Hlavní navigace

Seznam.cz při registraci sleduje stisky kláves, aby odhalil roboty

David Slížek 11. 7. 2016

Biometrikou při přihlašování se nezabývá jen Google, dorazila i do Česka. Seznam říká, že díky ní výrazně omezil falešné registrace nových e-mailových schránek.

„Zajímavé, www.seznam.cz si při registraci v prohlížeči sbírá behaviorální biometrická data, konkrétně stisky kláves a pohyby myši, a posílá si je společně s ostatními údaji zadanými do registračního formuláře,“ napsal koncem června na svém facebookovém profilu bezpečnostní expert Michal Špaček. Spustil tím spekulace o tom, k čemu a jak Seznam tato potenciálně citlivá data používá.

Stisky kláves totiž umožňují například zrekonstruovat heslo, které uživatel do přihlašovacího pole zadává. Jak je vidět ze screenshotu kódu (viz níže), Seznam údaje o stisknutých klávesách sbírá v podobě ASCII kódů ( keydown a keyup jsou události stisknutí a uvolnění klávesy). Data naštěstí na své servery odesílá přes šifrované https spojení. 


Autor: Michal Špaček

Biometrické údaje se ale dají použít i ke zcela nezávadným účelům – například k identifikaci člověka. Tato metoda vychází z předpokladu, že způsob, jakým píšeme na klávesnici, se liší od toho, jak rychle klávesy mačkají jiní lidé. A nejen lidé.

Podle produktového manažera e-mailu Seznamu Davida Fingera firma data používá k tomu, aby dokázala při registraci rozpoznat, zda se nový účet nepokouší založit robot. „Rychlost úhozů, pohyb myši a podobně, které jsou u každého člověka naprosto unikátní, používáme k tomu, aby se nám na Seznam neregistrovali roboti a nezakládali falešné e-mailové schránky, přes které pak chodí spam,“ potvrdil Lupě. 

Data se podle něj nikam neukládají. „Při registraci je to naprosto zbytečné, protože ověřujete v tu danou chvíli a nepotřebujete je ukládat pro něco dalšího,“ dodal Finger.

Úspěšnost rozpoznávání spamových robotů při registraci podle něj Seznamu výrazně vzrostla. „O stoprocentní úspěšnosti se pochopitelně hovořit nedá, ale pomohlo nám to výrazně zredukovat falešné registrace. Teď pro nás představují minoritní problém,“ tvrdí Finger. Biometrická data nejsou jedinou metodou, kterou se Seznam snaží proti botům bránit. Najdete mezi nimi i klasickou captchu. „Používáme ji ve chvíli, kdy už máme nějaké podezření. Nechceme ji zobrazovat všem lidem, protože je to zbytečná překážka, a když k ní není důvod, nechceme jí uživatele otravovat,“ vysvětluje Finger.

Souhlas uživatelů

Do budoucna Seznam zvažuje využívání biometrických dat i k dalším účelům – například při obnově zapomenutého hesla. Podle Fingera je ale firma v tomto ohledu teprve ve fázi výzkumu – a i ten je jen na začátku. „Zkoušíme si to u nás, na svých datech, jejichž majiteli jsme my, nikoli na datech uživatelů. Zkoumáme, jestli by v tomto směru šlo do budoucna něco dělat,“ říká. 

Při loginu se podle něj dá už teď podle biometrických dat rozpoznat například to, zda uživatel používá password manažer, který vkládá heslo najednou, nebo zda má heslo uložené v prohlížeči. „Zkoušíme, zda jsou informace například o tom, jak píšeme, natolik unikátní, že se od sebe odlišíme, a zda by se tedy daly použít, a samozřejmě taky kolik dat potřebujeme, abychom dokázali onu unikátnost opravdu rozeznat,“ doplňuje Finger.

Případné širší nasazení na Seznamu tak je podle něj hudbou spíše vzdálené budoucnosti. Problém přitom netkví jen v technologii, ale také v možných negativních reakcích uživatelů na to, že by někdo sbíral takto citlivé údaje. „V případě, že byste chtěli tato data ukládat, jednoznačně musíte mít souhlas uživatelů, a je otázka, jak by to uživatelé přijali,“ uznává Finger.

Nutnost souhlasu potvrzuje také Květa Gebauerová z Úřadu na ochranu osobních údajů. „V obecné rovině lze říci, že pro účely zajištění bezpečnosti je možné po krátkou dobu využít omezenou množinu údajů. Souhlas s využitím údajů by pak byl nutný za předpokladu, že by údaje byly zpracovávány a ukládány po delší dobu a byly propojitelné s konkrétními uživateli. Pokud jsou shromažďovány a dále zpracovávány anonymní či statistické údaje bez možnosti je vztáhnout ke konkrétnímu uživateli, nejedná se o zpracování osobních údajů ve smyslu zákona o ochraně osobních údajů.“

Našli jste v článku chybu?

12. 7. 2016 7:35

ono to není tak jednoduché, musí jednak upravit vzhled přihlašovacího formuláře na všech platformách a na mobilech, musí upravit nápovědu a podmínky služby, musí se upravit manuály pro helpdesk a případně je zaškolit, musí upravit všechny automatizované testy na přihlášení, musí změnit analytiku (obdoba google analytics) a nastavit si nové cíle, k tomu nějaké překlady a ochrany proti robotům, tohle vše musí provést na všech spřátelených portálech, kde je možné se přihlašovat přes heslo atd. Celý…

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat