Skip to main content
Koniec pytań bezpieczeństwa: dlaczego KBA jest martwe

Koniec pytań bezpieczeństwa: dlaczego KBA jest martwe

March 12, 2025

6

min read

Strategia bezpieczeństwa

Koniec pytań bezpieczeństwa
Rysunek 1: schyłek statycznych poświadczeń opartych na wiedzy

Paradoks „nazwiska panieńskiego matki”

Od 30 lat banki i firmy telekomunikacyjne opierają się na uwierzytelnianiu opartym na wiedzy (KBA).
„Jaki był twój pierwszy samochód?”
„Na jakiej ulicy dorastałeś?”

W 2010 roku była to „tajna” informacja.
W 2025 roku to domena publiczna.

Zagrożenie scrapingiem przez LLM

Generatywne agenty AI potrafią teraz zescrapować 15 lat historii w mediach społecznościowych w kilka sekund.

  • To zdjęcie twojej pierwszej Hondy Civic na Instagramie (2014)? AI zna twój pierwszy samochód.
  • Ten post „Throwback Thursday” o domu z dzieciństwa? AI zna twoją ulicę.

Poświadczenia statyczne vs. dynamiczne

Hasła i odpowiedzi są statyczne. Raz skradzione (lub odgadnięte) pozostają ważne na zawsze, dopóki się ich nie zmieni.
Głos jest dynamiczny.

  • Nie da się go ukraść z bazy danych.
  • Do działania wymaga „żywotności” (liveness).
  • Subtelnie zmienia się z czasem i kontekstem, przez co nie da się go skutecznie „odtworzyć” wobec nowoczesnych detektorów.

Koszt tarcia

Poza bezpieczeństwem KBA jest przyczyną frustracji klientów nr 1.

  • Średni czas na odpowiedź na 3 pytania KBA: 45-60 sekund.
  • Wskaźnik niepowodzeń: 15-20% (prawdziwi klienci zapominający odpowiedzi).
  • Czas uwierzytelniania głosowego: 3 sekundy (pasywnie).

Krok naprzód

Branża przechodzi na czynniki „nieodłączności” (kim jesteś) zamiast czynników „wiedzy” (co wiesz).
Jeśli twoje bezpieczeństwo opiera się na pamięci klienta, już zostałeś zhakowany.

Przejdź na biometrię.

Tags:

KBAUwierzytelnianieSocjotechnikaCyberbezpieczeństwo