Technologické společnosti se snaží zbavit konceptu hesel už roky a Google teď přišel s nejnovějším plánem, jak se oněch otravných alfanumerických řetězců zbavit. Pomoci má projekt Abacus, jenž dovolí zařízením fungujícím na platformě Android, identifikovat uživatele podle místa, kde se nacházejí, způsobu psaní, rozpoznávání jejich tváře a dalších biometrických znaků.

Společnost počítá s tím, že by nový koncept představila ještě do konce roku, informuje server Quartz. Jenomže… Nebudete tomu možná věřit, ale miliony průměrných Skandinávců tuto technologii už víc než rok běžně používají k přihlašování do svého online bankovnictví.

Tato technologie nese název behaviorální biometrika a ve Švédsku, Dánsku a Norsku je integrována do systému jménem BankID užívaného velkými bankami k identifikaci zákazníků. Ve Švédsku má tento systém 6,5 milionu aktivních uživatelů. V Norsku ji využívá více než 75 procent dospělé populace a zákazníci bank se s ní setkávají na denní bázi – od přihlašování se na bankovní účty po vyplňování daňových přiznání.

BankID sleduje rychlost, jakou uživatel píše, úhel a směr, v němž přejíždí prstem po obrazovce, a další faktory, z čehož pak sestavuje uživatelův profil. Je-li jeho chování konzistentní, nemusí zadávat heslo. Pokud se ale chování nějak změní (a to o přesně definovanou úroveň), systém požádá uživatele o zadání hesla. „Většina lidí neodmítá výzvy, mají-li své opodstatnění,“ říká Neil Costigan, jehož firma BehavioSec se sídlem ve Švédsku zajišťuje pro BankID behaviorální biometriku. „Ale nepotřebují jim čelit permanentně.“

Počet aplikací a hesel se v minulosti rapidně zvyšoval a nerozlučně je provázela různá bezpečnostní selhání. Za těmi stojí v drtivé míře nedostatečně silná hesla, která ale lidé stále – z člověku přirozené  pohodlnosti – užívají. Koncept behaviorální biometriky nicméně není zas až tak převratný, jak by se mohlo zdát. Není nepodobný tomu, když vydavatelé kreditních karet volají nebo píší držiteli jejich karty, pokud provede například transakci v jiné zemi. Oba systémy spoléhají na pasivní monitorování chování uživatele.

BehavioSec prohlašuje, že její technologii využilo doposud přes 50 milionů lidí k 1,2 miliardy transakcí. Vázáni smlouvou o mlčenlivosti však nemohou přesně sdělit, kdy byla jejich sledovací technologie integrována do BankID , ale lze dohledat, že zkušební provoz proběhl v roce 2013 mimo jiné v největší dánské bance Danske Bank s plánem zavést ji do širšího užívání na konci roku 2014.

Co se týká zkušebního provozu v Danske Bank, BehavioSec tvrdí, že se jim podařilo odhalit falešného uživatele používajícího kradené přihlašovací údaje ve více než 97 procentech případů jednorázového přihlášení. Při opakovaném užívání pak byl systém schopen odhalit falešného uživatele ve více než 99 procentech. Tento zkušební provoz zahrnoval 18 tisíc uživatelů a přes půl milionu transakcí.

Dopady na soukromí
Aplikace, která sleduje vaše interakce s telefonem, může také narušovat vaše právo na soukromí. Neil Costigan z BehavioSec říká, že pokud je jejich technologie integrována v bankovní aplikaci, funguje pod  bankovním systémem a požívá tedy stejné úrovně zabezpečení (a tím pádem i soukromí) jako jakákoli jiná finanční data v bance přechovávaná. Evropská legislativa v oboru ochrany dat ostatně klade na společnosti, jako je ta jeho, velmi přísné požadavky ohledně nakládání s daty uživatelů.

Costigan také dodává, že vzhledem k tomu, že BehavioSec sleduje pouze způsoby, jakými uživatel interaguje s telefonem, nikoli výsledky těchto interakcí, není to tak „vlezlé“, jak by se mohlo na první pohled zdát. „Mluvíme zde o způsobu, jakým přejíždíte prstem po obrazovce, či jakým píšete,“ říká, „nikoli o tom, co píšete.“

Tato logika je velmi podobná argumentům různých světových vlád obhajujících hromadné sbírání anonymizovaných komunikačních metadat – nikoli tedy obsahu jakékoli elektronické komunikace. Ukázalo se ale, že tato anonymizovaná data není v reálu tak těžké propojit s identitami uživatelů. Samozřejmě to není o tom, že by BehavioSec měla předávat data různým informačním službám či agenturám, nebo že by byla napadena hackery.

Jak sám Costigan podotkl v rozhovoru pro Forbes, i kdyby mělo dojít k úniku a zneužití dat, ke korelaci rychlosti psaní v bankovní aplikaci s fyzickou identitou člověka by bylo zapotřebí neuvěřitelné výpočetní kapacity.

Díky 1,4 miliardy uživatelů chytrých telefonů s Androidem přenáší projekt Abacus společnosti Google bezpečnostní koncepty jako monitorování stylu úhozů či pohybů prstů po displeji do mainstreamové spotřební elektroniky. Pokud uspějí, behaviorální biometrika již nebude nadále jen doménou technologicky sofistikovaných skandinávských bank.