20 апреля MasterCard объявила о выпуске свои новые биометрические дебетовые карты в Южной Африке. Эмитент карты хочет использовать эту страну в качестве испытательного полигона, чтобы внести коррективы и усовершенствовать технологию, прежде чем она будет распространена на другие страны.
Несмотря на в целом положительный прием со стороны людей, которые, предположительно, будут рады возможности совершать свои платежи быстрее, чем когда-либо, следует задаться вопросом, обязательно ли отпечатки пальцев более безопасны, чем старомодные PIN-коды. Ведь не факт, что более удобные и футуристические методы аутентификации обеспечивают более эффективную безопасность.
Биометрическая аутентификация — сильная тенденция
Метод использования пароля для получения доступа к конфиденциальной информации существует еще в те времена, когда древние часовые предлагали нарушителям повторить фразу, чтобы определить, пропустить их или нет. В цифровую эпоху они были дешевым и простым способом обеспечить безопасность учетных записей пользователей. Аутентификация посредством снятия отпечатков пальцев обычно интересовала только крупные корпорации и государственные учреждения.
Все это перевернулось с ног на голову после того, как Apple и Samsung начали конкурировать друг с другом, внедряя в свои телефоны сканеры отпечатков пальцев. С тех пор появилась тенденция включать биометрическую аутентификацию в различные высококачественные продукты. Последний Galaxy S8 от Samsung даже оснащен сканером радужной оболочки глаза.
Люди склонны доверять этой форме аутентификации, поскольку она уникальна. Можно с уверенностью предположить, что у потенциального хакера не будет такого же отпечатка пальца или рисунка радужной оболочки глаза, как у вас. Существует определенное чувство уверенности, зная, что вы «биологически привязаны» к своим устройствам и учетным записям, и это, вероятно, является одной из причин, почему MasterCard решила использовать это доверие и внедрить сканер отпечатков пальцев прямо на своих картах, чтобы обеспечить безопасность PIN-кода. возможно меньше платежей.
Почему есть повод для беспокойства
Последний шаг MasterCard также вызывает несколько вопросов о том, следует ли привязывать такую интимную информацию, как ваш банковский счет, к отпечатку пальца, а не к PIN-коду. На первый взгляд это кажется разумной стратегией. Что может быть безопаснее, чем отпечаток пальца? Традиционный четырехзначный PIN-код имеет 10 000 возможных вариантов (0000–9999), тогда как отпечаток пальца имеет несколько миллиардов возможных вариантов. Последнее вам будет сложнее угадать.
С этой логикой есть одна небольшая проблема: воры и хакеры редко пытаются угадать данные аутентификации карты, которую они только что украли. Это требует слишком много энергии, и многие карты блокируются после определенного количества неудачных попыток. Кража учетных данных исключает догадки. Оказывается, вы можете просто получить PIN-код человека с помощью множества хитрых методов, например, установив поддельную клавиатуру на банкомат или просто наблюдая, как жертва набирает его через плечо.
С самого начала может показаться, что PIN-коды значительно менее безопасны, чем биометрия. Отпечатки пальцев нельзя украсть, верно?
Неверно.
На самом деле украсть отпечаток пальца на самом деле довольно легко. Известному хакеру по имени Ян Кисслер удалось извлечь данные отпечатков пальцев из фотографий министра обороны Германии Урсулы фон дер Ляйен в высоком разрешении и воспроизвести их достаточно хорошо, чтобы получить доступ к любым ее биометрическим данным.
Попытки сделать сканеры отпечатков пальцев более надежными путем картирования узоров вен на пальцах также оказались бесполезными после того, как швейцарские исследователи использовали специальные методы визуализации, чтобы обойти этот метод. И, конечно же, мы не можем забыть нарушение требований Управления кадров США в июле 2015 года, когда хакеры украли 21,5 миллиона номеров социального страхования. Помимо этих данных они также украли отпечатки пальцев 5,6 миллиона человек.
И вот почему это важно
Когда огромная база данных, подобная той, которую я только что упомянул, взламывается и хакерам удается украсть пароли, последствия довольно серьезны, но вы можете предотвратить распространение ущерба, быстро сменив пароль. Но что, если ваш отпечаток пальца украдут? Как это изменить?
Вот в чем суть проблемы: ваш отпечаток пальца – это необратимый фрагмент данных. С этим вы рождаетесь, и это то, что у вас есть на всю оставшуюся жизнь. То же самое касается радужной оболочки глаза или любого другого биометрического идентификатора. Лучшее, что вы можете сделать, это поменять пальцы, но их у вас всего десять. Если вы являетесь объектом внимания или у вас много фотографий в высоком разрешении, опубликованных в Интернете, вы действительно не сможете избежать реальности, которую это представляет.
Оказывается, биометрическая аутентификация наиболее эффективна, когда она используется в высокочувствительной и безопасной среде людьми, которые не ведут публичную жизнь (например, правительственными агентами). Как часть потребительских технологий, это удобство, которое потенциально жертвует безопасностью. По иронии судьбы, когда вы становитесь более публичным человеком, ваши отпечатки пальцев становятся менее безопасными.
В нынешнем виде вся ваша вера в биометрию может оказаться бомбой замедленного действия, которая достигнет состояния энтропии через несколько лет, когда хакеры будут стремиться получить доступ к большим базам данных отпечатков пальцев и радужной оболочки глаз..
Как вы думаете, существуют ли способы сделать биометрическую аутентификацию более безопасной для использования в потребительских технологиях? Расскажите нам об этом в комментариях!