Kluczowe dania na wynos
- Nowy program płatności biometrycznych Mastercard umożliwia płacenie uśmiechem do skanera.
- Uwierzytelnianie biometryczne jest niezawodne, ale ryzyko jest wysokie.
- Można mieć zarówno wygodę, jak i bezpieczeństwo.
Mastercard umożliwia płacenie w sklepach tylko poprzez uśmiechanie się do skanera, co jest zabawne, dopóki nie zdasz sobie sprawy z konsekwencji związanych z prywatnością.
Biometria to wygodny sposób na uwierzytelnienie się. Poza pewnym pechem, zawsze masz przy sobie oczy, twarz, palce - teraz uśmiech - i gotowe do użycia. Firmy płatnicze lubią biometrię, ponieważ biometria jest na tyle indywidualna, że jest funkcjonalnie unikalna i trudna do podrobienia. Lubimy je, bo o wiele łatwiej jest zapłacić palcem niż wygrzebywać kartę. Ale biometria ma tak katastrofalne wady, że w ogóle nie powinniśmy ich używać w ten sposób.
Jeszcze jeden problem z biometrią: nie zawodzą dobrze. Hasła można zmienić, ale jeśli ktoś skopiuje Twój odcisk palca, nie masz szczęścia: nie możesz zaktualizować swojego kciuka. Hasła mogą być zabezpieczone w górę, ale jeśli zmienisz odcisk kciuka w wypadku, utkniesz”, pisze legenda bezpieczeństwa Bruce Schneier na swoim osobistym blogu.
Łatwy do kradzieży, niemożliwy do zastąpienia
Mastercards Biometric Checkout Program jest testowany w pięciu supermarketach w São Paulo w Brazylii. Użytkownicy mogą zarejestrować swoją twarz za pomocą usługi Payface, a następnie płacić w sklepach, uśmiechając się do urządzenia uwierzytelniającego.
Możesz również pamiętać eksperymentalny system płatności palmowych Amazona. Amazon One pozwala płacić w sklepach, skanując dłoń, po czym płatność jest pobierana za pomocą zwykłej metody płatności Amazon. Do tej pory możemy płacić uśmiechem lub machaniem. Nie mogę poczekać, aż pierwsza pięść i słaba piątka firmowa zostaną dodane do tej listy.
Wskaźniki biometryczne są trudne do podrobienia, a nawet jeśli potrafisz skopiować odcisk palca lub uśmiech, prawdopodobnie nie ujdzie ci na sucho próba użycia gumowego kciuka przy kasie w supermarkecie. Ale odciski palców można łatwo ukraść, podobnie jak zdjęcia Twojej twarzy, dłoni itd.
A najgorsze jest to, że gdy Twój odcisk palca zostanie naruszony, to wszystko. Jak wskazuje Schneier, nie można zastąpić kciuka, oka ani twarzy.
Zrób to właściwie
Na szczęście istnieje sposób na korzystanie z uwierzytelniania biometrycznego bez narażania odcisków palców, tęczówki, uśmiechu i tak dalej. W rzeczywistości możesz już to robić za pomocą Apple Pay lub podobnej metody płatności smartfonem.
Apple Pay i podobne metody zapewniają prywatność weryfikacji biometrycznej. Uwierzytelnianie odbywa się między Tobą a Twoim telefonem. Skanujesz swoją twarz lub odcisk palca, a gdy telefon zgadza się, że jesteś Tobą, przekazuje dobrą wiadomość do automatu płatniczego.
Co więcej, Twoja twarz lub odcisk palca nigdy nie są nigdzie przechowywane. Gdy na przykład zarejestrujesz swoją twarz w Face ID, telefon użyje tych skanów do wygenerowania zaszyfrowanego serwera proxy lub skrótu dla Twojej twarzy, który jest następnie przechowywany. Później, gdy odblokujesz iPhone'a, skan jest ponownie "haszowany", a wynik porównywany z zapisanym hashem, aby sprawdzić, czy pasują.
Dlatego nawet jeśli przechowywane dane mogą zostać skradzione, nie można ich użyć do inżynierii wstecznej twarzy lub odcisku palca.
„Kluczem do ochrony tożsamości osobistej i zasobów cyfrowych są co najmniej trzy czynniki uwierzytelniania: coś, co wiesz, coś, czym jesteś i coś, co masz” – powiedział Lifewire Adam Lowe, twórca Arculus.„Pojedyncze hasło lub dane biometryczne nie są murem ochronnym potrzebnym do przetrwania. Włączenie uwierzytelniania wieloskładnikowego zapewnia wiele ścian ochrony i zmniejsza ryzyko włamań. Dane biometryczne należy dodać jako dodatkową warstwę ochrony, a nie tylko proxy do przekazywania hasła.”
Rozwiązaniem jest użycie czegoś takiego jak Apple Pay jako proxy dla danych biometrycznych. W ten sposób nigdy nie musisz ufać firmie, że bezpiecznie przechowa Twoje niezastąpione odciski palców, skany tęczówki lub uśmiechniętą buźkę. W końcu to nie jest tak, że teraz będą się nimi lepiej zajmować niż teraz z naszymi hasłami, które regularnie przeciekają w milionach.
Oznacza to, że musisz uwierzytelnić się na telefonie, zanim będziesz mógł zapłacić, co jest wyraźnie mniej wygodne niż uśmiechanie się (chyba że masz szczególnie zły dzień). Ale nawet to jest objęte. Użytkownicy Apple Watch mogą płacić machnięciem nadgarstka, ciesząc się biometrycznym bezpieczeństwem swojego iPhone'a. Wydaje się, że to idealne rozwiązanie.
Korekta 27.05.2022: Zaktualizowano przypisanie źródła w akapicie 12 na żądanie źródła.
