Sleutel wegneemetes
- Mastercard se nuwe Biometriese Checkout-program laat jou betaal deur vir 'n skandeerder te glimlag.
- Biometriese verifikasie is betroubaar, maar die risiko's is hoog.
- Dit is moontlik om beide gerief en sekuriteit te hê.
Mastercard wil jou in winkels laat betaal deur net vir 'n skandeerder te glimlag, wat pret is totdat jy die privaatheidsimplikasies besef.
Biometrie is 'n gerieflike manier om onsself te verifieer. Behalwe vir 'n paar ernstige ongeluk, het jy altyd jou oë, jou gesig, jou vingers - nou jou glimlag - by jou, en gereed om te ontplooi. Betaalmaatskappye hou van biometrie omdat biometrie individueel genoeg is om funksioneel uniek te wees, en moeilik om te smee. Ons hou van hulle, want dit is baie makliker om met 'n vinger te betaal as om 'n kaart uit te grawe. Maar biometrie het sulke rampspoedige nadele dat ons dit glad nie so moet gebruik nie.
Nog 'n probleem met biometrie: hulle faal nie goed nie. Wagwoorde kan verander word, maar as iemand jou duimafdruk kopieer, is jy ongelukkig: jy kan nie jou duim opdateer nie. Wagwoorde kan gerugsteun word op, maar as jy jou duimafdruk in 'n ongeluk verander, sit jy vas,” skryf veiligheidslegende Bruce Schneier op sy persoonlike blog.
Maklik om te steel, onmoontlik om te vervang
Mastercards Biometric Checkout-program toets in vyf supermarkte in São Paulo, Brasilië. Gebruikers kan hul gesig met die Payface-diens inskryf en dan in winkels betaal deur na die stawingstoestel te glimlag.
Jy onthou dalk ook Amazon se eksperimentele palmbetalingstelsel. Amazon One laat jou in winkels betaal deur jou handpalm te skandeer, waarna betaling via jou gewone Amazon-betaalmetode onttrek word. Tot dusver kan ons betaal deur te glimlag of te waai. Ek kan nie lank wees voordat die vuishou, en die swak-korporatiewe-hoë-vyf, by daardie lys gevoeg word nie.
Biometriese aanwysers is moeilik om te smee, en selfs al kan jy 'n vingerafdruk of 'n glimlag kopieer, sal jy waarskynlik nie wegkom om 'n rubberduim by die supermark se betaalpunt te probeer gebruik nie. Maar vingerafdrukke is maklik om te steel, so ook foto's van jou gesig, jou hande, ensovoorts.
En die ergste hiervan is dat sodra jou vingerafdruk gekompromitteer is, is dit dit. Soos Schneier uitwys, kan jy nie jou duim, oog of gesig vervang nie.
Doen dit reg
Gelukkig is daar 'n manier om biometriese verifikasie te gebruik sonder om jou vingerafdrukke, iris, glimlag, ensovoorts te waag. Trouens, jy doen dit dalk reeds met Apple Pay, of 'n soortgelyke slimfoonbetaalmetode.
Apple Pay, en soortgelyke metodes, hou die biometriese verifikasie privaat. Stawing is tussen jou en jou foon. Jy skandeer jou gesig of vingerafdruk, en wanneer die foon instem dat jy jy is, gee dit die goeie nuus aan die betaalmasjien deur.
Wat meer is, jou gesig of vingerafdruk word nooit nêrens gestoor nie. Wanneer jy byvoorbeeld jou gesig in Face ID inskryf, gebruik die foon daardie skanderings om 'n geënkripteerde instaanbediener, of hash, vir jou gesig te genereer, wat dan gestoor word. Later, wanneer jy jou iPhone ontsluit, word die skandering weer "gehashed" en die resultaat vergelyk met die gestoorde hash om te sien of hulle ooreenstem.
Dus, selfs al kan die gestoorde data gesteel word, kan dit nie gebruik word om jou gesig of vingerafdruk omgekeerd te ontwerp nie.
"Die sleutel tot die beskerming van persoonlike identiteite en digitale bates is 'n minimum van drie faktore van verifikasie: iets wat jy weet, iets wat jy is en iets wat jy het," het Adam Lowe, skepper van Arculus per e-pos aan Lifewire gesê.“’n Enkele wagwoord of’n biometriese syfer is nie die muur van beskerming wat nodig is om te oorleef nie. Die aanskakel van multi-faktor-verifikasie bied veelvuldige mure van beskerming en verminder die kanse op hacks. Biometrie moet bygevoeg word as 'n bykomende laag van beskerming en nie net 'n instaanbediener om 'n wagwoord deur te gee nie.”
Die oplossing is om iets soos Apple Pay as 'n instaanbediener vir jou biometriese data te gebruik. Op dié manier hoef jy nooit 'n maatskappy te vertrou om jou onvervangbare vingerafdrukke, irisskanderings of glimlaggesig veilig te stoor nie. Dit is immers nie asof hulle nou beter vir hulle sal sorg as vir ons wagwoorde nie, wat gereeld in die miljoene uitlek.
Dit beteken wel dat jy jouself op jou foon moet verifieer voordat jy kan betaal, wat duidelik minder gerieflik is as om te glimlag (tensy jy 'n besonder slegte dag het). Maar selfs dit word gedek. Apple Watch-gebruikers kan met die golf van 'n pols betaal terwyl hulle die biometriese sekuriteit van hul iPhone geniet. Dit lyk na die perfekte oplossing.
Regstelling 2022-05-27: Bygewerkte brontoeskrywing in paragraaf 12 op die bron se versoek.