Біометрія надійна, але ризикувати не варто
- Нова біометрична програма Mastercard дозволяє платити, посміхаючись перед сканером.
- Біометрична аутентифікація надійна, але ризики високі.
- Можна мати обидві зручності і безпеки.
ЛеоПатрізі / Getty Images
Mastercard хоче дозволити вам платити в магазинах просто посміхнувшись сканеру, що весело до тих пір, поки ви не усвідомите наслідки конфіденційності.
Біометрія – це зручний спосіб аутентифікації. За винятком серйозного нещастя, у вас завжди є ваші очі, обличчя, пальці, а тепер ваша посмішка, і готові до розгортання. Платіжні компанії люблять біометричні дані, оскільки біометричні дані досить індивідуальні, щоб бути функціонально унікальними, і їх важко підробити. Нам вони подобаються, тому що простіше платити пальцем, ніж викопувати картку. Але біометричні дані мають такі катастрофічні недоліки, що ми взагалі не повинні використовувати їх у такому вигляді.
«Ще одна проблема з біометричними даними: вони погано працюють. Паролі можна змінити, але якщо хтось скопіює ваш відбиток великого пальця, вам не пощастило: ви не можете оновити свій великий палець. Паролі можна створити резервну копію, але якщо ви змінюєте свій відбиток великого пальця в аварії, ви застрягли", - пише
Легко вкрасти, неможливо замінити
Mastercards Biometric Checkout Program тестується в п’яти супермаркетах Сан-Паулу, Бразилія. Користувачі можуть зареєструвати своє обличчя за допомогою сервісу Payface, а потім платити в магазинах, посміхаючись на пристрій аутентифікації.
Ви також можете згадати Експериментальна система пальмових платежів Amazon. Amazon One дозволяє платити в магазинах шляхом сканування вашої долоні, після чого оплата витягується за допомогою вашого звичайного способу оплати Amazon. Поки що ми можемо платити посміхаючись або махаючи рукою. Незабаром до цього списку додасться перший удар і слабкий корпоративний високий п’ять.
Біометричні індикатори важко підробити, і навіть якщо ви можете скопіювати відбиток пальця або посмішку, вам, напевно, не вдасться спробувати використовувати гумовий великий палець на касі супермаркету. Але відбитки пальців легко вкрасти, як і фотографії вашого обличчя, рук тощо.
І найгірше те, що як тільки ваш відбиток пальця зламаний, це все. Як зазначає Шнайєр, ви не можете замінити великий палець, око чи обличчя.
Робимо це правильно
На щастя, є спосіб використовувати біометричну аутентифікацію, не ризикуючи відбитками пальців, райдужною оболонкою ока, посмішкою тощо. Насправді, можливо, ви вже робите це за допомогою Apple Pay або подібного способу оплати смартфона.
Apple Pay та подібні методи зберігають біометричну перевірку конфіденційною. Аутентифікація відбувається між вами і вашим телефоном. Ви скануєте своє обличчя або відбиток пальця, і коли телефон підтверджує, що це ви, він передає хороші новини платіжному апарату.
Більше того, ваше обличчя чи відбитки пальців ніколи ніде не зберігаються. Коли ви реєструєте своє обличчя Face ID, наприклад, телефон використовує ці сканування для створення зашифрований проксі-сервер або хеш для вашого обличчя, який потім зберігається. Пізніше, коли ви розблокуєте свій iPhone, сканування знову «хешується», а результат порівнюється із збереженим хешем, щоб перевірити, чи збігаються вони.
Бренди та люди / Unsplash
Таким чином, навіть якщо збережені дані можуть бути вкрадені, їх не можна використовувати для зворотного інженерії вашого обличчя або відбитка пальця.
«Ключом до захисту особистих даних і цифрових активів є мінімум три фактори аутентифікація: те, що ти знаєш, те, що ти є, і те, що у тебе є», PR та фінансові технології спеціаліст Тіффані Родрігес повідомив Lifewire електронною поштою. «Один пароль або біометричний код – це не стіна захисту, необхідна для виживання. Увімкнення багатофакторної аутентифікації забезпечує кілька стін захисту та зменшує ймовірність злому. Біометрію необхідно додати як додатковий рівень захисту, а не просто проксі для передачі пароля».
Рішення полягає в тому, щоб використовувати щось на кшталт Apple Pay як проксі для ваших біометричних даних. Таким чином, вам ніколи не доведеться довіряти компанії, яка безпечно зберігає ваші незамінні відбитки пальців, сканування райдужної оболонки або смайлик. Зрештою, не так, щоб вони піклувалися про них краще, ніж про наші паролі прямо зараз, які регулярно витікають мільйонами.
Це означає, що вам потрібно підтвердити автентифікацію на своєму телефоні, перш ніж ви зможете оплатити, що явно менш зручно, ніж посміхатися (якщо у вас особливо поганий день). Але навіть це покривається. Користувачі Apple Watch можуть оплачувати помахом зап’ястя, насолоджуючись біометричною безпекою свого iPhone. Здається, це ідеальне рішення.