Безопасный вход в интернет-банк ВТБ Онлайн с помощью технологии распознавания лица или по отпечатку пальца
- Заказчик:
- ПАО Банк ВТБ
- Руководитель проекта со стороны заказчика
- Год завершения проекта
- 2022
- Сроки выполнения проекта
- Март, 2022 - Июнь, 2022
- Масштаб проекта
- 900000 абонентов
- Цели
-
Обеспечить доступ клиентов в интернет-банк с мобильных устройств в условиях санкций.
-
Упростить и ускорить процесс входа в интернет-банк ВТБ Онлайн.
-
Повысить уровень защиты данных и средств клиентов от мошеннических действий.
-
Обеспечить удобный вход клиентам интернет-банка ВТБ Онлайн, идентичный опыту в мобильном приложении.
-
Предотвратить отток клиентов, связанный с вынужденным переходом с использования мобильного приложения на интернет-банк ВТБ Онлайн.
-
Снизить затраты банка на отправку одноразовых СМС-кодов для подтверждения входа в интернет-банк ВТБ Онлайн.
-
Уникальность проекта
ВТБ первым на российском финансовом рынке реализовал механизм аутентификации клиентов с помощью технологии распознавания лица или по отпечатку пальца в WEB-канале. На данный момент ни один российский банк не использует аналогичных решений, стандартом является авторизация по паролю.Внедрив альтернативный способ аутентификации, ВТБ не только обеспечил более надежную защиту денег клиентов, но и существенно улучшил клиентский опыт пользователей интернет-банка. Фактически клиенты могут авторизоваться «в один клик», как в приложении, а время на вход сократилось в 3 раза.
Затраты банка на разработку и внедрение решения были существенно снижены за счет использования открытых стандартов API-браузеров. При этом особое внимание было уделено оценке уровня безопасности используемого ПО с открытым исходным кодом и тестированию его на предмет наличия уязвимостей.
- Проект решает задачи импортозамещения
- Да
- Использованное ПО
Техстек: открытый стандарт API-браузера, JavaScript, Java, PostgreSQL.
- Сложность реализации
Перед командой стояла задача разработать и внедрить в сжатые сроки решение, аналогов которому пока нет на российском финансовом рынке.
С учетом необходимости снижения зависимости доступности и удобства цифровых сервисов банка от санкционной политики иностранных компаний (производителей ПО и магазинов приложений) было решено использовать открытый стандарт API-браузера. Для обеспечения высоких требований банка к информационной безопасности используемых программных продуктов и технологий большое внимание было уделено контролю и тестированию используемого открытого программного кода на предмет наличия уязвимостей, что увеличило трудозатраты на реализацию проекта.
В используемый код были внесены изменения для устранения уязвимостей и для обеспечения лучшего клиентского опыта с учетом разнообразия типов устройств и браузеров, используемых для входа.
Несмотря на техническую сложность проекта, решение реализовано в сжатые сроки: time-to-market – 4 месяца.
- Описание проекта
Удаление мобильного приложения ВТБ из иностранных магазинов приложений и последующий вынужденный переход клиентов на использование интернет-банка ВТБ Онлайн сделало актуальной задачу сохранения максимально удобного и безопасного доступа пользователей к цифровым сервисам банка.
Для упрощения входа в интернет-банк ВТБ в июне 2022 года первым на рынке запустил возможность входа в интернет-банк ВТБ Онлайн с помощью технологии распознавания лица или по отпечатку пальца.
Как это работает?
В основе лежит технология Webauthn – международный веб-стандарт аутентификации от консорциума World Wide Web (W3C). Технология использует нативный аутентификатор устройства, а данные клиента – о моделях отпечатка и лица – хранятся в защищенной области устройства.
Для аутентификации используется внешний идентификатор, генерирующийся на основании данных об устройстве, браузере и учетной записи пользователя, защищая обмен при помощи надежного шифрования и использования случайных проверочных величин, защищающих от перехвата, копирования или модификации запросов.
Безопасность решения
Обмануть технологию, используя напечатанную или цифровую двухмерную фотографию, видеозапись невозможно – технология проверяет соответствие с 3d-моделью лица, анализируя несколько тысяч невидимых точек.
Около 80% паролей могут быть взломаны в течение 18 минут, тогда как подделать биометрические данные гораздо сложнее. Менее 1 из 1 000 000 составляет вероятность того, что другой человек сможет войти в интернет-банк с помощью технологии распознавания лица, и всего 1 к 50 000 – вероятность совпадения даже мельчайших областей разных отпечатков пальцев.
Конфиденциальность и защита
Биометрические персональные данные, используемые для входа в интернет-банк ВТБ Онлайн, хранятся на устройстве пользователя и никогда не передаются в банк, и, следовательно, не обрабатываются и не хранятся на его серверах.
Банк осуществляет аутентификацию на основании получения признака соответствия используемых для входа биометрических данных сгенерированному математическому представлению.
Эффект от внедрения решения
За 4 месяца с момента внедрения решения достигнуты следующие результаты:
- более 900 000 клиентов используют решение для входа в интернет-банк ВТБ Онлайн
- вход стал в 3 раза быстрее (уменьшили время входа с 15 до 5 секунд);
- сэкономили более 28 тысяч часов времени клиентов (не нужно тратить время на ввод или восстановление пароля, на получение и ввод одноразового СМС-кода подтверждения);
- сэкономили 15 млн рублей банка за счет отмены шага ввода одноразового СМС-кода подтверждения;
- на 18% сократили количество обращений в контактный центр, связанных с проблемами входа в интернет-банк.
Перспективы развития решения:
В будущем будет обеспечена возможность входа в интернет-банк ВТБ Онлайн по биометрии с ноутбуков, а также реализован функционал по управлению в личном кабинете ВТБ Онлайн списком устройств, которым разрешен вход в интернет-банк по биометрии.
- География проекта
- Так как пользователем интернет-банка может стать любой клиент банка в любой момент, то функционал распространен на всей территории РФ. Технология не имеет географических ограничений.