Key takeaways
- Mastercards nye Biometric Checkout-program lader dig betale ved at smile til en scanner.
- Biometrisk autentificering er pålidelig, men risikoen er høj.
- Det er muligt at have både bekvemmelighed og sikkerhed.
Mastercard vil lade dig betale i butikkerne ved blot at smile til en scanner, hvilket er sjovt lige indtil du indser konsekvenserne af privatlivets fred.
Biometri er en bekvem måde at autentificere os selv på. Bortset fra noget alvorligt uheld, har du altid dine øjne, dit ansigt, dine fingre - nu dit smil - med dig og klar til at implementere. Betalingsselskaber kan lide biometri, fordi biometri er individuelle nok til at være funktionelt unikke og svære at forfalske. Vi kan lide dem, fordi det er meget nemmere at betale med en finger end at grave et kort frem. Men biometri har så katastrofale ulemper, at vi slet ikke burde bruge dem på denne måde.
Et problem mere med biometri: de fejler ikke godt. Adgangskoder kan ændres, men hvis nogen kopierer dit tommelfingeraftryk, er du uheldig: du kan ikke opdatere din tommelfinger. Adgangskoder kan sikkerhedskopieres op, men hvis du ændrer dit tommelfingeraftryk i en ulykke, sidder du fast,” skriver sikkerhedslegenden Bruce Schneier på sin personlige blog.
Let at stjæle, umuligt at erstatte
Mastercards Biometric Checkout Program testes i fem supermarkeder i São Paulo, Brasilien. Brugere kan tilmelde deres ansigt ved hjælp af Payface-tjenesten og derefter betale i butikker ved at smile til godkendelsesenheden.
Du husker måske også Amazons eksperimentelle palmebetalingssystem. Amazon One lader dig betale i butikker ved at scanne din håndflade, hvorefter betalingen udtrækkes via din sædvanlige Amazon betalingsmetode. Indtil videre kan vi betale ved at smile eller vinke. Jeg kan ikke vare længe, før knytnævebulen og den svage-virksomheds-high-five bliver tilføjet til den liste.
Biometriske indikatorer er svære at forfalske, og selvom du kan kopiere et fingeraftryk eller et smil, slipper du nok ikke afsted med at prøve at bruge en gummitommel ved kassen i supermarkedet. Men fingeraftryk er nemme at stjæle, ligesom billeder af dit ansigt, dine hænder og så videre.
Og den værste del af dette er, at når først dit fingeraftryk er kompromitteret, så er det det. Som Schneier påpeger, kan du ikke erstatte din tommelfinger, øje eller ansigt.
Gør det ordentligt
Heldigvis er der en måde at bruge biometrisk godkendelse på uden at risikere dine fingeraftryk, iris, smil og så videre. Faktisk gør du det måske allerede med Apple Pay eller en lignende smartphone-betalingsmetode.
Apple Pay og lignende metoder holder den biometriske verifikation privat. Godkendelse er mellem dig og din telefon. Du scanner dit ansigt eller dit fingeraftryk, og når telefonen accepterer, at du er dig, sender den den gode nyhed videre til betalingsautomaten.
Ydermere bliver dit ansigt eller fingeraftryk aldrig gemt nogen steder. Når du for eksempel tilmelder dit ansigt i Face ID, bruger telefonen disse scanninger til at generere en krypteret proxy eller hash til dit ansigt, som derefter gemmes. Senere, når du låser din iPhone op, "hashes" scanningen igen, og resultatet sammenlignes med den gemte hash for at se, om de matcher.
Så selv hvis de lagrede data kan blive stjålet, kan de ikke bruges til at reverse engineering af dit ansigt eller fingeraftryk.
"Nøglen til at beskytte personlige identiteter og digitale aktiver er minimum tre autentificeringsfaktorer: noget du ved, noget du er, og noget du har," sagde Adam Lowe, skaberen af Arculus til Lifewire via e-mail."Et enkelt kodeord eller en biometrisk er ikke den væg af beskyttelse, der er nødvendig for at overleve. Aktivering af multi-faktor-godkendelse giver flere vægge af beskyttelse og reducerer chancerne for hacks. Biometri skal tilføjes som et ekstra lag af beskyttelse og ikke kun en proxy til at videregive en adgangskode."
Løsningen er at bruge noget som Apple Pay som proxy for dine biometriske data. På den måde behøver du aldrig stole på, at en virksomhed sikkert opbevarer dine uerstattelige fingeraftryk, irisscanninger eller smiley. Det er trods alt ikke sådan, at de vil passe bedre på dem, end de gør af vores adgangskoder lige nu, som jævnligt lækker i millioner.
Det betyder, at du skal autentificere dig selv over for din telefon, før du kan betale, hvilket klart er mindre bekvemt end at smile (medmindre du har en særlig dårlig dag). Men selv det er dækket. Apple Watch-brugere kan betale med et håndledsbølge, mens de nyder den biometriske sikkerhed på deres iPhone. Det virker som den perfekte løsning.
Rettelse 2022-05-27: Opdateret kildetilskrivning i afsnit 12 på kildens anmodning.
