Key Takeaways
- Mastercardov novi biometrijski program za naplatu omogućava vam da platite nasmiješivši se skeneru.
- Biometrijska autentifikacija je pouzdana, ali su rizici visoki.
- Moguće je imati i udobnost i sigurnost.
Mastercard vam želi omogućiti da plaćate u trgovinama samo nasmiješivši se skeneru, što je zabavno sve dok ne shvatite implikacije privatnosti.
Biometrija je zgodan način da se autentifikujemo. Ako izuzmemo tešku lošu sreću, uvijek imate svoje oči, lice, prste - sada osmijeh - uz sebe i spremni za korištenje. Kompanije za plaćanje vole biometriju jer je biometrija dovoljno individualna da bude funkcionalno jedinstvena i teško ju je krivotvoriti. Sviđaju nam se jer je lakše platiti prstom nego iskopati karticu. Ali biometrija ima tako katastrofalne nedostatke da ih uopće ne bismo trebali ovako koristiti.
Još jedan problem s biometrijom: ne uspijevaju dobro. Lozinke se mogu promijeniti, ali ako neko kopira vaš otisak palca, nemate sreće: ne možete ažurirati svoj palac. Lozinke se mogu podržati gore, ali ako promijenite otisak palca u nesreći, zaglavili ste,” piše legenda sigurnosti Bruce Schneier na svom ličnom blogu.
Lako za ukrasti, nemoguće zamijeniti
Mastercards Biometric Checkout Program se testira u pet supermarketa u Sao Paulu, Brazil. Korisnici mogu prijaviti svoje lice koristeći Payface uslugu, a zatim platiti u trgovinama smiješeći se uređaju za autentifikaciju.
Možda se sećate i Amazonovog eksperimentalnog sistema plaćanja dlanom. Amazon One vam omogućava da plaćate u trgovinama skeniranjem vašeg dlana, nakon čega se plaćanje izdvaja putem vašeg uobičajenog Amazon načina plaćanja. Do sada možemo platiti osmehom ili mahanjem. Ne mogu dugo prije nego što se na tu listu dodaju prvi udarci i slaba-korporativna-daja-pet.
Biometrijske indikatore je teško krivotvoriti, pa čak i ako možete kopirati otisak prsta ili osmijeh, vjerovatno se nećete izvući ako pokušate upotrijebiti gumeni palac na blagajni u supermarketu. Ali otiske prstiju je lako ukrasti, kao i fotografije vašeg lica, vaših ruku i tako dalje.
A najgori dio ovoga je da kada je vaš otisak prsta ugrožen, to je to. Kao što Schneier ističe, ne možete zamijeniti palac, oko ili lice.
Doing It Propisno
Srećom, postoji način da koristite biometrijsku autentifikaciju bez rizika otiska prsta, šarenice, osmijeha i tako dalje. Zapravo, možda to već radite s Apple Pay-om ili sličnim načinom plaćanja na pametnom telefonu.
Apple Pay i slične metode čuvaju privatnost biometrijske verifikacije. Autentifikacija je između vas i vašeg telefona. Skenirate svoje lice ili otisak prsta, a kada telefon potvrdi da ste vi, prosljeđuje dobre vijesti na mašinu za plaćanje.
Štaviše, vaše lice ili otisak prsta se nikada nigdje ne pohranjuju. Kada upišete svoje lice u Face ID, na primjer, telefon koristi ta skeniranja da generiše šifrirani proxy ili hash za vaše lice, koji se zatim pohranjuje. Kasnije, kada otključate svoj iPhone, skeniranje se ponovo "hašira", a rezultat se upoređuje sa pohranjenim hashom kako biste vidjeli da li se podudaraju.
Dakle, čak i ako bi pohranjeni podaci mogli biti ukradeni, ne mogu se koristiti za reverzni inženjering vašeg lica ili otiska prsta.
"Ključ za zaštitu ličnih identiteta i digitalne imovine su najmanje tri faktora autentifikacije: nešto što znate, nešto što jeste i nešto što imate", rekao je Adam Lowe, kreator Arculusa za Lifewire putem e-pošte.“Jedna lozinka ili biometrija nisu zaštitni zid potreban za preživljavanje. Uključivanje višefaktorske autentifikacije pruža višestruke zidove zaštite i smanjuje šanse za hakovanje. Biometrija se mora dodati kao dodatni sloj zaštite, a ne samo proxy za prosljeđivanje lozinke.”
Rješenje je da koristite nešto poput Apple Paya kao proxy za vaše biometrijske podatke. Na taj način nikada ne morate vjerovati nekoj kompaniji koja će sigurno pohraniti vaše nezamjenjive otiske prstiju, skeniranje šarenice ili smješka. Na kraju krajeva, nije da će se oni sada bolje brinuti o njima nego o našim lozinkama, koje redovno cure u milionima.
To znači da se morate autentifikovati na svom telefonu prije nego što možete platiti, što je očito manje zgodno od smiješka (osim ako nemate posebno loš dan). Ali i to je pokriveno. Korisnici Apple Watch-a mogu platiti pokretom ručnog zgloba dok uživaju u biometrijskoj sigurnosti svog iPhone-a. Čini se kao savršeno rješenje.
Ispravka 2022-27-05: Ažurirana atribucija izvora u paragrafu 12 na zahtjev izvora.