Biometrični podatki so zanesljivi, vendar morda niso vredni tveganja

May 19, 2022
VNovice Internet In Varnost

Mastercardov novi biometrični program za blagajno vam omogoča plačilo z nasmehom ob skenerju.
Biometrična avtentikacija je zanesljiva, vendar so tveganja velika.
Možno je imeti oboje in varnost.

Dve osebi se smehljata na kiosku za vstopnice na železniški postaji, ena drži pametni telefon. — LeoPatrizi / Getty Images

Mastercard vam želi omogočiti plačevanje v trgovinah samo tako, da se nasmehne skenerju, kar je zabavno, dokler ne spoznate posledic zasebnosti.

Biometrija je priročen način za preverjanje pristnosti. Razen hude smole imate vedno pri sebi oči, obraz, prste – zdaj pa nasmeh – in pripravljeni za uporabo. Plačilna podjetja imajo radi biometrijo, ker je biometrija dovolj individualna, da je funkcionalno edinstvena in jo je težko ponarediti. Všeč so nam, ker je veliko lažje plačati s prstom kot izkopati kartico. Toda biometrija ima tako katastrofalne pomanjkljivosti, da je sploh ne bi smeli uporabljati tako.

"Še ena težava z biometričnimi podatki: ne uspejo dobro. Gesla je mogoče spremeniti, a če nekdo kopira vaš odtis, nimate sreče: ne morete posodobiti svojega palca. Gesla je mogoče varnostno kopirati, a če v nesreči spremenite odtis palca, ste obtičali,« piše

varnostna legenda Bruce Schneier na njegovem osebnem blogu.

Enostavno ukrasti, nemogoče zamenjati

Mastercards Biometric Checkout Program se testira v petih supermarketih v São Paulu v Braziliji. Uporabniki lahko vpišejo svoj obraz s storitvijo Payface in nato plačajo v trgovinah tako, da se nasmehnejo napravi za preverjanje pristnosti.

Morda se tudi spomnite Amazonov eksperimentalni sistem plačila dlani. Amazon One vam omogoča plačevanje v trgovinah s skeniranjem dlani, nakar se plačilo ekstrahira z vašim običajnim plačilnim sredstvom Amazon. Zaenkrat lahko plačamo z nasmehom ali mahanjem. Ne morem preteči dolgo, preden se na ta seznam dodaja udarec s pestjo in šibka-korporativna-high-5.

Biometrične kazalnike je težko ponarediti in tudi če lahko kopirate prstni odtis ali nasmeh, se verjetno ne boste izognili poskusu uporabe gumijastega palca na blagajni supermarketa. Toda prstne odtise je enostavno ukrasti, prav tako fotografije vašega obraza, rok itd.

In najslabši del tega je, da ko je vaš prstni odtis ogrožen, je to to. Kot poudarja Schneier, ne morete zamenjati palca, očesa ali obraza.

Naredite to pravilno

Na srečo obstaja način za uporabo biometrične avtentikacije, ne da bi tvegali svoje prstne odtise, šarenico, nasmeh itd. Pravzaprav to morda že počnete z Apple Pay ali podobnim načinom plačila s pametnim telefonom.

Apple Pay in podobne metode ohranjajo biometrično preverjanje zasebno. Preverjanje pristnosti je med vami in vašim telefonom. Skenirate svoj obraz ali prstni odtis in ko se telefon strinja, da ste vi, dobro novico posreduje plačilnemu avtomatu.

Še več, vaš obraz ali prstni odtis nista nikoli shranjena nikjer. Ko vpišete svoj obraz ID obraza, na primer telefon uporablja te preglede za ustvarjanje šifriran proxy ali hash za vaš obraz, ki se nato shrani. Kasneje, ko odklenete svoj iPhone, se skeniranje znova "zgosti" in rezultat primerja s shranjenim razpršilnikom, da se ugotovi, ali se ujemata.

Nekdo, ki ima biometrični pregled očesa, — Blagovne znamke in ljudje / Unsplash

Tudi če bi shranjene podatke lahko ukradli, jih ni mogoče uporabiti za povratni inženiring vašega obraza ali prstnega odtisa.

"Ključ za zaščito osebne identitete in digitalnih sredstev so najmanj trije dejavniki avtentikacija: nekaj, kar poznate, nekaj, kar ste, in nekaj, kar imate,« PR in finančna tehnologija specialist Tiffany Rodriguez povedal Lifewire po e-pošti. »Eno geslo ali biometrična ni zaščitni zid, potreben za preživetje. Vklop večfaktorske avtentikacije zagotavlja več zaščitnih sten in zmanjšuje možnosti vdorov. Biometrijo je treba dodati kot dodatno plast zaščite in ne le proxy za posredovanje gesla."

Rešitev je, da uporabite nekaj, kot je Apple Pay, kot proxy za vaše biometrične podatke. Tako vam nikoli ne bo treba zaupati podjetju, da bo varno shranilo vaše nenadomestljive prstne odtise, skeniranje šarenice ali nasmešek. Navsezadnje ni tako, da bodo zdaj bolje poskrbeli za te kot za naša gesla, ki redno puščajo na milijone.

To pomeni, da se morate, preden lahko plačate, potrditi pristnost v telefonu, kar je očitno manj priročno kot nasmeh (razen če imate posebej slab dan). A tudi to je pokrito. Uporabniki Apple Watch lahko plačujejo z zamahom zapestja, medtem ko uživajo v biometrični varnosti svojega iPhone-a. Zdi se kot popolna rešitev.