اگر امروز از اپلیکیشن بانکی خود استفاده میکنید، باید بدانید که لایه امنیتی شما در حال تغییر از یک «برد و باخت» ساده به یک تحلیل پیچیده ریاضی است. تصور کنید اپلیکیشن شما بهجای اینکه فقط رمز عبور را چک کند، در تمام مدت تماس، مدام تأیید کند که واقعاً شما هستید که گوشی را در دست دارید.
به گزارش CaraComp در ۲۷ ژوئن ۲۰۲۶، بحران ۵۰ میلیارد دلاری کلاهبرداریهای هویتی، بانکها را مجبور کرده تا بررسیهای «بولی» (Boolean) — یعنی همان پاسخهای بله/خیر ساده برای رمز عبور — را کنار بگذارند و به سمت شناسایی احتمالی بروند. این تغییر در حالی رخ میدهد که حتی قابلیتهای پیشرفتهی تغییر خودکار رمز عبور در سیستمعاملهای مدرن مانند iOS 27 نیز با حفرههای امنیتی مواجه شدهاند و نشان میدهند که متدهای سنتی مدیریت رمز عبور دیگر کافی نیستند. همانطور که در تحلیلهای پیشین ما دربارهی امنیت مدلهای بازمتن اشاره کردیم، سد دفاعی سنتی دیگر در برابر حملات پیشرفته پاسخگو نیست. این رویکرد جدید، احراز هویت را از یک ورود یکباره به یک جریان مداوم از تلهمتری رفتاری تبدیل میکند؛ سیستمی که حتی نحوه کشیدن انگشت (Swipe) یا زاویه نگه داشتن دستگاه را اندازه میگیرد.
برای تحقق این هدف، بانکها از فناوری مقایسه چهره بر اساس تحلیل فاصله اقلیدسی (Euclidean distance) استفاده میکنند — چیزی شبیه به یک خطکش ریاضی که کوتاهترین فاصله بین دو نقطه را در یک فضای چندبعدی اندازه میگیرد تا بفهمد چهره فعلی چقدر با تصویر مالک حساب تطابق دارد. برخلاف تشخیص چهره برای نظارت عمومی، این روش یک تأیید یکبه-یک (1:1) است که روابط مکانی بین نقاط شاخص چهره را محاسبه میکند.
دفاع فنی در برابر جعل عمیق
از آنجایی که نمرات تطابق بالا دیگر کافی نیستند، توسعهدهندگان روی «تشخیص حمله حضور» (PAD) یا همان تشخیص زنده بودن (Liveness Detection) تمرکز کردهاند. هدف این است که یک انسان سهبعدی از یک جعل عمیق (Deepfake) دوبعدی تشخیص داده شود. طبق مستندات فنی، این سیستمها موارد زیر را رصد میکنند:
- الگوهای موآره (Moiré patterns) و بازتاب نور از صفحه نمایش
- امضاهای ضربان قلب میکروسکوپی از طریق اثرات نوری پوست (rPPG)
- نشانگرهای رفتاری مانند دینامیک ضربه زدن روی کلیدها و سرعت حرکت انگشت
از دیدگاه مهندسی، این تغییر نیازمند تکامل گسترده در APIها است. نقطه اتصال استاندارد /authenticate جای خود را به سوکتهای جریانی میدهد که در تمام طول جلسه، یک «امتیاز اطمینان» (Confidence Score) مداوم ارسال میکنند.
برای حفظ حریم خصوصی، CaraComp تأکید میکند که الگوهای بیومتریک نباید به صورت تصویر خام، بلکه باید به شکل هشهای ریاضی (Mathematical Hashes) غیرقابلبازگشت ذخیره شوند. این یعنی حتی در صورت نشت دادهها، بازسازی چهره کاربر غیرممکن است. همچنین، استانداردهای گزارشدهی بخشهای ضدتقلب تغییر کرده و نتایج باید «آماده ارائه در دادگاه» باشند؛ یعنی بازههای اطمینان دقیق و نام الگوریتمهای بهکاررفته مانند ArcFace یا FaceNet را ذکر کنند.
برای کاربر عادی، این یعنی تجربهای بدون اصطکاک، اما با یک حس «ترسناک»؛ چراکه بانکها بیش از هر زمان دیگری دادههای بیومتریک ما را رصد میکنند. در واقع، امنیت بالا در برابر نظارت مداوم چهره و رفتار قرار گرفته است.
گام بعدی شما
- بررسی تنظیمات حریم خصوصی در اپلیکیشنهای بانکی برای مشاهده دسترسیهای بیومتریک.
- دنبال کردن قوانین جدید حریم خصوصی که بهطور خاص «بیومتریک رفتاری مداوم» را هدف قرار میدهند.
- مطالعه استانداردهای جدید احراز هویت برای توسعهدهندگانی که با APIهای پرداخت کار میکنند.
اما نبرد اصلی اکنون از لایهی فنی به لایهی قانونی منتقل شده است؛ بررسی کنید که چگونه قوانین جدید حریم خصوصی در اروپا بر این نظارتهای مداوم اثر میگذارند.
گفتگو