Koniec pytań bezpieczeństwa: dlaczego KBA jest martwe
March 12, 2025
•min read
Strategia bezpieczeństwa
Rysunek 1: schyłek statycznych poświadczeń opartych na wiedzy
Paradoks „nazwiska panieńskiego matki”
Od 30 lat banki i firmy telekomunikacyjne opierają się na uwierzytelnianiu opartym na wiedzy (KBA).
„Jaki był twój pierwszy samochód?”
„Na jakiej ulicy dorastałeś?”
W 2010 roku była to „tajna” informacja.
W 2025 roku to domena publiczna.
Zagrożenie scrapingiem przez LLM
Generatywne agenty AI potrafią teraz zescrapować 15 lat historii w mediach społecznościowych w kilka sekund.
- To zdjęcie twojej pierwszej Hondy Civic na Instagramie (2014)? AI zna twój pierwszy samochód.
- Ten post „Throwback Thursday” o domu z dzieciństwa? AI zna twoją ulicę.
Poświadczenia statyczne vs. dynamiczne
Hasła i odpowiedzi są statyczne. Raz skradzione (lub odgadnięte) pozostają ważne na zawsze, dopóki się ich nie zmieni.
Głos jest dynamiczny.
- Nie da się go ukraść z bazy danych.
- Do działania wymaga „żywotności” (liveness).
- Subtelnie zmienia się z czasem i kontekstem, przez co nie da się go skutecznie „odtworzyć” wobec nowoczesnych detektorów.
Koszt tarcia
Poza bezpieczeństwem KBA jest przyczyną frustracji klientów nr 1.
- Średni czas na odpowiedź na 3 pytania KBA: 45-60 sekund.
- Wskaźnik niepowodzeń: 15-20% (prawdziwi klienci zapominający odpowiedzi).
- Czas uwierzytelniania głosowego: 3 sekundy (pasywnie).
Krok naprzód
Branża przechodzi na czynniki „nieodłączności” (kim jesteś) zamiast czynników „wiedzy” (co wiesz).
Jeśli twoje bezpieczeństwo opiera się na pamięci klienta, już zostałeś zhakowany.
Przejdź na biometrię.
Tags: