить палец и прочитать появившееся на экране сообщение с информацией о персональных скидках на последние пятнадцать товарных позиций, которые он приобретал ранее. (До анализа списка предыдущих покупок и предложения схожих групп товаров дело пока не дошло.) Впервые сервис был запущен в супермаркете одного из пригородов Нью-Йорка.

Не перенебрегает компания и онлайном. Минувшей осенью Pay By Touch представила технологию TrueMe, без ложной скромности охарактеризовав ее "первой безопасной системой подтверждения личности в Интернете". Суть в том, что пользователи могут проходить идентификацию в электронных платежных системах, просто приложив палец к специальному сенсору. Это избавляет от необходимости запоминать и/или хранить где-либо свои логины, пароли и номера счетов.

Обработка данных с использованием технологии происходит следующим образом. Сенсорное ПО считывает дактилоскопическую информацию и шифрует ее, комбинируя с идентификационным номером ридера, после чего отправляет на сервер Pay By Touch. Кодирование производится непосредственно в памяти сенсора, и данные даже не остаются в компьютере.

Получив запрос на аутентификацию, сервер дешифрует пользовательские данные, проверяет соответствие отпечатка пальца номеру сенсора (впрочем, можно зарегистрировать несколько пользователей на один ридер), после чего данные по SSL-соединению переправляются на нужный клиенту веб-ресурс. При получении подтверждения от последнего система разрешает доступ. В качестве "приятной мелочи" TrueMe-сенсор можно использовать не только для идентификации, но и для защиты данных на собственном компьютере.

Компания прочит TrueMe светлое будущее, полагая, что технология появилась очень вовремя, если учесть непрерывно растущее количество краж конфиденциальной информации, в том числе карточных реквизитов. Подключение к TrueMe – бесплатное для пользователей системы Pay By Touch. Сейчас компания старается привлечь к технологии внимание сервисов интернет-банкинга, ЭПС и владельцев сайтов, предоставляющих информацию с парольным доступом, и оказывает B2B-услуги.

Интересно, что к TrueMe уже проявила интерес фирма Lenovo, которая сертифицировала Pay By Touch сенсоры, использующиеся в модулях безопасности ноутбуков ThinkPad. Кроме того Pay By Touch обещает оснастить TrueMe-ридерами миллионы пользователей ПК, параллельно лицензируя технологию другим производителям сенсоров.

Агентство Unisys, опросив в прошлом году полторы тысячи респондентов, сообщило, что по сравнению с 2005-м количество людей, благосклонно относящихся к биометрической идентификации в повседневной жизни, выросло на 5%. При этом 10% респондентов из Азиатско-Тихоокеанского региона выразили готовность имплантировать соответствующий чип в тело. Главной причиной благосклонного отношения людей к внедрению биометрических технологий является вовсе не тезис о повышенной безопасности, превозносимый компаниями до небес, а просто-напросто стремление к удобству или, проще говоря, лень. Комфорт в качестве решающего фактора указали 83% опрошенных.

Более свежие данные, опубликованные в феврале этого года, показывают, что за использование биометрии в платежной индустрии высказываются 69% американцев и 92% британцев. Многие хотели бы видеть соответствующую опцию в своих банковских картах. Видимо, опираясь на этот пока не очевидный спрос, компания SmartMetric в нынешнем году объявила о завершении работ над ПО для биометрических карт (см. врезку), которое среди прочего позволит кардхолдерам пересылать деньги с одной карты на другую в онлайн-режиме.

Первая кредитная карта SmartMetric со встроенным считывателем отпечатков пальцев будет стоить около 70 долларов. Как ожидается, она получит распространение в первую очередь среди активных интернет-покупателей, поскольку сильно упрощает приобретение товаров в онлайне и повышает безопасность транзакций, так как воспользоваться картой может только ее владелец. В чип карты, помимо всего прочего, вносится информация об адресе доставки. В комплекте с картой идет специальный адаптер, который подключается к компьютеру. Предполагается, что для совершения покупки пользователю достаточно будет приложить палец к ридеру на карте, после чего зашифрованные данные уйдут на сервер интернет-магазина. Кроме идентификационной информации и реквизитов, передаваемый пакет данных будет содержать достаточно сведений для автоматического заполнения формы заказчика.

Эта функция реализована по принципу работы файлообменных сетей. Обмен данными с банками осуществляется в формате смарт-карт EMV, поддерживаемом всеми международными платежными системами.

Идентификация клиента обеспечивается интегрированным в карту чипом и ридером отпечатков пальцев. Чтобы получить деньги, пользователь должен подключить карту к компьютеру через USB-порт и прикоснуться к сенсору. После этого отправитель платежа получает "зеленый свет" для начала транзакции. Как утверждает разработчик, распознавание занимает не больше секунды, и в то же время этот способ позволяет на сегодняшний день обеспечить наибольшую безопасность онлайн-транзакций. Обналичить деньги потом можно в банкомате.

Кстати, использование биометрии в банкоматах получает широкое распространение в азиатских странах. Например, Национальный банк Омана обзавелся ридерами смарт-карт, оснащенными сканерами отпечатков пальцев, что позволило существенно упростить обслуживание клиентов, в первую очередь неграмотных, избавившись от очередей и армии консультантов. Вместо ввода PIN-кода оманским кардхолдерам теперь достаточно приложить палец.

Аналогичные проекты запущены в Индии и Пакистане. Индийский резервный банк реализует на базе биометрии спецпрограмму "Приобщайся к финансам" для клиентов с небольшим уровнем дохода, жителей отдаленных сельских районов и социально незащищенных слоев населения. Читать и писать эта часть индийцев в основном не умеет, так что альтернативная возможность подтверждения личности пришлась весьма кстати.

Между тем новый уровень безопасности банковских и других онлайн-транзакций, о котором без устали говорят в Pay By Touch и других компаниях, специализирующихся на поставках биометрического оборудования, довольно часто подвергается сомнению со стороны независимых экспертов. Некоторые из них полагают, что с внедрением новых технологий может получить распространение и новый вид мошенничества – с муляжами, на которые нанесены отпечатки пальцев. Получить исходные «данные» для их изготовления гораздо проще, чем, например, реквизиты кредитки. Отпечатки пальцев остаются на любом предмете, которым пользовалась жертва: стакан, купюры, поручни и пр. Во избежание такого развития событий большинство разработчиков оборудования предусматривают дополнительное подтверждение транзакции PIN-кодом, а самые продвинутые встраивают в ридеры индикаторы "жизненности пальца", такие как проверка пульса или наличия пота.

Практически все производители биометрических систем анонсируют сервис распознавания муляжей, но независимые исследования уже не раз доказывали, что многие из заявлений – просто реклама и для обмана ридеров даже не нужно прибегать к высокотехнологическим ухищрениям. В ходе тестирования некоторые системы давали «добро» после приложения слепков из жевательной резинки. Не лучше обстоят дела с разработками, основанными на других принципах распознавания. Например, ридеры формы лица разрешали доступ после демонстрации фотографий. Что же касается тех компаний, которые действительно применяют технологии распознавания муляжей, то они не скрывают своих методов определения фальшивки, используя данные в рекламных целях. Это тоже не лучшим образом сказывается на безопасности систем, так как злоумышленники уже знают, какой признак «жизненности» им нужно подделать.

Впрочем, по мере распространения биометрических систем в банковской сфере наверняка появятся стандарты безопасности, которые будут предусматривать обязательное использование нескольких признаков идентификации или же комбинацию с другими традиционными средствами установления личности клиента. Однако регулярное обновление систем защиты должно оставаться главной задачей производителей, поскольку очевидно, что создание муляжа, обходящего проверки по любому признаку, лишь дело времени.