Ключевые выводы
- Новая программа оплаты биометрических данных Mastercard позволяет вам платить, улыбаясь сканеру.
- Биометрическая аутентификация надежна, но риски высоки.
- Можно иметь и удобство, и безопасность.
Mastercard хочет, чтобы вы платили в магазинах, просто улыбаясь сканеру, что доставляет удовольствие до тех пор, пока вы не осознаете последствия конфиденциальности.
Биометрия - это удобный способ аутентификации. За исключением некоторых серьезных неудач, ваши глаза, ваше лицо, ваши пальцы - теперь ваша улыбка - всегда с вами и готовы к развертыванию. Платежные компании любят биометрию, потому что биометрия достаточно индивидуальна, чтобы быть функционально уникальной, и ее трудно подделать. Нам они нравятся, потому что проще расплачиваться пальцем, чем выкапывать карту. Но у биометрии есть такие катастрофические недостатки, что мы вообще не должны использовать их таким образом.
Еще одна проблема с биометрией: они плохо подводят. Пароли можно изменить, но если кто-то скопирует ваш отпечаток пальца, вам не повезло: вы не можете обновить свой палец. Пароли можно восстановить вверх, но если вы измените отпечаток большого пальца в аварии, вы застряли», - пишет легенда безопасности Брюс Шнайер в своем личном блоге.
Легко украсть, невозможно заменить
Программа биометрических касс Mastercards тестируется в пяти супермаркетах в Сан-Паулу, Бразилия. Пользователи могут зарегистрировать свое лицо с помощью сервиса Payface, а затем расплачиваться в магазинах, улыбаясь устройству аутентификации.
Вы также можете помнить экспериментальную платежную систему Amazon. Amazon One позволяет вам платить в магазинах, сканируя вашу ладонь, после чего платеж извлекается с помощью вашего обычного способа оплаты Amazon. Пока что мы можем платить, улыбаясь или махая рукой. Я не могу дождаться, когда к этому списку добавятся удар кулаком и слабая корпоративная пятерка.
Биометрические индикаторы трудно подделать, и даже если вы можете скопировать отпечаток пальца или улыбку, вам, вероятно, не удастся использовать резиновый палец на кассе в супермаркете. Но отпечатки пальцев легко украсть, как и фотографии вашего лица, ваших рук и так далее.
И хуже всего то, что как только ваш отпечаток пальца скомпрометирован, все. Как указывает Шнайер, вы не можете заменить свой большой палец, глаз или лицо.
Делаем это правильно
К счастью, есть способ использовать биометрическую аутентификацию, не рискуя своими отпечатками пальцев, радужной оболочкой, улыбкой и так далее. На самом деле, возможно, вы уже делаете это с помощью Apple Pay или аналогичного способа оплаты смартфоном.
Apple Pay и аналогичные методы обеспечивают конфиденциальность биометрической проверки. Аутентификация между вами и вашим телефоном. Вы сканируете свое лицо или отпечаток пальца, и когда телефон соглашается, что вы - это вы, он передает хорошие новости платежному автомату.
Более того, ваше лицо или отпечаток пальца никогда и нигде не сохраняются. Например, когда вы регистрируете свое лицо в Face ID, телефон использует эти сканы для создания зашифрованного прокси или хэша для вашего лица, который затем сохраняется. Позже, когда вы разблокируете свой iPhone, сканирование снова «хешируется», и результат сравнивается с сохраненным хешем, чтобы увидеть, совпадают ли они.
Таким образом, даже если сохраненные данные могут быть украдены, их нельзя использовать для реинжиниринга вашего лица или отпечатка пальца.
«Ключом к защите личных данных и цифровых активов является как минимум три фактора аутентификации: что-то, что вы знаете, что-то, чем вы являетесь, и что-то, что у вас есть», - сказал Адам Лоу, создатель Arculus, по электронной почте Lifewire.«Один пароль или биометрия - это не защитная стена, необходимая для выживания. Включение многофакторной аутентификации обеспечивает многоуровневую защиту и снижает вероятность взлома. Биометрия должна быть добавлена как дополнительный уровень защиты, а не просто как прокси для передачи пароля».
Решение состоит в том, чтобы использовать что-то вроде Apple Pay в качестве прокси для ваших биометрических данных. Таким образом, вам никогда не придется доверять компании безопасное хранение ваших незаменимых отпечатков пальцев, сканов радужной оболочки глаза или смайликов. В конце концов, вряд ли они сейчас позаботятся о них лучше, чем о наших паролях, которые регулярно утекают миллионами.
Это означает, что вы должны аутентифицировать себя на своем телефоне, прежде чем вы сможете заплатить, что явно менее удобно, чем улыбка (если у вас не особенно плохой день). Но даже это прикрыто. Пользователи Apple Watch могут расплачиваться движением запястья, наслаждаясь биометрической безопасностью своего iPhone. Это кажется идеальным решением.
Исправление от 27.05.2022: Обновлена ссылка на источник в п.12 по просьбе источника.