Amazon's Palm Payments zijn handig, maar zijn ze veilig?

August 12, 2022
InNieuws Internet Beveiliging

Amazon brengt handpalmbetalingen naar Whole Foods-winkels in heel Californië
Handpalm scannen is nauwelijks handiger dan op een creditcard tikken.
Biometrie is moeilijk te vervalsen, maar kan nooit worden vervangen.

Iemand die de Palm Payment-optie gebruikt in een Whole Foods-winkel. — Amazone

Je boodschappen betalen door gewoon je handpalm te scannen op weg naar buiten klinkt best handig, toch? Maar wat als uw handpalmafdruk wordt gestolen?

Amazon voegt zijn. toe Amazon One Palm-betalingen naar meer dan 65 van zijn Whole Foods-winkels in heel Californië. Om te betalen, hoeft u alleen maar uw handpalm over de lezer te houden en u bent klaar. Het zou handig moeten zijn, maar de nadelen kunnen opwegen tegen de voordelen, vooral omdat het niet zo handig is.

"Een handpalmafdruk voegt gemak toe aan de betaling omdat het uniek is voor jou, het (hopelijk) onwaarschijnlijk is dat het verloren of gestolen wordt en je het altijd bij je hebt", financieel tech-expert en adviseur David Shipper vertelde Lifewire via e-mail. "Dus het scoort erg hoog vanuit het oogpunt van gemak. Het overhandigen van persoonlijke biometrische informatie aan een derde partij houdt echter altijd een risico in. Vanuit een risicostandpunt is het waarschijnlijk veiliger om die informatie versleuteld op een persoonlijk apparaat op te slaan."

Gemak is niet alles

Om Amazon One te gebruiken, moet u eerst uw handpalmafdruk koppelen aan uw creditcard en uw telefoonnummer opgeven. Vervolgens scan je gewoon je handpalm in plaats van je creditcard om te betalen bij het afrekenen.

Amazon beschouwt dit als extra handig, maar dat is het echt niet. Betalen met een creditcard is net zo eenvoudig als tikken of zwaaien over een contactloze lezer, en het is nog gemakkelijker als u Apple Pay en uw Apple Watch gebruikt. Het is bijna hetzelfde als zwaaien met je handpalm, met één toegevoegde dubbelklik vooraf.

Een close-up van iemands hand over de Amazon Palm Scanner. — Amazone

Dit alles zou er niet toe doen als er geen problemen waren met het gebruik van biometrie als authenticatie. Het klinkt in eerste instantie goed. Amazon maakt de zaak op zijn Amazon One-pagina: "Je handpalm is een uniek deel van jou. Het gaat nergens heen waar je niet komt en kan door niemand anders worden gebruikt dan jij."

Het is mogelijk om dit allemaal te doen zonder uw handpalmafdruk op te slaan. In plaats daarvan converteert het systeem, wanneer het voor het eerst wordt gescand, de scan cryptografisch naar een hash of een code die niet kan worden teruggedraaid om uw handpalmafdruk opnieuw te maken. Wanneer u betaalt, doet de scanmachine weer hetzelfde. Het scant, maakt een hash en vergelijkt de hash met de hash die in het bestand staat. Als ze overeenkomen, kunt u betalen.

Biometrische gevaren

Maar er zijn meerdere problemen die gepaard gaan met het gebruik en de opslag van biometrie. Een daarvan is dat ze soms kunnen worden gestolen. In 2015 werd het Amerikaanse Office of Personnel Management gehackt, en de hackers hebben de personeelsgegevens gestolen van 20 miljoen Amerikaanse overheidsmedewerkers, waaronder: vingerafdrukbestanden voor 5,6 miljoen.

En daar kan niemand iets aan doen. Als je creditcard wordt gestolen, kun je het nummer wijzigen, maar geen van die 5,6 miljoen mensen kan hun vingerafdrukken veranderen.

En andersom werkt het ook. "Van wachtwoorden kan een back-up worden gemaakt, maar als je bij een ongeluk je duimafdruk wijzigt, zit je vast", schrijft beveiligingsexpert Bruce Schneier op zijn blog.

Iemand die zijn duimafdruk gebruikt op een biometrische scanner, gezien vanuit de scanner. — Kittiporn Kumpang / Getty Images

Het is echter niet allemaal slecht nieuws voor biometrie. Apple's Face ID en Touch ID hebben een andere benadering. Ze slaan uw gezichtsscan of vingerafdrukgegevens op in een 'Secure Enclave' - een aparte hardwarekluis die niet toegankelijk is vanaf de rest van de telefoon. Wanneer de telefoon je gezicht scant, vraagt hij aan de Secure Enclave of de scan overeenkomt, en het antwoord is 'Ja' of 'Nee'. Zelfs als een aanvaller toegang heeft tot je telefoon, kan hij geen vingerafdruk of gezichtsscan extraheren.

Zodra de authenticatie op het apparaat is uitgevoerd, voert de telefoon een normale creditcardbetaling uit. Het is veel veiliger en net zo handig.

En wie weet waar uw gegevens terechtkomen, ook als ze niet gestolen zijn?

"Zoals we hebben gezien bij de online gedragsadvertenties en de gegevensmakelaarsindustrie, is elk stukje gegevens over ons dat wel overgegeven aan technologiebedrijven – online of in het echte leven – wordt geshopt voor het gemak en de winst van de bedrijven”, Sharon Polsky, voorzitter van de Privacy and Access Council van Canada, vertelde Lifewire via e-mail. "En de verspreiding van ongereguleerde digitale en bewakingssystemen en het verschuivende overheidsbeleid om gegevens te verzamelen ‘voorgoed’, het is niet onwaarschijnlijk dat de biometrie die we gebruiken om boodschappen te doen binnenkort tegen ons kan worden gebruikt.”

Als er één ding is dat we van internet hebben geleerd, is het dat bedrijven niet kunnen worden vertrouwd om deze waardevolle gegevensbestanden niet te exploiteren. Denk dus goed na voordat u uw biometrische gegevens opgeeft, omdat u ze misschien nooit meer terug kunt krijgen.