Я говорил это много раз: если вы хотите добавить к какой-либо технологии дополнительный уровень удобства, вам придется ослабить ее безопасность. Конечно, это не всегда так, но исключений из этого правила очень мало. Если вы ограничиваете безопасность своих технологий, вы подвергаете себя атакам и кражам. Это так просто. Итак, если мы так боимся опустошения наших банковских счетов, действительно ли это хорошая идея — иметь мобильные платежи, при которых вам не нужно вводить PIN-код? Android Pay, анонсированный Google ранее в 2015 году, имеет форму аутентификации платежей с помощью NFC, которая не требует ввода PIN-кода для ваших карт. Зная, к какому типу вашей аудитории вы относитесь, держу пари, что вам интересно, чем все это закончится и безопасно ли это вообще.
В чем дело?
Стремление к удобству мобильных платежей — буквально одна из самых актуальных проблем в сообществе безопасности. Существует множество попыток сделать их еще более удобными, чем они есть сейчас: самые современные технологии требуют лишь того, чтобы вы положили немного денег в специальный цифровой кошелек, который позволяет совершать платежи «на лету». Примечателен Google Кошелек, хотя он по-прежнему требует ввода PIN-кода. Существует ряд других услуг, которые не требуют дополнительной аутентификации, кроме поднесения вашего физического телефона к платформе торговой точки (деньги передаются, как только телефон приближается к POS).
Google представила новую платформу мобильных платежей, которая полностью исключает использование PIN-кода при транзакции и даже учитывает премиальные баллы за определенные продукты и услуги. Это означает, что платежи станут намного удобнее, но останутся ли они безопасными? Конечно, учитывая, что вы по-прежнему размещаете свое финансовое агентство на мобильном устройстве, вы, возможно, вообще не использовали безопасную платформу для оплаты покупок.
Как Android Pay решает проблему безопасности
К чести Google, похоже, что Android Pay использует биометрическую аутентификацию использует отпечатки пальцев ( см. здесь для ознакомления для биометрии в банковских операциях) в качестве альтернативы PIN-коду. На момент публикации неясно, является ли это опцией по умолчанию, но я склонен полагать, что это не так. Причина в том, что на вашем телефоне может не быть функции распознавания отпечатков пальцев или вы не зарегистрировали профиль отпечатка пальца. Конечно, безопасным вариантом было бы использовать PIN-код в качестве запасного варианта на случай, если у вас не включена функция снятия отпечатков пальцев, и я склонен полагать, что это вполне может быть так.
Собираются ли другие платежные системы последовать этому примеру? Я не уверен. Но существует небольшая проблема с использованием отпечатков пальцев для идентификации себя на стеклянной поверхности, например на сенсорном экране телефона, как показано в видео ниже.
Ведущий вяло утверждает, что этот метод обхода распознавания отпечатков пальцев требует определенного «экспертизы». Это не обязательно так. Скорее, требуется практика, чтобы сделать это правильно. Если у вас на теле более одного пальца и подходящие принадлежности, у вас будет бесконечное количество попыток, прежде чем вы освоите этот метод, если вы достаточно амбициозны. ПИН-номера, по крайней мере, очень сложно угадать, а система ПИН-кода Google Кошелька не позволяла использовать легко угадываемые комбинации (например, последовательные цифры, такие как «1234», или повторяющиеся цифры, такие как «2222»). Хакеру придется потратить гораздо больше усилий на взлом вашего PIN-кода, чем на копирование вашего отпечатка пальца. Если кому-то нужны ваши деньги, он пойдет на все, чтобы их получить.
Каково ваше мнение? Должен ли отпечаток пальца быть всем, что вам нужно для совершения платежа? Это безопаснее, чем использовать PIN-код? Расскажите нам в комментариях!
