Mange av de største norske bankene benytter seg i dag av ansiktsgjenkjenning (face ID) for identifikasjon av den enkelte bankbruker. Foto: Flickr / Tinh tế Photo
Biometrisk innlogging vokser: Nå vil folk vise fjeset til bankene
Syv av ti Sparebank 1-kunder logger inn biometrisk.
Face ID er blant de nyeste biometriske løsningene for identifikasjon -- og siden november 2017 har den vært integrert i Apple sin iPhone X. Dette har medført noen utfordringer for innlogging på ulike tjenester, for eksempel banker som tok i bruk fingeravtrykk som en metode for innlogging da dette kom i 2015. Sparebank 1 er blant de norske bankene som i fjor tok i bruk face ID.
Nå, kun knappe fem måneder etter at Sparebank 1 sine kunder kunne logge inn med face ID for første gang, viser bankens innloggingsoversikt at 70 prosent av brukerne velger face ID eller touch når de skal inn i mobilbanken.
-- Å bruke biometriske løsninger for innlogging blir etterhvert en vanesak — og kundene slipper å gå rundt og huske på koder og passord, fordi de allerede har det de trenger for å logge inn, sier Thomas Allan Nygaard, produkteier i Sparebank 1.
7 prosent av Sparebank 1 sine kunder velger ansikt som innloggingsmetode, mens 63 prosent velger fingeravtrykk. Det er færre som bruker touch for innlogging på Android, fordi flere telefoner ikke har touch-funksjonen.
Vil forenkle, men bevare sikkerheten
Sparebank 1 har i dag kun pinkoder, touch og face ID som innloggingsmetoder for mobilbanken -- og mobilbanken har totalt 16 millioner innloggingen i banken per måned. Det er ca. 16.000 kunder som har tatt i bruk face ID. Også Sbanken, Vipps og DNB tar i dag i bruk face ID i tillegg til touch og pinkode. Hanne Kjærnes, kommunikasjonssjef i Vipps, forteller at de også tilbyr kundene å velge mellom pinkode, face ID eller touch ID.
-- For å forenkle innlogging for brukerne, bruker Vipps telefonens innebygde autentiseringsmekanismer, på leverandørens anbefalte måte. Dette gjør vi via funksjonalitet som face ID eller fingeravtrykk for de som velger dette, samtidig som sikkerhet og personvern ivaretas på trygge måter, sier Kjærnes.
Per i dag er det to millioner av Vipps' totalt 2,8 millioner brukere som logger inn med biometriske løsninger på Vipps. Hos DNB er det 70.000 unike kunder -- per måned -- som bruker disse innloggingsmetodene.
Kan ikke bruke face ID til betaling
På spørsmål om hvorfor bankene kun har valgt å beholde face ID, touch og pinkoder som innloggingsmetoder for mobilbank, er svaret at brukerne og kundene foretrekker det trygge og enkle, men også viser vilje til å endre atferd når bankene tilbyr nye innloggingsmetoder.
Nygaard hos Sparebank 1 forteller at det etterhvert som teknologien innen biometriske løsninger vil bli bedre med årene, er det mulig at Sparebank 1 vil integrere flere løsninger i sitt tilbud.
— Per i dag håndterer vi face ID sikkerhetsmessig på samme måte som fingeravtrykk: Det vil si at du får tilgang til en del tjenester hos SpareBank 1, som saldo og overføring mellom egne kontoer, men ikke de som krever høyere sikkerhetsnivå. Skal du for eksempel betale regninger eller betale til andre, må du ha Bank ID, sier Nygaard.
Hacket face ID
Nygaard legger til at Sparebank 1 ikke lagrer noe data om kundene og brukerne utover det Apple selv lagrer, og at banken har strenge krav til sikkerheten. Vidar Korsberg Dalsbø i DNB trekker frem at face ID i praksis er enda sikrere enn både touch ID og pinkode.
-- Vi stiller svært strenge krav til både sikkerhet og personvern, og mener sikkerheten er bedre ivaretatt med Face- og finger ID enn for eksempel en kode som kan komme på avveie. Apple fremholder at 1 til 50.000 sjanse for at en fremmed kan låse opp touch ID, fordi fingeren hennes er lik nok din. For face ID hevder de det samme tallet er 1 til 1.000.000, sier Dalsbø.
Han legger til at verken ansikter eller fingeravtrykk lagres noe sted, annet enn lokalt i et sikkert lager på telefonen. Dermed har ikke bankene tilgang til noen andres biometriske informasjon -- og uansett må den enkelte bruker tillate at face ID skal registreres i telefonen, for at den typen innlogging skal være mulig.
Den enkelte face ID skal ikke være mulig å åpne av noen andre enn eieren av ID'en. Likevel har det vært noen saker i mediene, der folk har hacket andres face ID med sitt eget ansikt -- i ett tilfelle hacket en gutt seg inn på morens telefon -- og et vietnamesisk nettsikkerhetsselskap greide å lage en maske som hacket face ID -- ved hjelp av 3D-skriving, sminke og 2D-bilder.