A legfontosabb elvitelek
- A Mastercard új biometrikus fizetési programja lehetővé teszi, hogy a szkennerre mosolyogva fizessen.
- A biometrikus hitelesítés megbízható, de a kockázatok magasak.
- A kényelem és a biztonság egyaránt elérhető.
A Mastercard lehetővé teszi, hogy az üzletekben egyszerűen úgy fizessen, hogy rámosolyog a szkennerre, ami egészen addig szórakoztató, amíg fel nem ismeri az adatvédelmi vonatkozásokat.
A biometria kényelmes módja önmagunk hitelesítésének. Egy súlyos balszerencsét leszámítva mindig veled van a szemed, az arcod, az ujjaid – most a mosolyod –, és készen áll a bevetésre. A fizető cégek kedvelik a biometrikus adatokat, mert a biometrikus adatok elég egyediek ahhoz, hogy funkcionálisan egyediek legyenek, és nehezen hamisíthatók. Szeretjük őket, mert sokkal egyszerűbb egy ujjal fizetni, mint előkotorni a kártyát. De a biometrikus adatoknak vannak olyan katasztrofális árnyoldalai, hogy egyáltalán nem szabad így használnunk.
Még egy probléma a biometrikus adatokkal: nem hibáznak. A jelszavakat meg lehet változtatni, de ha valaki lemásolja az ujjlenyomatát, nincs szerencséje: nem tudja frissíteni a hüvelykujját. A jelszavakat meg lehet védeni felfelé, de ha megváltozik a hüvelykujjlenyomata egy balesetben, akkor elakad” – írja személyes blogjában Bruce Schneier biztonsági legenda.
Könnyen lopható, lehetetlen cserélni
A Mastercards Biometrikus Checkout Programot öt szupermarketben tesztelik a brazíliai São Paulóban. A felhasználók a Payface szolgáltatással regisztrálhatják arcukat, majd a hitelesítő eszközre mosolyogva fizethetnek az üzletekben.
Emlékezhet az Amazon kísérleti tenyérfizetési rendszerére is. Az Amazon One lehetővé teszi, hogy a tenyere szkennelésével fizessen az üzletekben, majd a fizetés a szokásos Amazon fizetési móddal történik. Eddig mosolyogva vagy integetve tudunk fizetni. Nemsokára felkerül a listára az ökölcsapás és a gyenge vállalati ötös.
A biometrikus jelzőket nehéz hamisítani, és még ha le is tud másolni egy ujjlenyomatot vagy egy mosolyt, valószínűleg nem fogja megúszni a gumi hüvelykujj használatát a szupermarketben. Az ujjlenyomatokat azonban könnyű ellopni, akárcsak az arcáról, a kezéről és így tovább készült fényképeket.
És a legrosszabb az egészben, hogy ha az ujjlenyomata sérül, akkor ez az. Amint Schneier rámutat, nem cserélheti ki a hüvelykujját, a szemét vagy az arcát.
Csináld megfelelően
Szerencsére van mód a biometrikus hitelesítés használatára anélkül, hogy kockáztatná ujjlenyomatait, íriszét, mosolyát stb. Valójában előfordulhat, hogy ezt már az Apple Pay használatával vagy egy hasonló okostelefonos fizetési móddal teszi.
Az Apple Pay és a hasonló módszerek a biometrikus ellenőrzést titokban tartják. A hitelesítés Ön és a telefonja között zajlik. Beolvassa az arcát vagy az ujjlenyomatát, és amikor a telefon elfogadja, hogy Ön az Ön személye, továbbítja a jó hírt a fizetési automatának.
Mi több, az arcod vagy az ujjlenyomatod soha nem tárolódik sehol. Amikor például regisztrálja arcát a Face ID szolgáltatásba, a telefon a beolvasások segítségével titkosított proxyt vagy hash-t generál az arcához, amelyet aztán eltárol. Később, amikor feloldja iPhone-ja zárolását, a beolvasás ismét „kivonatolva” történik, és az eredményt összehasonlítjuk a tárolt hash-sel, hogy kiderüljön, egyeznek-e.
Így, még ha a tárolt adatok el is lophatók, nem használhatók az arc vagy az ujjlenyomat visszafejtésére.
"A személyes identitás és a digitális eszközök védelmének kulcsa legalább három hitelesítési tényező: valami, amit ismersz, valami, ami vagy, és valami, amivel rendelkezel" - mondta Adam Lowe, az Arculus alkotója a Lifewire-nek e-mailben.„Egyetlen jelszó vagy biometrikus adat nem a túléléshez szükséges védőfal. A többtényezős hitelesítés bekapcsolása több védőfalat biztosít, és csökkenti a feltörések esélyét. A biometrikus adatokat további védelmi rétegként kell hozzáadni, nem csak a jelszó átadásának proxyját.”
A megoldás az, hogy az Apple Pay-hez hasonlót használj proxyként a biometrikus adatokhoz. Így soha nem kell megbíznia egy cégben, hogy biztonságosan tárolja pótolhatatlan ujjlenyomatait, íriszképeit vagy mosolygó arcát. Végül is nem mintha jobban vigyáznának ezekre, mint jelenleg a jelszavainkra, amelyek rendszeresen milliós nagyságrendben szivárognak ki.
Ez azt jelenti, hogy a fizetés előtt hitelesítenie kell magát a telefonján, ami nyilvánvalóan kevésbé kényelmes, mint mosolyogni (hacsak nincs különösen rossz napja). De még ez is le van fedve. Az Apple Watch felhasználói a csuklójukkal fizethetnek, miközben élvezhetik iPhone-juk biometrikus biztonságát. Tökéletes megoldásnak tűnik.
Javítás 2022-27-05: Frissített forrásmegjelölés a 12. bekezdésben a forrás kérésére.