Biyometrik Güvenlik Devrimi: Banka Kartlarında Şifreye Son!

Şekil-1 Biyometrik Güvenlik Parmak İzi Tanıma [a]

Her yıl dünya üzerinde bankacılık ve kart işlemleri kategorisinde milyonlarca insan dolandırıcılığa maruz kalıyor. JP Morgan araştırmalarına göre Banka/Kredi Kartı dolandırıcılığına maruz kalma oranı önceki yıllara göre %12’lik artış ile yaklaşık 70.000 kullanıcıya ulaşmış durumda. [1]

Yıllar içinde kart dolandırıcılığından kaynaklı kayıpların derin analizinde ise çok çarpıcı veriler karşımıza çıkıyor. 2014'ten 2022'ye kadar dünya çapında, kayıpların toplam değeri 30 Milyar Doları aşmış durumda.

Şekil-2 Yıllara Göre Kart Dolandırıcılığından Kaynaklı Kayıplar [b]

2023 yılı Bankalararası Kart Merkezi (BKM) verilerine göre Çevrimiçi Kartlı ödemeler bir önceki yıla göre %130, temassız yapılan ödemeler ise yine bir önceki yıla göre %41 artış gösterdi. Dolandırıcılık olaylarının büyük çoğunluğu Çevrimiçi (Online) kanallardan yaşanmasına rağmen hiç azımsanmayacak büyüklükte dolandırıcılık olayları da Fiziksel ödeme (Temassız yada Şifre Kullanımı) esnasında yaşanıyor. Yaşanan bu vakalar sadece kullanıcı ekonomisine değil aynı zamanda bağlı bulunulan ülke ekonomisine de büyük zarar veriyor.

BKM verilerine göre Türkiye de kart kullanımı her geçen yıl artış gösteriyor.

Şekil-3 Yıllara Göre Türkiye’de Kart Kullanımı [c]

Kart kullanımında kullanıcının ödeme işlemini doğrulaması için kullanılan en popüler metotlar arasında şifreli (PIN) ödeme ve temassız ödeme yer alıyor. Bununla birlikte her iki metotta kendi için zafiyetler barındırıyor. Dolandırıcılar tarafından kullanılan birçok yöntem sektörde karşımıza çıkıyor; örneğin, kart hırsızlığı, şifre hırsızlığı, POS cihazı hırsızlığı, çevrimdışı hesapların ele geçirilmesi ve ATM kart yuvalarına yerleştirilen elektronik çipler gibi.

Şekil-4 Temassız Kart Dolandırıcılığı [d]

Dolandırıcılık metotlarına karşın güvenlik sektöründe hali hazırda kullanılan önlemler finansal ve kartlı ödeme sistemlerine de entegre ediliyor. Şifreli işlemlere 3-D Secure adı verilen doğrulama metodunun eklenmesiyle birlikte güvenlik seviyesi bir miktar daha arttırılmış oldu.

3-D Secure; 2001 yılında Eski adıyla Arcot Systems yeni adıyla CA Technologies tarafından geliştirilip banka ve kredi kartlarında ikincil doğrulama için kullanılan sistem oldu. [2]

Son yıllarda kart kullanımının arttığından bahsetmiştik, kullanım oranındaki artışın dolandırıcılık vakalarında ki artışa da doğru orantılı olarak yansıdığını görüyoruz. Kullanıcıları güvenli ödeme yöntemlerine yönlendirmenin yanı sıra ödeme işlemlerindeki karmaşıklığın kullanıcı deneyimi açısından azaltılması da gerekiyor.

Şifre ile ödeme yöntemleri yanına daha az zafiyet barındıran yeni metotların geliştirilmesi gerekiyor. Tam da bu noktada Biyometrik Doğrulama Metotları kartlı ödeme sistemlerinde hayatımıza giren bir çözüm olarak karşımıza çıkıyor.

Modernleşen dijital dünyada konfor ve güvenlik kavramı sürekli karşı karşıya geliyor. Güvenliğin sıkılaştığı noktada konfordan, konforun arttığı noktada yeterli güvenlikten bahsedemiyoruz. Geçmişin gözbebeği şifreler artık kolay ele geçirilebildiği için gözden düşüyor. Geleneksel şifreleme yöntemi yerini daha az zafiyet barındıran ve her birey için kendine özel olan fizyolojik tanımlama sistemlerine bırakıyor.

Günümüzde Biyometrik Doğrulama iki ana başlıkta karşımıza çıkıyor, Fiziksel ve Davranışsal Biyometri.

Davranışsal Biyometrik Kimlik Doğrulama;

Mantık olarak makine öğrenimine benzer, bireylerin belli davranışları nasıl tekrar ettiğini öğrenip kimlik doğrulaması yapar. En yaygın kullanılan teknikleri ise aşağıdaki gibidir;

· İmza Tanıma: Kullanıcıların şahsi imzalarını nasıl attıklarını analiz edip, imza atarken oluşan basınç, stres ve imza atış hızını öğrenerek doğrulama yapar.

· Konuşma Tanıma: Ses tonu, konuşma hızı ve tonu yanısıra diğer konuşma özelliklerinin öğrenilip doğrulama yöntemi olarak kullanılır genelde ses ile yönetilen (telefon vb.) cihazlar üzerinde kullanılır.

· Yazma Dinamikleri: Bireylerin klavye kullanımını, hangi tuşlara hangi sırayla ve ne kadarlık bir hız ile basılıyor gibi analizler yapılır ve doğrulama tekniği olarak kullanılır.

Bu metotların yanında Yürüme Biçimi (Gait) Tanıma gibi farklı Davranışsal Biyometri Tanıma metotları da bulunuyor. Davranışlarda oluşacak değişimler, Yazma hızı, imza tekniğinde kullanılan cihazların değişimi, ses tanıma ile yapılan doğrulamada kullanıcının yaşadığı ses problemleri (hastalık, ses kısıklığı vb.) yanlış doğrulamalara neden olabilmektedir.

Peki Fiziksel Biyometrik Kimlik Doğrulama bize neler sunuyor;

Daha Gelişmiş Güvenlik: istismar edilebilen şifreler yerine her birey için eşsiz olan biyometrik özelliklerin kullanımı

Konfor: Hatırlanması zor karmaşık şifreler ve saklanması için gerekli hatırlatıcılar yerine basit bir parmak izi ya da yüz taraması ile erişilebilen sistemler.

Yüksek Doğruluk: Parmak izi ve Yüz tanıma gibi yazılımların gelişmesiyle artık daha net ve hata payı daha düşük sistem erişimi.

Biyometrik kimlik doğrulama nasıl yapılır sorusunun cevabı ise;

İhtiyacınıza göre ve güvenlik gereksiniminize göre, kimliğinizi doğrulamak için bedeninizin bir parçasının kullanılmasını gerektirir. Bu, parmak izi, göz taraması, yada başka bir bedensel özellik olabilir. Tek bir özellik yada birden fazla özellik bir arada kullanılabilir. [3]

Kısaca bu özelliklerden bahsedecek olursak;

· Yüz Tanıma Teknolojisi: Kullanıcıların yüz özelliklerini tanıyarak güvenli giriş ve işlem yapma imkanı sağlar.

· Ses Tanıma Sistemi: Kullanıcıların ses özelliklerini tanıyarak kimlik doğrulama sürecine ek güvenlik katmanı ekleyerek dolandırıcılığı önlemeye yardımcı olur.

· Retina Tarama Sistemi: Göz retinasının benzersiz özelliklerini kullanarak güvenli kimlik doğrulamaya yarar.

· Parmak İzi Tanıma Sistemi: Kişiye özel parmak izinin sisteme tanıtılması sonrasında parmak izi ile sistem girişine olanak sağlayan sistemdir.

Tüm bu anlatılanlara dayanarak geleneksel kartlı ödeme sistemleri ve sağlayıcılarının günümüzde ne kadar baskı altında olduğunu görebiliyoruz. Bu baskıdan dolayı, 3-D Secure doğrulama sistemi yanı sıra biyometrik kimlik doğrulama çözümlerinden Yüz, Ses, Retina ve Parmak İzi Tanıma sistemleri bankacılık sistemlerine entegre edilmeye başlandı.

Bankalara kart altyapısı hizmeti sunan firmalar artık biyometrik kimlik doğrulama özelliğini devreye almaya başladılar.

Şekil-5 Parmak İzi Doğrulamalı Banka Kartları [e]

Türkiye’de ise bu özelliği devreye alan bankalar mevcut, yakın zamanda duyurulan parmak izi doğrulamalı kredi kartı özelliği ile müşterilere daha gelişmiş güvenlik ve daha konforlu ödeme deneyimi vadediyorlar.

Parmak izi doğrulamalı kartların tanımlama ve çalışma süreçlerine değinmek gerekirse;

Parmak izi doğrulamalı kartlar her ne kadar çeşitlilik gösterse dahi, temassız kredi ve banka kartlarının çoğu gibi kurumsal erişim kontrol algoritmalarına benzer şekilde tasarlanmışlardır. Bu kartların bir kısmı kart üzerinde mikro piller barındırır ve ihtiyaç duyduğu enerjiyi bu pillerden alır ancak büyük çoğunluğu okutulduğu terminal (POS, ATM vb.) üzerinden enerji temin edecek şekilde dizayn edilmiştir.

Şekil-6 Parmak İzi Tanımlaması [f]

Tanımlama; kartın yerleştirildiği terminal yada banka şubesinde bulunan cihazlar yardımıyla kart üzerinde kullanıcının parmak izinin tanıtılması gerekiyor bu işlem akıllı telefonlarda parmak izi tanıtmaya benziyor. Bu işlem sonrasında kullanıcının parmak izi hem kart hem de merkezi sistem üzerinde tanımlı ve eşleştirilmiş duruma geliyor. Kullanıcının parmak izi kart ile eşleştirildikten sonra kart üzerinde güvenli bir bölmede (yonga seti) saklanması gerekiyor. Tabi ki bu noktada yonga seti içerisinde kullanılan biyometrik tanımlama yazılımı ve bu yazılımın güvenliği ön plana çıkıyor. [4]

Kart üzerinde tanımlanan parmak izi artık ödeme işlemlerinde yada para çekme işlemlerinde doğrulama adımı olarak kullanılabiliyor.

Özetle; Biyometrik Kimlik Doğrulama çözümleri finans sektöründeki gelişmelere bağlı olarak gelişeceğe benziyor. Bu gelişim ile birlikte, geçiş için gerekli olan altyapı maliyetlerinin yüksekliği ve sahte biyometrik örnekler ile sistemin kandırılmasına yönelik zafiyetler sektörün çekincelerinin başında geliyor. Canlılık ve çoklu doğrulama metotları da bu noktada göze çarpan etkenler arasında, maliyetlerin düşürülmesi ise yine sektörde ki talep yoğunluğuna ve bu hizmeti sağlayacak altyapı oyuncularına bağlı.

Kaynaklar

[1] https://www.jpmorgan.com/insights/fraud/card-fraud/how-to-protect-yourself-from-debit-card-fraud#:~:text=But%20last%20year%20alone%2C%20close,trend%20is%20expected%20to%20continue.

[2] https://en.wikipedia.org/wiki/3-D_Secure

[3] https://www.sciencedirect.com/topics/computer-science/biometric-authentication#

[4] https://www.biometricupdate.com/202209/how-do-biometrics-card-work

https://internationalbanker.com/technology/biometrics-are-proving-increasingly-essential-for-banking-security/

https://www.idexbiometrics.com/traditional-payment-cards-are-under-pressure-biometric-authentication/

https://www.zwipe.com/blog/an-introduction-to-biometric-payment-cards

https://www.hidglobal.com/solutions/biometrics-banking-finance

Şekil Kaynakları

Şekil-1 [a] https://www.gettyimages.com/detail/photo/3d-technology-illustration-a-fingerprint-scanner-is-royalty-free-image/1401172654?adppopup=true

Şekil-2 [b] https://www.statista.com/statistics/1394119/global-card-fraud-losses/

Şekil-3 [c] https://bkm.com.tr/kart-sayilari/

Şekil-4 [d] https://finans.mynet.com/haber/detay/ekonomi/ekstrelerinizi-mutlaka-kontrol-edin-uzmanindan-temassiz-kart-dolandiriciligi-uyarisi/404719/

Şekil-5[e] https://www.mastercard.us/en-us/business/overview/safety-and-security/authentication-services/biometrics/biometrics-card.html , https://www.thalesgroup.com/en/markets/digital-identity-and-security/banking-payment/cards/emv-biometric-card

Şekil-6[f] https://www.techtarget.com/searchsecurity/definition/biometric-payment