Biometrie jsou spolehlivé, ale nemusí stát za riziko

Mastercard vám chce umožnit platit v obchodech pouhým úsměvem na skener, což je zábava, dokud si neuvědomíte důsledky pro soukromí.

Biometrie je pohodlný způsob, jak se ověřit. S výjimkou velké smůly máte oči, obličej, prsty – nyní úsměv – vždy u sebe a připraveni k nasazení. Platební společnosti mají biometrii rády, protože biometrie jsou dostatečně individuální na to, aby byly funkčně jedinečné a těžko se falšovaly. Líbí se nám, protože je mnohem snazší platit prstem než vytahovat kartu. Ale biometrie mají tak katastrofální nevýhody, že bychom je takto vůbec neměli používat.

„Ještě jeden problém s biometrií: špatně selhávají. Hesla lze změnit, ale pokud někdo zkopíruje váš otisk palce, máte smůlu: palec nemůžete aktualizovat. Hesla lze zálohovat, ale pokud změníte otisk palce při nehodě, uvíznete,“ píše bezpečnostní legenda Bruce Schneier na svém osobním blogu.

Snadno ukrást, nemožné vyměnit

Program Mastercards Biometric Checkout se testuje v pěti supermarketech v brazilském São Paulu. Uživatelé si mohou zaregistrovat svůj obličej pomocí služby Payface a poté platit v obchodech úsměvem na autentizačním zařízení.

Možná si také vzpomenete Experimentální systém plateb dlaní od Amazonu. Amazon One vám umožňuje platit v obchodech skenováním vaší dlaně, načež je platba extrahována prostřednictvím vaší obvyklé platební metody Amazon. Zatím můžeme platit úsměvem nebo mávnutím. Nemohu dlouho čekat, než se na tento seznam přidají rány pěstí a slabá-firemní-high-five.

Biometrické indikátory je těžké zfalšovat, a i když dokážete zkopírovat otisk prstu nebo úsměv, pravděpodobně vám neunikne pokus použít gumový palec u pokladny v supermarketu. Ale otisky prstů lze snadno ukrást, stejně jako fotografie vašeho obličeje, vašich rukou a tak dále.

A nejhorší na tom je, že jakmile je váš otisk prstu kompromitován, je to. Jak zdůrazňuje Schneier, nemůžete nahradit palec, oko nebo obličej.

Dělat to správně

Naštěstí existuje způsob, jak používat biometrické ověřování, aniž byste riskovali otisky prstů, duhovku, úsměv a tak dále. Ve skutečnosti to možná již děláte s Apple Pay nebo podobnou platební metodou chytrým telefonem.

Apple Pay a podobné metody udržují biometrické ověření soukromé. Autentizace je mezi vámi a vaším telefonem. Naskenujete si obličej nebo otisk prstu, a když telefon souhlasí, že jste to vy, předá dobrou zprávu platebnímu automatu.

A co víc, váš obličej ani otisk prstu se nikdy nikde neukládají. Když zaregistrujete svůj obličej ID obličejenapříklad telefon tyto skeny generuje zašifrovaný proxy nebo hash pro váš obličej, který se pak uloží. Později, když svůj iPhone odemknete, skenování se znovu „zahašuje“ a výsledek se porovná s uloženým hashem, aby se zjistilo, zda se shodují.

I kdyby tedy mohla být uložená data odcizena, nelze je použít ke zpětnému inženýrství vašeho obličeje nebo otisku prstu.

„Klíčem k ochraně osobních identit a digitálních aktiv jsou minimálně tři faktory autentizace: něco, co znáte, něco, čím jste, a něco, co máte,“ PR a finanční technologie specialista Tiffany Rodriguez řekl Lifewire e-mailem. „Jedno heslo nebo biometrie nejsou hradbou ochrany potřebnou k přežití. Zapnutí vícefaktorové autentizace poskytuje vícenásobnou ochranu a snižuje šance na hacknutí. Biometrie musí být přidány jako další vrstva ochrany a ne pouze jako proxy pro předávání hesla.“

Řešením je použít něco jako Apple Pay jako proxy pro vaše biometrická data. Nikdy tak nemusíte důvěřovat společnosti, která bezpečně uloží vaše nenahraditelné otisky prstů, skeny duhovky nebo smajlíky. Koneckonců, není to tak, že by se o ně starali lépe než o naše hesla, která pravidelně unikají v milionech.

Znamená to, že se musíte před placením ověřit ve svém telefonu, což je zjevně méně pohodlné než úsměv (pokud nemáte zrovna špatný den). Ale i to je pokryto. Uživatelé Apple Watch mohou platit mávnutím zápěstí a zároveň si užívat biometrického zabezpečení svého iPhonu. Zdá se to jako ideální řešení.