Ključni izsledki
- Novi biometrični plačilni program Mastercard vam omogoča plačevanje z nasmehom v skener.
- Biometrična avtentikacija je zanesljiva, vendar so tveganja velika.
- Možno je zagotoviti udobje in varnost.
Mastercard vam želi omogočiti plačevanje v trgovinah samo z nasmehom v optični bralnik, kar je zabavno, dokler se ne zavedate posledic za zasebnost.
Biometrija je priročen način za avtentikacijo. Razen hude smole imate vedno pri sebi oči, obraz, prste – zdaj nasmeh – in pripravljene na uporabo. Plačilna podjetja imajo radi biometrijo, ker je biometrija dovolj individualna, da je funkcionalno edinstvena, in jo je težko ponarediti. Všeč so nam, ker je veliko lažje plačati s prstom kot izkopati kartico. Toda biometrija ima tako katastrofalne slabosti, da je sploh ne bi smeli uporabljati na ta način.
Še ena težava z biometrijo: niso dobre. Gesla je mogoče spremeniti, a če nekdo kopira vaš odtis palca, nimate sreče: svojega palca ne morete posodobiti. Gesla je mogoče podpreti navzgor, a če v nesreči spremeniš odtis palca, si obtičal,« piše varnostna legenda Bruce Schneier na svojem osebnem blogu.
Enostavno ukrasti, nemogoče zamenjati
Mastercards Biometric Checkout Program se testira v petih supermarketih v São Paulu v Braziliji. Uporabniki lahko registrirajo svoj obraz s storitvijo Payface in nato plačujejo v trgovinah tako, da se nasmehnejo napravi za preverjanje pristnosti.
Morda se spomnite tudi Amazonovega eksperimentalnega plačilnega sistema z dlanmi. Amazon One vam omogoča plačevanje v trgovinah s skeniranjem vaše dlani, nato pa se plačilo izvede prek vašega običajnega načina plačila Amazon. Zaenkrat lahko plačamo z nasmehom ali mahanjem. Ne morem čakati dolgo, preden bosta na ta seznam dodana udarec s pestjo in šibko podjetje.
Biometrične indikatorje je težko ponarediti in tudi če lahko kopirate prstni odtis ali nasmeh, se verjetno ne boste izognili poskusu uporabe gumijastega palca na blagajni v supermarketu. Toda prstne odtise je enostavno ukrasti, prav tako fotografije vašega obraza, rok in tako naprej.
In najhuje pri tem je, da ko je vaš prstni odtis ogrožen, je to to. Kot poudarja Schneier, ne morete zamenjati palca, očesa ali obraza.
Naredite to pravilno
Na srečo obstaja način za uporabo biometrične avtentikacije, ne da bi tvegali svoje prstne odtise, šarenico, nasmeh itd. Pravzaprav to morda že počnete z Apple Pay ali podobnim plačilnim sredstvom s pametnim telefonom.
Apple Pay in podobne metode ohranjajo zasebnost biometričnega preverjanja. Preverjanje pristnosti poteka med vami in vašim telefonom. Optično preberete svoj obraz ali prstni odtis in ko se telefon strinja, da ste vi, posreduje dobro novico plačilnemu avtomatu.
Še več, vaš obraz ali prstni odtis ni nikoli nikjer shranjen. Ko na primer vpišete svoj obraz v Face ID, telefon uporabi ta skeniranja za ustvarjanje šifriranega proxyja ali zgoščene vrednosti za vaš obraz, ki se nato shrani. Pozneje, ko odklenete svoj iPhone, se optično branje znova "zgosti" in rezultat primerja s shranjenim zgoščenim, da se ugotovi, ali se ujemajo.
Tako, tudi če bi lahko shranjene podatke ukradli, jih ni mogoče uporabiti za obratno inženirstvo vašega obraza ali prstnega odtisa.
"Ključ do zaščite osebne identitete in digitalnih sredstev so najmanj trije dejavniki avtentikacije: nekaj, kar poznate, nekaj, kar ste, in nekaj, kar imate," je za Lifewire po e-pošti povedal Adam Lowe, ustvarjalec Arculusa.»Eno samo geslo ali biometrija ni zaščitni zid, potreben za preživetje. Vklop večfaktorske avtentikacije zagotavlja več zaščitnih sten in zmanjša možnosti vdorov. Biometrične podatke je treba dodati kot dodatno plast zaščite in ne le posrednik za posredovanje gesla.”
Rešitev je uporaba nečesa podobnega Apple Pay kot posrednika za vaše biometrične podatke. Tako vam nikoli ne bo treba zaupati podjetju, da bo varno shranilo vaše nezamenljive prstne odtise, skeniranje šarenice ali smeška. Navsezadnje ni tako, da bodo zanje poskrbeli bolje kot za naša gesla, ki redno puščajo na milijone.
To sicer pomeni, da se morate pred plačilom potrditi v telefonu, kar je očitno manj priročno kot nasmeh (razen če imate posebej slab dan). Ampak tudi to je pokrito. Uporabniki ure Apple Watch lahko plačujejo z zamahom zapestja, medtem ko uživajo v biometrični varnosti svojega iPhona. Zdi se kot popolna rešitev.
Popravek 27. 5. 2022: posodobljeno pripisovanje vira v odstavku 12 na zahtevo vira.
