Ключови изводи
- Новата биометрична програма за плащане на Mastercard ви позволява да плащате, като се усмихвате на скенер.
- Биометричното удостоверяване е надеждно, но рисковете са високи.
- Възможно е да имате едновременно удобство и сигурност.
Mastercard иска да ви позволи да плащате в магазини само като се усмихнете на скенера, което е забавно, докато не осъзнаете последиците за поверителността.
Биометрията е удобен начин да се удостоверим. С изключение на сериозен лош късмет, винаги имате очите, лицето си, пръстите си - сега и усмивката си - със себе си и сте готови за разгръщане. Разплащателните компании харесват биометричните данни, защото биометричните данни са достатъчно индивидуални, за да бъдат функционално уникални и трудни за подправяне. Харесваме ги, защото е много по-лесно да плащате с пръст, отколкото да извадите карта. Но биометричните данни имат толкова катастрофални недостатъци, че изобщо не трябва да ги използваме по този начин.
Още един проблем с биометричните данни: те не се провалят добре. Паролите могат да се променят, но ако някой копира отпечатъка ви, нямате късмет: не можете да актуализирате палеца си. Паролите могат да бъдат подкрепени нагоре, но ако промените отпечатъка на палеца си при злополука, вие сте блокирани,” пише легендата по сигурността Брус Шнайер в личния си блог.
Лесно за кражба, невъзможно за замяна
Програмата Mastercards Biometric Checkout се тества в пет супермаркета в Сао Пауло, Бразилия. Потребителите могат да регистрират лицето си с помощта на услугата Payface и след това да плащат в магазините, като се усмихват на устройството за удостоверяване.
Може да си спомните и експерименталната система за плащане с длан на Amazon. Amazon One ви позволява да плащате в магазини, като сканирате дланта си, след което плащането се извлича чрез обичайния ви метод на плащане в Amazon. Засега можем да плащаме с усмивка или махане. Не мога да изчакам дълго преди ударът с юмрук и слабите корпоративни дай пет да бъдат добавени към този списък.
Биометричните индикатори са трудни за фалшифициране и дори да можете да копирате пръстов отпечатък или усмивка, вероятно няма да се измъкнете, опитвайки се да използвате гумен палец на касата в супермаркета. Но пръстовите отпечатъци са лесни за кражба, както и снимките на лицето, ръцете ви и т.н.
И най-лошата част от това е, че след като вашият пръстов отпечатък е компрометиран, това е всичко. Както отбелязва Шнайер, не можете да замените палеца, окото или лицето си.
Правим го правилно
За щастие, има начин да използвате биометрично удостоверяване, без да рискувате вашите пръстови отпечатъци, ирис, усмивка и т.н. Всъщност може вече да го правите с Apple Pay или подобен метод на плащане със смартфон.
Apple Pay и подобни методи запазват биометричната проверка поверителна. Удостоверяването е между вас и вашия телефон. Сканирате лицето или пръстовия си отпечатък и когато телефонът приеме, че сте вие, той предава добрата новина на платежната машина.
Нещо повече, вашето лице или пръстов отпечатък никога не се съхранява никъде. Когато регистрирате лицето си във Face ID, например, телефонът използва тези сканирания, за да генерира криптиран прокси или хеш за лицето ви, който след това се съхранява. По-късно, когато отключите вашия iPhone, сканирането се „хешира“отново и резултатът се сравнява със съхранения хеш, за да се види дали съвпадат.
По този начин, дори ако съхранените данни могат да бъдат откраднати, те не могат да бъдат използвани за обратно инженерство на вашето лице или пръстов отпечатък.
„Ключът към защитата на личните самоличности и цифровите активи са минимум три фактора за удостоверяване: нещо, което знаете, нещо, което сте, и нещо, което имате“, каза Адам Лоу, създател на Arculus, пред Lifewire по имейл.„Единствената парола или биометрични данни не са защитната стена, необходима за оцеляване. Включването на многофакторно удостоверяване осигурява множество стени за защита и намалява шансовете за хакове. Биометричните данни трябва да бъдат добавени като допълнителен слой на защита, а не просто прокси за предаване на парола.“
Решението е да използвате нещо като Apple Pay като прокси за вашите биометрични данни. По този начин никога не се налага да се доверявате на компания, която да съхранява безопасно вашите незаменими пръстови отпечатъци, сканирания на ириса или усмихнато лице. В края на краищата, не е като да се грижат по-добре за тях, отколкото за паролите ни в момента, които редовно изтичат в милиони.
Това означава, че трябва да се удостоверите на телефона си, преди да можете да платите, което очевидно е по-малко удобно от усмивката (освен ако нямате особено лош ден). Но дори и това е покрито. Потребителите на Apple Watch могат да плащат с махване на китката, докато се наслаждават на биометричната сигурност на своя iPhone. Изглежда като идеалното решение.
Корекция 27.05.2022 г.: Актуализирано приписване на източника в параграф 12 по искане на източника.