Android Face ID nie dla każdego – kto zaloguje się do banku skanem twarzy?

Michał PojałowskiSkomentuj
Android Face ID nie dla każdego – kto zaloguje się do banku skanem twarzy?
Rozwój technologii na rynku mobilnym w ostatnich latach zaowocował wprowadzeniem do urządzeń rozwiązań opartych o biometrię. Do tradycyjnych form odblokowania telefonu, jak PIN, symbol, dołączyło skanowanie linii papilarnych, tęczówki czy twarzy.

Wraz z pojawieniem się nowych możliwości, instytucje finansowe zaczęły wykorzystywać je w swoich aplikacjach bankowych. W chwili obecnej klient, chcący zalogować się do swojego konta bankowego poprzez apkę, ma szeroki wachlarz opcji do wyboru. Na dniach mBank wprowadza kolejne usprawnienie w tym temacie – tym razem dla użytkowników smartfonów z systemem Android.

{reklama-artykul}Od dłuższego już czasu konsumenci mogą korzystać z opcji biometrycznych w swoich aplikacjach bankowych. Różnią się one w zależności od banku i używanego urządzenia, ale większość instytucji finansowych oferuje już autoryzację za pomocą linii papilarnych. Wraz z debiutem iPhona X oraz Face ID we wrześniu 2017 otworzyły się przed bankami nowe możliwości w zakresie logowania za pomocą urządzeń mobilnych. Rozwiązanie oparte o biometrię twarzy dość szybko wdrożył m.in.: mBank, Millennium Bank, Alior Bank, PKO, Pekao oraz Getin Bank.

skanowanie twarzy smartfon
foto. Canva Pro

Coś, co dla użytkowników Apple jest od dawna normą (mowa o logowaniu do apki bankowej za pomocą skanu twarzy), dla posiadaczy telefonów z systemem Android jest absolutną nowością. Na początku tego roku ING Bank Śląski udostępnił tego typu opcję swoim klientom, choć dziwi mnie fakt wprowadzenia takiej innowacji – nazwijmy to – „po cichu”, tj. bez otoczki medialnej. Już za chwilę mBank zaoferuje analogiczne rozwiązanie. Niewątpliwie motorem do wprowadzania nowego rodzaju autoryzacji jest wdrożenie API biometrycznego przez Google. Zanim jednak przejdę do meritum, dla porównania kilka zdań o tym, jak w praktyce wygląda technologia Apple – Face ID.

Bezpieczne skanowanie twarzy od Apple

Główną rolę w mechanizmie skanowania twarzy (Face ID) w urządzeniach Apple odgrywa aparat TrueDepth, analizujący ponad 30 000 niewidzialnych punktów, tworzących tzw. mapę głębi. W tym celu jest uruchamiana kamera na podczerwień, projektor punktowy oraz wykorzystywana jest tzw. technologia samouczenia. Ważną rolę pełni również czujnik zbliżeniowy. Przechwycony obraz jest przetwarzany przez składowe systemu neuronowego znajdującego się w chipach na dane matematyczne, które następnie są szyfrowane i chronione przy użyciu klucza (dostęp do nich jest tylko za pośrednictwem Secure Enclave).

Według producenta: „Prawdopodobieństwo, że przypadkowa osoba w populacji spojrzy na Twój telefon iPhone lub iPada Pro i odblokuje go przy użyciu funkcji Face ID wynosi 1 do 1 000 000 w przypadku jednego zarejestrowanego wyglądu”.

Face ID Apple
Face ID / foto. Apple

Android bez jednego standardu

Zadałem pytanie trzem wiodącym na rynku polskim producentom smartfonów z systemem Android (Samsung, Xiaomi, Huawei) jak wyglądają ich rozwiązania technologiczne w zakresie biometrii (skan twarzy). Warto w tym miejscu zaznaczyć, że duża część telefonów posiada możliwość odblokowania urządzenia za pomocą twarzy, jednak w większości są to mechanizmy oparte o tzw. proste skanowanie dwuwymiarowe (wykorzystujące zdjęcie wykonane zwykłym przednim aparatem oraz prosty algorytm weryfikujący twarz użytkownika). W przypadku logowania do aplikacji bankowych przy pomocy biometrii, wymagane i niewątpliwie pożądane są bardziej zaawansowane zabezpieczenia.

Niestety żaden z producentów nie chciał podzielić się informacją w tym temacie. Trochę to dziwne, gdyż użytkownicy powinni mieć dostęp do wiedzy o rodzajach stosowanych zabezpieczeń, gwarantujących bezpieczeństwo w ich urządzeniach.

Rozpoznawanie twarzy w Huawei P40 Pro
Rozpoznawanie twarzy w Huawei P40 Pro / foto. wł. 

Na anglojęzycznych stronach Samsung udało się odnaleźć kilka słów o technologii Iris Scaner (skanowanie tęczówki) w modelu Galaxy Note7. Przypomnę, że rozwiązanie to występuje też m.in. w Galaxy S8, S9.

Otóż samrtfon skanuje nasze oko za pomocą diody na podczerwień oraz kamery dedykowanej do tęczówki, która dysponuje specjalnymi filtrami. Sam mechanizm zawiera zautomatyzowaną metodę identyfikacji biometrycznej, która wykorzystuje matematyczne rozpoznawanie wzorów obrazów tęczówki osoby. Przechwycone dane są wyodrębniane (tęczówka), zdigitalizowane, a następnie szyfrowane i bezpiecznie przechowywane w urządzeniu przez platformę Knox. Jak zaznacza producent, wykorzystanie czerwonego światła z diody na podczerwień gwarantuje najlepszy zasięg skanowania tęczówki, która zawiera unikatowe/indywidualne wzorce.

Rozpoznawanie twarzy w urządzeniach Samsung
Rozpoznawanie twarzy w urządzeniach Samsung / foto. Samsung 

Bankowość mobilna i Android 10

Zwróciłem się do mBank i ING BŚ z prośbą o udzielenie informacji w zakresie używanej technologii oraz zagadnień związanych z bezpieczeństwem rozwiązań biometrycznych (skanowania twarzy) wykorzystywanych w aplikacjach bankowych dla urządzeń z systemem Android.

W mBanku logowania do aplikacji za pomocą skanu twarzy lub skanu tęczówki mają w chwili obecnej użytkownicy posiadający smartfony z systemem Android 10. W terminie późniejszym funkcja ta znajdzie się na urządzeniach z Android 11. I tu ważna uwaga, o której wspominałem przy temacie tzw. skanowania dwuwymiarowego. Producenci dysponują różnymi poziomami zabezpieczeń w smartfonach – możliwość odblokowania telefonu twarzą nie jest zawsze równoznaczne z wykonywaniem tego typu operacji w aplikacji. Ponadto bank nakłada dodatkowy wewnętrzny tzw. „filtr bezpieczeństwa”. Może on zablokować ten sposób logowania, jeśli uzna, że poziom zabezpieczeń wykorzystywanych przez producenta jest dla banku niewystarczający.

Logowanie do aplikacji mobilnej mBanku
Logowanie do aplikacji mobilnej mBanku / foto. mBank

Postanowiłem zapytać również przedstawicieli mBank, czy wdrożenie nowego API biometrycznego w systemie Android przez Google, było motorem działań w zakresie wprowadzenia logowania do aplikacji bankowej przy pomocy skanu twarzy oraz skanu tęczówki. Odpowiedzi na to pytanie udzieliła Pani Kinga Wojciechowska-Rulka, Ekspert ds. relacji z mediami w mBank:

„Odwrócę to pytanie – bo to głos naszych klientów był tutaj dla nas motorem. Klienci już od dawna pytali o taką możliwość (nawet mnie personalnie na TT). Biometryczne API było jedną z rozważanych przez nas funkcjonalności, w połączeniu z innymi systemami bezpieczeństwa udało nam się wypracować obecne rozwiązanie.”

Z kolei z ING BŚ otrzymałem informację przesłana przez Panią Mirellę Gmur, Ekspert ds. Komunikacji o następującej treści:

„Logowanie do aplikacji Moje ING za pomocą biometrii twarzy jest możliwe. Mogą skorzystać z niego użytkownicy, których urządzenie umożliwia wykorzystanie biometrii w aplikacjach”.

W kolejnej wymianie korespondencji udało się ustalić, że nowe rozwiązanie jest wprowadzane dzięki wdrożeniu przez Google API biometrycznego. Bank nie dostarcza jednak żadnych dodatkowych specjalnych mechanizmów.

Logowanie do aplikacji mobilnej ING
Logowanie do aplikacji mobilnej ING / foto. ING

Bardzo jestem ciekaw, czy innowacyjny sposób logowania do aplikacji bankowej, wykorzystujący biometrię twarzy, zyska wśród użytkowników dużą popularność. Wydaje się, że tradycyjny sposób (PIN), czy nawet skanowanie linii papilarnych długo pozostaną wiodącymi metodami logowania/autoryzacji w bankowości mobilnej.

Udostępnij

Michał PojałowskiAbsolwent kierunków: komunikacja społeczna oraz politologia. Swoje pierwsze kroki w mediach stawiał w 2000 r. w Radiu Akademickim Kraków. Doświadczenie zawodowe zdobywał m.in. w branży Public Relations. Jako dziennikarz technologiczny czynnie działa od 2016 r, a z portalem instalki.pl związany od 2019. Głównie specjalizuje się w tematyce z zakresu TV & audio. W wolnym czasie pasjonat muzyki, dobrej kuchni, a także smakosz wina. Miłośnik podróży niezależnie czy są one bliskie, czy dalekie.