Финтех-компания ID Finance разработала систему поведенческой биометрии, способную определить человека по клавиатурному почерку. Пилотная версия была внедрена в российском проекте MoneyMan (входит в ID Finance) в августе 2017 года. Система позволяет провести аутентификацию пользователя по поведенческим паттернам, свойственным каждому человеку. Среди них: скорость и динамика набора текста, время перехода между клавишами, опечатки и особенности движения курсора мыши по экрану. Как только человек регистрируется в личном кабинете, система анализируете его поведение и делает слепок, который используется при последующей аутентификации на сайте.
Новая программа минимизирует случаи мошенничества на сайте. Если при входе в личный кабинет почерк пользователя не совпадает со слепком в базе, такой профиль заносится в список рисковых, требующих дополнительной проверки. Если есть серьезные основания предполагать, что человек не тот, за кого себя выдает, компания может запросить дополнительные данные, включая фотографию паспорта. Поведенческие паттерны невозможно подделать: даже если человек сменил клавиатуру они могут незначительно меняться, но в совокупности их структура останется неизменной.
Система была разработана собственными силами холдинга на основе технологии анализа больших данных. На разработку и внедрение программы ушло около 4 недель, пилот длился 6 месяцев. Точность пилотной версии биометрической системы составила 97,6%. Она дорабатывается, точность будет увеличиваться. Биометрическая система легла в основу фрод-скоринга ID Finance, который позволяет выявить мошенников. Биометрия используется не только при аутентификации, но и при первичной регистрации, когда почерк клиента сравнивается со всеми слепками в базе.
Благодаря системе антифрод-скоринга удалось снизить стоимость одного выданного займа почти на 25% за счет снижения затрат на верификацию и стоимости запросов в источники информации. Уровень одобрения заявок при этом вырос на 28%, следует из результатов работы за полгода. Экономический эффект от внедрения оценивается более чем в 90 млн руб. в России по итогам 2018 года. Экономический эффект только от технологии распознавания клавиатурного почерка по группе ID Finance в семи странах оценивается в $2,8 млн по итогам 2018 года.
В 2016 году мировой рынок биометрических технологий составил более $12 млрд, более половины приходится на технологии, связанные с распознаванием отпечатков пальцев, по данным Global Market Insights. Компания прогнозирует, что к 2024 году рынок превысит $50 млрд. Одним из драйверов роста будет развитие финансовых технологий на базе мобильных устройств. За последующие три года мировой рынок распознавания лиц вырастет в два раза - до $6,84 млрд, следует из данных Global Market Insights.
Самые крупные проекты в этой области в России принадлежат NtechLab (создатель сервиса FindFace), VisionLabs (проект в «Почта Банке» по распознаванию лиц), «Вокорд», «Центру речевых технологий», 3DiVi и др. Биометрические проекты - одни из самых привлекательных на рынке стартапов в России. В 2016 году VisionLabs привлекала 350 млн руб. от венчурного фонда АФК «Система». В NtechLab вложились частные инвесторы и венчурный фонд Impulse V.C., связанный с Абрамовичем, – на общую сумму $1,5 млн.
Добавить 25 комментариев
Я ничего не понял. Что с чем сравнивается, и почему это влияет на скоринг?
Если это анализ заёмщиков — то есть скоринг — то как клавиатурная сигнатура может помочь решить, выдавать ли ему кредит?
Если это просто аутентификация того, кто раньше зарегистрировался на сайте, то при чём тут скоринг?
Параметр «вероятность, что новый кредит под логином нашего клиента просит мошенник» тоже можно отнести к скорингу, почему нет?
У меня другой вопрос: это примерно какая по счету компания, разработавшая аутентификацию по «typing pattern»? Международный холдинг, у которого дошли руки внедрить идеи этак 150-летней давности? Ну, эээ….
> Если есть серьезные основания предполагать, что человек не тот, за кого себя выдает, компания может запросить дополнительные данные, включая фотографию паспорта
«Наши ложные срабатывания — это ваши проблемы», — как бы говорит нам международный холдинг.
Очевидно, манагеры ID Finance предположили, что поведение мошенника при заполнении онлайн-заявки на кредит определённым образом отличается от поведения добропорядочного заёмщика. И проверили эту гипотезу техническими средствами у себя в сайте.
Далее — привязали дополнительные проверки на заёмщиков с «сомнительным» поведением + пессимизацией при скоринге и насладились полученной экономией при невыдаче кредитов «сомнительным» товарищам.
Нет, не похоже. Они говорят, что они один раз пользователя, аутентифицированного другим, стандартным способом, запоминают по клавиатурной сигнатуре, а потом его по этой сигнатуре узнают.
При том, что он же логинится, знает пароль.
При чём тут сомнительное поведение? Мошенник набивает дрожащими пальцами?
Я так понимаю, что у них появился второй канал верификации, то есть стала двухфакторная аутентификация. И если кто-то пароль знает, а клавиатурная сигнатура не совпала — надо проверить.
Это хорошо.
Но экономия тут в чём? В том, что они раньше всем-всем голосом перезванивали, чтоб таким образом двухфакторность обеспечить, а сейчас только мошенникам?
Параметр «вероятность, что новый кредит под логином нашего клиента просит мошенник» тоже можно отнести к скорингу, почему нет?
Нет, это всё-таки называется «антифрод».
В статье — «благодаря системе антифрод-скоринга»; я за них спорить об уместности «-скоринга» точно не буду.
Мне тоже интересно, на чем они там сэкономили и что именно. За набором общих слов вроде «стоимость выданного займа», «экономический эффект по итогам 2018 года» может скрываться что угодно.
Пока статья действительно выглядит как «в результате выдачи уборщице моющих средств по итогам года ожидается положительный экономический эффект вследствие увеличения командного духа остального персонала».
Не знаю насколько это технология в конкретном случае что то экономит MoneyMan, но за такими технологиями считаю будущее, я имею ввиду возможность вообще отказаться от логинов и паролей, чтоб не вводить их и не запоминать в принципе (в идеале), зашел на сайт, и по движению мышки (кладешь что то в корзину) система тебя узнала и авторизовала, все.
Особенно вымораживают сайты требующие придумать пароль где минимум один символ должен быть строчным, один заглавным, должна быть одна цифра и обязательно символ из списка: !@#$%*()_=, особенный трешь когда эти требования к паролю сразу не сообщаются.
Я например чтоб не терять людей которые забыли логин или пароль, автоматически авторизую их после регистрации (пароль не заставляю их придумывать а генерирую их автоматом и потом можно поменять), ставлю коку на 1 год и с каждым заходом на сайт продлеваю ее, для параноиков есть возможность выхода из авторизации.
Но мой подход все равно буксует если человек с разных устройств пользует сайт, а с этой технологией можно было бы сделать реальный юзер френдли.
В мобильных думаю хорошо бы пошла авторизация по анализу голоса например, странно что нет стартапов таких, хотя наверное я просто о них не слышал.
В идеале все эти карточки, чипы, wireless всякие — прошлый век, авторизация должна быть везде на основе биометрических данных, таких как голос, отпечаток пальца, сетчатка глаза и т.д.
Потому я думаю если чипы и будут в будущем внедрять в человека, то исключительно для мониторинга здоровья, так как опознать его можно будет и так кучей способов, собственно уже сейчас это делается частично в проектах типа Amazon GO
согласен. Тогда непонятно. С одной стороны, говорится про «слепок для более убедительной аутентификации», а с другой стороны — «антифрод-скоринг».
Вещи слегка 2 разные.
Может быть, у ID Finance частая проблема, что аккаунты «надёжных заёмщиков» взламываются и мошенники, пользуясь хорошей более ранней историей таких заёмщиков, набирают кредиты без дополнительных проверок от ID Finance?
А вот это, кстати, скорее всего. Потому что люди, которые в принципе не способны рассчитывать мелочь от зарплаты до зарплаты, и пароли хранят точно так же, и по фишинговым говноссылкам ходят тоже с удовольствием.
странно только, зачем компания замутила такую сложную и затратную big data -историю на полгода, если можно было просто сделать аутентификацию как в онлайн-банках — вход в ЛК по верификационному коду, высылаемому в СМСке при каждом посещении Личного Кабинета.
Хочется надеяться, что это не от незнания, а по какой-то достаточно весомой причине.
>странно только, зачем компания замутила такую сложную и затратную big data — историю на полгода, если можно было просто сделать аутентификацию как в онлайн-банках
Потому что ‘инновации’ уже давно используются в PR стратегии, также как и блокчейн и ИИ и еще куча всего, и работает же, уверен Роем как и куча других ресурсов об этом совершенно бесплатно написали, если бы они делали это на правах рекламы, то затраты на нее превысили бы стоимость этой разработки, профит.
Я тоже так хочу, но что то кумекалка моя никак не выдает как именно блокчейн или ИИ должен быть встроен в AvtoGSM.ru чтоб об этом написал тот же Роем, эх мозгов бы мне как у ID Finance…
>Хочется надеяться, что это не от незнания, а по какой-то достаточно весомой причине.
Это вообще считаю годная система технологического развития человечества, первые делают технологии ради технологий окупая их бесплатной рекламой себя же, потом технология откатывается и уже вторые-третьи могут применять ее для чего то еще, отличного от рекламы.
Такой себе НИОКР за счет рынка, альтернатива(дополнение) НИОКР-у за счет государства.
Чистой воды маркетинг, профилирование пользователей на основе клавиатурного и мышиного ввода само по себе достаточно несостоятельная технология (можно посмотреть западные исследования плюс как минимум две ИБ-компании в России проверяли это в своих продуктах). Если говорить мягче, несамостоятельная, неприменимая в отрыве от сопутствующих.
Профилированием на основе характеристик печати и движений мыши занимаются в основном студенты в дипломах, когда «мы типа угадали 80% из 50 человек, которых мы попросили поучаствовать в тесте». На аудитории в несколько миллионов человек, особенно с несколькими устройствами у каждого, это перестаёт адекватно работать.
Скорей всего, речь идёт об используемых в заявочном антифроде простых проверках типа покидания границ окна, частоты потери фокуса, типа ввода данных (клавиатурная печать VS copy-paste) и всё такое. И скоринг на этом.
Подобные вещи вполне открыто рассказывают на конференциях, в этом году кто-то из микрокредитов на ScorConf расчехлялся, не ноу-хау.
Спасибо, добрый морж, унял мою паранойю :)
>Спасибо, добрый морж, унял мою паранойю :)
Какая у вас доверчивая паранойя, как легко она унимается, скоро за вами будет следить каждый дверной глазок:
https://hi-tech.mail.ru/news/amazon-dvernoy-zamok/
https://hi-tech.mail.ru/news/umniy-zvonok-belle/
То что написал морж совсем не отменяет возможности в перспективе достаточно точно идентифицировать людей по их почерку поведения на сайте, оно же всегда так, сначала это все криво работает в студенческих работах, потом уже много лучше у корпораций но тоже пока больше для пиара, потом это становится индустриальным стандартом и работает с точностью 99%.
Помните как прикалывались на счет реальности того что по уличным камерам будут идентифицировать людей, а сейчас это уже даже дверные глазки умеют делать.
Но бояться этого не нужно, это не избежность, люди всегда должны знать что за ними кто то наблюдает, иначе они могут начать вести себя неадекватно, в ущерб всему обществу.
Мысль о том что бог все видит все больше вымывается даже самими представителями культа:
https://ria.ru/religion/20180312/1516166167.html
Так что человечеству нужно посмешить с технологическим развитием, чтоб когда массы перестанут верить в то что бог все видит, они точно должны быть уверены что другие люди их точно видят, каждый чих и каждый шаг, для начала хотя бы в общественном пространстве.
А иначе хаос и лавинообразный рост расходов на правоохранительные структуры, за которым тоже как то надо следить.
Так что борцы всех мастей с религиями только приближают тотальную слежку за всем и вся, без которой общество обречено, либо бог должен все видеть, либо другие люди, так что в будущем нытики всей мастей будут с теплотой вспоминать, ах как же хорошо было когда за нами следил только Бог.
Где-то я все это уже видел, про работающую с точностью до 99% клавиатурную идентификацию и адекватное поведение под тотальным наблюдением.
Ах да, http://diafilmy.su/4535-v-2017-godu.html
>Ах да, http://diafilmy.su/4535-v-2017-godu.html
Чего в этом диафильме не сбылось?
Не появилось кинотеатров с эффектом 3D объема?
Или может вантовых мостов не появилось?
Атомными взрывами уже тушили пожары на скважинах, сейчас лазерами научились.
И климат дальнего востока улучшается, потепление же, но что то не радостно от этого всем.
Умные кулинарные машины тоже есть, микроволновка и полуфабрикат же, а еще умный чайник с вайфаем.
Телевидеофон так давно уже есть, вы разве ничего не слышали про скайп и вотсап?
Да и плавучие морские детсады тоже имеются, только пока не для всех, идет опытное тестирование на добровольцах, пока видимо опасно это, про настю рыбку ничего не слышали?
Углеград тоже уже имеется:
https://topwar.ru/113937-baza-arkticheskiy-trilistnik-inzhenernoe-chudo-i-vazhneyshiy-obekt.html
В управлении погодой работы активно идут, злые языки говорят что есть примеры успешного применения:
https://ru.wikipedia.org/wiki/Климатическое_оружие
Так что диафильм 60 летней давности вполне реально все описал.
>>> иначе они могут начать вести себя неадекватно, в ущерб всему обществу.
всё таки иногда хочется иметь возможность вести себя «как хочется», а то даже, находясь в туалете, лишний раз то и пукнуть постесняешься.
Или через пару дней по всем каналам обвинят в неуважении к каким-нибудь нормам. Или придёт СМС-ка о записи к гастроэнтерологу на основании избыточного газообразования в кишечнике, свидетельствующем о нарушении пищеварительных процессов.
>всё-таки иногда хочется иметь возможность вести себя «как хочется», а то даже, находясь в туалете
Думаю за это придется бороться, обязательно появится свой туалетный Мартин Лютер Кинг.
Денис, поведенческий анализ по действиям пользователя на сайте уже теплее, но в целом он тоже не для идентификации пользователя. Он для кластеризации пользователей, для создания отличительных признаков тех или иных ролей посетителей сайта. В блоге Splunk можно поискать, как они делали на основе мышиных/клавиатурных/навигационных данных различение опытных пользователей портала и новичков.
Это опять в копилку того, что одна технология здесь не работает, все вспомогательные. Идентификация подобными методами — это совокупность технологий, разных, дополняющих друг друга.
1. Автор поста: «Прикоснулся к клавиатуре — опознан»
2. Морж: Так просто это не работает
3. Демидов: Еще заработает, и не только это
4. Демидов: Но это нормально, потому что с вами по-другому нельзя.
Эээммм.. Я предпочитаю не смешивать обсуждение технических и нравственно-культурных аспектов.
>В блоге Splunk можно поискать, как они делали на основе мышиных/клавиатурных/навигационных данных различение опытных пользователей портала и новичков.
Кстати интересная идея, я бы даже сказал очень полезная с точки зрения потенциала увеличения конверсии.
>Идентификация подобными методами — это совокупность технологий, разных, дополняющих друг друга.
Конечно, например по кукам или ip мы точно знаем что комп принадлежит конкретному юзеру, осталось узнать, он ли конкретно сейчас его использует, это было бы много надежнее чем логин и пароль, обычно хранимый в браузере или что хуже он уже украден или сам комп под удаленным управлением.
Если от откровенного криминала еще может защитить sms авторизация, то от домочадцев вряд ли.
>Я предпочитаю не смешивать обсуждение технических и нравственно-культурных аспектов.
Вы какую то фантастику говорите, я такого не встречал даже на самых узкоспециализированных ресурсах, вопрос кто больше мешает кто меньше.
К тому же понимание нравственно-культурного аспекта конкретной технологии, дает понимание необходимости форсирования ее внедрения и конкретные пути ее развития и внедрения.
Рассматривать технологии в отрыве от людей (без нравственно-культурного аспекта) это тоже самое что рассматривать железо ПК без ПО или наоборот, т.е. теоретически возможно но мало полезно, не полно я бы сказал.
> он ли конкретно сейчас его использует, это было бы много надежнее чем логин и пароль, обычно хранимый в браузере или что хуже он уже украден или сам комп под удаленным управлением
А, добро пожаловать на рынок Identity Management и сессионной аналитики ;)