Ključni podaci za van
- Novi Mastercardov biometrijski program plaćanja omogućuje vam plaćanje osmijehom na skeneru.
- Biometrijska autentifikacija je pouzdana, ali su rizici visoki.
- Moguće je imati i pogodnost i sigurnost.
Mastercard vam želi omogućiti da plaćate u trgovinama samo smiješeći se skeneru, što je zabavno sve dok ne shvatite implikacije na privatnost.
Biometrija je prikladan način da se autentificiramo. Osim ozbiljne loše sreće, uvijek imate svoje oči, svoje lice, svoje prste - sada i svoj osmijeh - uz sebe, i spremne za aktiviranje. Tvrtke za plaćanje vole biometriju jer je biometrija dovoljno individualna da bude funkcionalno jedinstvena i teško ju je krivotvoriti. Sviđaju nam se jer je puno lakše platiti prstom nego vaditi karticu. Ali biometrija ima tako katastrofalne nedostatke da je uopće ne bismo trebali ovako koristiti.
Još jedan problem s biometrijom: ne griješe dobro. Lozinke se mogu promijeniti, ali ako netko kopira vaš otisak palca, nemate sreće: ne možete ažurirati palac. Lozinke se mogu podržati gore, ali ako promijenite otisak palca u nesreći, zaglavili ste,” piše sigurnosna legenda Bruce Schneier na svom osobnom blogu.
Lako ukrasti, nemoguće zamijeniti
Mastercards Biometric Checkout Program testira se u pet supermarketa u São Paulu, Brazil. Korisnici mogu registrirati svoje lice pomoću usluge Payface i zatim plaćati u trgovinama smiješeći se uređaju za autentifikaciju.
Možda se također sjećate Amazonovog eksperimentalnog sustava plaćanja dlanom. Amazon One vam omogućuje plaćanje u trgovinama skeniranjem vašeg dlana, nakon čega se plaćanje izdvaja putem vašeg uobičajenog načina plaćanja na Amazonu. Zasad možemo platiti osmijehom ili mahanjem. Ne mogu dugo prije nego što se udar šakom i slabo-korporativno davanje-pet dodaju na taj popis.
Biometrijske pokazatelje teško je krivotvoriti, a čak i ako možete kopirati otisak prsta ili osmijeh, vjerojatno se nećete izvući s pokušajem korištenja gumenog palca na blagajni u supermarketu. Ali otiske prstiju je lako ukrasti, kao i fotografije vašeg lica, ruku i tako dalje.
A najgori dio ovoga je da kada jednom vaš otisak prsta bude ugrožen, to je to. Kao što Schneier ističe, ne možete zamijeniti palac, oko ili lice.
Radite to ispravno
Srećom, postoji način da koristite biometrijsku autentifikaciju bez rizika za svoje otiske prstiju, šarenicu, osmijeh i tako dalje. Zapravo, možda to već radite s Apple Payom ili sličnim načinom plaćanja pametnim telefonom.
Apple Pay i slične metode čuvaju privatnost biometrijske provjere. Autentifikacija je između vas i vašeg telefona. Skenirate svoje lice ili otisak prsta, a kada se telefon složi da ste vi vi, prosljeđuje dobru vijest uređaju za plaćanje.
Štoviše, vaše lice ili otisak prsta nikada se nigdje ne pohranjuju. Kada, na primjer, unesete svoje lice u Face ID, telefon koristi ta skeniranja za generiranje šifriranog proxyja ili hash-a za vaše lice, koji se zatim pohranjuje. Kasnije, kada otključate svoj iPhone, skeniranje se ponovno "raspršuje", a rezultat se uspoređuje s pohranjenim raspršivanjem da se vidi podudaraju li se.
Dakle, čak i ako bi pohranjeni podaci mogli biti ukradeni, ne mogu se koristiti za obrnuti inženjering vašeg lica ili otiska prsta.
"Ključ za zaštitu osobnih identiteta i digitalne imovine su najmanje tri faktora autentifikacije: nešto što znate, nešto što jeste i nešto što imate", rekao je Adam Lowe, kreator Arculusa za Lifewire putem e-pošte.“Jedna lozinka ili biometrija nisu zaštitni zid potreban za preživljavanje. Uključivanje multi-factor autentifikacije pruža višestruke zidove zaštite i smanjuje šanse hakiranja. Biometrija se mora dodati kao dodatni sloj zaštite, a ne samo proxy za prosljeđivanje lozinke.”
Rješenje je korištenje nečega poput Apple Paya kao proxyja za vaše biometrijske podatke. Na taj način nikada ne morate vjerovati tvrtki da će sigurno pohraniti vaše nezamjenjive otiske prstiju, skenove šarenice ili smajlića. Naposljetku, nije da će se o njima brinuti bolje nego što to čine za naše lozinke upravo sada, kojih redovito curi u milijunima.
To znači da se morate autentificirati na svom telefonu prije nego što možete platiti, što je očito manje zgodno od osmijeha (osim ako imate posebno loš dan). Ali i to je pokriveno. Korisnici Apple Watcha mogu plaćati pokretom zapešća dok uživaju u biometrijskoj sigurnosti svog iPhonea. Čini se kao savršeno rješenje.
Ispravak 27.05.2022.: Ažurirano pripisivanje izvora u paragrafu 12 na zahtjev izvora.