Platby Amazon Palm jsou pohodlné, ale jsou bezpečné?

August 12, 2022
VZprávy Internetová Bezpečnost

Amazon přinese palmové platby do obchodů Whole Foods po celé Kalifornii
Skenování dlaně je sotva pohodlnější než klepnutí na kreditní kartu.
Biometrie je těžké zfalšovat, ale nelze je nikdy nahradit.

Někdo, kdo používá možnost Palm Payment v obchodě Whole Foods. — Amazonka

Platit za své potraviny pouhým skenováním dlaně na cestě ven zní docela pohodlně, že? Ale co když vám ukradnou otisk dlaně?

Amazon přidává své Platby Amazon One Palm do více než 65 svých obchodů Whole Foods po celé Kalifornii. K platbě stačí najet dlaní na čtečku a je hotovo. Má to být pohodlné, ale nevýhody mohou převažovat nad výhodami – zejména proto, že to není tak pohodlné.

„Otisk dlaně zvyšuje pohodlí při platbě, protože je pro vás jedinečný, je (doufejme) nepravděpodobné, že by se ztratil nebo ukradl, a máte ho neustále u sebe,“ odborník na finanční technologie a poradce David Shipper řekl Lifewire e-mailem. "Takže z hlediska pohodlí má velmi vysoké skóre. Vždy však existuje riziko předání osobních biometrických údajů třetí straně. Z hlediska rizika je uložení těchto informací zašifrovaných na osobním zařízení pravděpodobně bezpečnější.“

Pohodlí není všechno

Chcete-li používat Amazon One, musíte nejprve spojit otisk dlaně s vaší kreditní kartou a poskytnout své telefonní číslo. Pak stačí naskenovat dlaň místo vaší kreditní karty a zaplatit u pokladny.

Amazon to účtuje jako extra pohodlné, ale ve skutečnosti tomu tak není. Platba kreditní kartou je stejně snadná jako ťukání nebo mávání nad bezkontaktní čtečkou a ještě jednodušší je, pokud používáte Apple Pay a Apple Watch. Je to téměř stejné jako mávnutí dlaní, s jedním přidaným dvojitým kliknutím předem.

Detailní záběr na něčí ruku nad skenerem Amazon Palm. — Amazonka

Nic z toho by nevadilo, kdyby to nebylo kvůli problémům s používáním biometrie jako autentizace. Na první pohled to zní dobře. Amazon to hájí Amazon Jedna stránka: „Vaše dlaň je vaší jedinečnou součástí. Nevede to nikam, kam nechcete a nemůže být používáno nikým jiným než vámi.“

To vše je možné provést bez uložení otisku dlaně. Místo toho, když je poprvé naskenován, systém převede skenování kryptograficky na hash nebo kód, který nelze vrátit zpět, aby znovu vytvořil otisk vaší dlaně. Když zaplatíte, skenovací stroj provede to samé znovu. Skenuje, vytvoří hash a porovná hash s tím, který má v souboru. Pokud se shodují, můžete zaplatit.

Biometrická nebezpečí

Existuje však mnoho problémů, které doprovázejí používání a ukládání biometrických údajů. Jedním z nich je, že někdy mohou být ukradeny. V roce 2015 byl napaden americký Úřad pro personální management a hackeři ukradli záznamy o osobních údajích 20 milionů zaměstnanců americké vlády, včetně soubory otisků prstů za 5,6 milionu.

A nikdo s tím nemůže nic dělat. Pokud je vaše kreditní karta odcizena, můžete změnit číslo, ale nikdo z těchto 5,6 milionů lidí nemůže změnit své otisky prstů.

A funguje to i obráceně. „Hesla lze zálohovat, ale pokud změníte otisk palce při nehodě, uvíznete,“ píše bezpečnostní expert Bruce Schneier na svém blogu.

Někdo používá svůj otisk palce na biometrickém skeneru, jak je vidět zevnitř skeneru. — Kittiporn Kumpang / Getty Images

Pro biometrii to však nejsou všechny špatné zprávy. Apple Face ID a Touch ID mají jiný přístup. Ukládají podrobnosti o skenu obličeje nebo otisku prstu v „Secure Enclave“ – samostatném hardwarovém trezoru, který není přístupný ze zbytku telefonu. Když telefon naskenuje váš obličej, zeptá se Secure Enclave, zda se sken shoduje, a odpověď je buď „Ano“ nebo „Ne“. I když má útočník přístup k vašemu telefonu, nemůže získat otisk prstu nebo sken obličeje.

Jakmile je na zařízení provedeno ověření, telefon provede běžnou platbu kreditní kartou. Je to mnohem bezpečnější a stejně pohodlné.

A kdo ví, kde vaše data skončí, i když nebudou ukradena?

„Jak jsme viděli u online behaviorální reklamy a odvětví zprostředkovatelů dat, každý bit o nás, který je odevzdaný technologickým společnostem – online nebo v reálném životě – se nakupuje pro pohodlí a zisky společností,“ Sharon Polsky, prezident Rady pro soukromí a přístup Kanady, řekl Lifewire e-mailem. „A šíření neregulovaných digitálních a sledovacích systémů a měnící se veřejná politika shromažďování dat „v dobrém“, není nepravděpodobné, že biometrické údaje, které používáme k nákupu potravin, budou brzy moci být použity proti nám.“

Pokud jsme se z internetu něco naučili, pak je to, že společnostem nelze věřit, že tyto cenné zásoby dat nevyužijí. Velmi pečlivě si tedy rozmyslete, než se svých biometrických údajů vzdáte, protože je možná nikdy nebudete moci získat zpět.