Klíčové poznatky
- Nový biometrický pokladní program Mastercard vám umožňuje platit úsměvem do skeneru.
- Biometrická autentizace je spolehlivá, ale rizika jsou vysoká.
- Je možné mít pohodlí i bezpečnost.
Mastercard vám chce umožnit platit v obchodech pouhým úsměvem do skeneru, což je zábava, dokud si neuvědomíte důsledky pro soukromí.
Biometrie je pohodlný způsob, jak se ověřit. S výjimkou velké smůly máte oči, tvář, prsty – nyní úsměv – vždy u sebe a připraveni k nasazení. Platební společnosti mají biometrii rády, protože biometrie jsou dostatečně individuální na to, aby byly funkčně jedinečné a těžko se falšovaly. Líbí se nám, protože je mnohem snazší platit prstem než vytahovat kartu. Ale biometrie mají tak katastrofální nevýhody, že bychom je takto používat vůbec neměli.
Ještě jeden problém s biometrií: špatně selhávají. Hesla lze změnit, ale pokud někdo zkopíruje váš otisk palce, máte smůlu: palec nelze aktualizovat. Hesla lze zálohovat nahoru, ale pokud změníte otisk palce při nehodě, uvíznete,“píše bezpečnostní legenda Bruce Schneier na svém osobním blogu.
Snadno ukrást, nelze vyměnit
Program Mastercards Biometric Checkout se testuje v pěti supermarketech v São Paulu v Brazílii. Uživatelé si mohou zaregistrovat svůj obličej pomocí služby Payface a poté platit v obchodech úsměvem na ověřovacím zařízení.
Možná si také vzpomínáte na experimentální systém plateb dlaní od Amazonu. Amazon One vám umožňuje platit v obchodech skenováním vaší dlaně, načež je platba extrahována prostřednictvím vaší obvyklé platební metody Amazon. Zatím můžeme platit úsměvem nebo mávnutím. Nemohu trvat dlouho, než se na tento seznam přidá rána pěstí a slabá-firemní-high-five.
Biometrické indikátory je těžké zfalšovat, a i když dokážete zkopírovat otisk prstu nebo úsměv, pravděpodobně vám neunikne pokus použít gumový palec u pokladny v supermarketu. Ale otisky prstů lze snadno ukrást, stejně jako fotografie vašeho obličeje, rukou atd.
A nejhorší na tom je, že jakmile je váš otisk prstu kompromitován, je to. Jak zdůrazňuje Schneier, nemůžete nahradit palec, oko ani obličej.
Dělám to správně
Naštěstí existuje způsob, jak používat biometrické ověřování, aniž byste riskovali otisky prstů, duhovku, úsměv a tak dále. Ve skutečnosti to možná již děláte s Apple Pay nebo podobnou platební metodou chytrým telefonem.
Apple Pay a podobné metody udržují biometrické ověření soukromé. Autentizace je mezi vámi a vaším telefonem. Naskenujete svůj obličej nebo otisk prstu, a když telefon souhlasí, že jste to vy, předá dobrou zprávu platebnímu automatu.
A co víc, váš obličej ani otisk prstu se nikdy nikam neukládají. Když například zaregistrujete svůj obličej do Face ID, telefon pomocí těchto skenů vygeneruje pro váš obličej šifrovaný proxy server neboli hash, který se pak uloží. Později, když svůj iPhone odemknete, bude skenování znovu „hashováno“a výsledek se porovná s uloženým hashem, aby se zjistilo, zda se shodují.
I kdyby tedy mohla být uložená data odcizena, nelze je použít ke zpětnému inženýrství vašeho obličeje nebo otisku prstu.
„Klíčem k ochraně osobních identit a digitálních aktiv jsou minimálně tři faktory ověřování: něco, co znáte, něco, čím jste, a něco, co máte,“řekl Adam Lowe, tvůrce Arculusu Lifewire e-mailem.„Jedno heslo nebo biometrické údaje nejsou hradbou ochrany potřebnou k přežití. Zapnutí vícefaktorové autentizace poskytuje vícenásobnou ochranu a snižuje šance na hacknutí. Biometrie musí být přidány jako další vrstva ochrany a ne pouze jako proxy pro předávání hesla.“
Řešením je použít něco jako Apple Pay jako proxy pro vaše biometrická data. Nikdy tak nemusíte důvěřovat společnosti, která bezpečně uloží vaše nenahraditelné otisky prstů, skeny duhovky nebo smajlíky. Koneckonců, není to tak, že by se o ně postarali lépe než o naše hesla, kterých pravidelně unikají miliony.
Znamená to, že se musíte před placením ověřit ve svém telefonu, což je zjevně méně pohodlné než úsměv (pokud zrovna nemáte zrovna špatný den). Ale i to je pokryto. Uživatelé Apple Watch mohou platit mávnutím zápěstí a zároveň si užívat biometrického zabezpečení svého iPhonu. Zdá se to jako ideální řešení.
Oprava 27.05.2022: Aktualizováno přiřazení zdroje v odstavci 12 na žádost zdroje.