Fingeraftrykskannere på MasterCards bankkort - hvad er bekymringen?
Den 20. april meddelte MasterCard udgivelsen af sine nye biometriske betalingskort i Sydafrika. Kortudstederen ønsker at bruge landet som testplads for at foretage tilpasninger og modne teknologien, inden den udvides til andre lande.
På trods af den generelt positive modtagelse fra folk, der formodentlig ville have udsigt til at gøre deres betalinger hurtigere end nogensinde, må man spørge, om fingeraftryk er nødvendigvis mere sikre end gammeldags PIN-numre. Det er trods alt ikke givet, at autentificeringsmetoder, som er mere bekvemme og futuristiske, giver mere effektiv sikkerhed.
Biometrisk godkendelse er en stærk trend
Metoden til at bruge et kodeord for at få adgang til privilegerede oplysninger har eksisteret siden tilbage, da de gamle sentries ville udfordre overtrædelser til at gentage en sætning for at afgøre, om de skulle tillades. I den digitale tidsalder var de en billig og nem måde at opretholde sikkerheden på brugerkonti. Autentificering via fingeraftryk var normalt kun af interesse for store virksomheder og statsinstitutioner.
Alt dette blev tændt på hovedet efter Apple, og Samsung begyndte at skifte hinanden med fingeraftryksscannere på deres telefoner. Siden da har det været en tendens til at inkludere biometrisk autentificering på forskellige high-end produkter. Samsungs nyeste Galaxy S8 indeholder endda en iris-scanner.
Folk har en tendens til at stole på denne form for godkendelse, fordi den er unik . Det er sikkert at antage, at en ville hacker ikke vil have det samme fingeraftryk eller iris-mønster, som du gør. Der er en vis følelse af sikkerhed for at vide, at du er "biologisk bundet" til dine enheder og konti, hvilket sandsynligvis er en af grundene til, at MasterCard besluttede at bruge denne tillid og implementere en fingeraftryksscanner lige på sine kort for at sikre sikker PIN- mindre betalinger mulig.
Hvorfor er der grund til at være bekymret
MasterCards seneste træk rejser også nogle spørgsmål om, hvorvidt noget så intimt som din bankkonto skal knyttes til et fingeraftryk frem for et PIN-kode. Først lader det til en god strategi. Hvad kan muligvis være sikrere end dit fingeraftryk? Det traditionelle firesifrede PIN-nummer har 10.000 mulige variationer (0000-9999), mens et fingeraftryk har flere milliard mulige permutationer. Du ville have en sværere tid at gætte sidstnævnte.
Der er et lille problem med den logik: Tyve og hackere prøver sjældent og gætter autentiseringsoplysningerne på et kort, de lige stjal. Det tager for meget energi, og mange kort bliver låst ud efter et vist antal mislykkede forsøg. At stjæle legitimationsoplysningerne eliminerer gætteriet. Det viser sig, at du bare kan få en persons PIN-kode gennem en række kloge metoder som f.eks. At installere et falsk tastatur på en pengeautomat eller bare se, at offeret skriver det fra over skulderen.
Fra begyndelsen ser det ud til at PIN-numre er markant mindre sikre end biometri. Fingeraftryk kan ikke stjålet, ikke?
Forkert.
Faktisk er stjæle et fingeraftryk faktisk ret nemt. En kendt hacker ved navn Jan Kissler formåede at udtrække fingeraftryk data fra høj opløsning billeder af Tysklands forsvarsminister Ursula von der Leyen og gengive det godt nok til at få adgang til nogen af hendes biometrisk låste data.
Forsøg på at gøre fingeraftryksscannere mere robuste ved at kortlægge vene mønstre inde i fingrene blev også gjort ubrugelige efter, at schweiziske forskere brugte specielle billedteknikker til at omgå denne metode. Og selvfølgelig kan vi ikke glemme bruddet på det amerikanske kontor for personaleledelse i juli 2015, da hackere stjal 21, 5 millioner socialsikringsnumre. Sammen med disse data stjal de også fingeraftryk på 5, 6 millioner mennesker.
Og her er hvorfor det er tilfældet
Når en massiv database som den, jeg netop nævnte, er brudt, og hackere klarer at stjæle adgangskoder, er virkningerne ret alvorlige, men du kan forhindre, at skaden spredes ved hurtigt at ændre din adgangskode. Men hvad nu hvis dit fingeraftryk bliver stjålet? Hvordan ændrer du det?
Her er kernen i problemet: Dit fingeraftryk er et uigenkaldeligt stykke data. Du er født med det, og det er hvad du har for resten af dit liv. Det samme gælder for din iris eller en anden biometrisk identifikator. Det bedste du kan gøre er at skifte fingre, men du har kun ti af dem. Hvis du er et højt profileret mål eller har mange billeder med høj opløsning offentliggjort på internettet, kan du virkelig ikke undslippe den realitet, som dette præsenterer.
Som det viser sig, er biometrisk autentificering mest effektiv, når den bruges i et meget følsomt og sikkert miljø af mennesker, der ikke har meget offentlige liv (f.eks. Regeringsagenter). Som en del af forbrugerteknologi er det en bekvemmelighed, der potentielt ofrer sikkerhed. Ironisk nok bliver dit fingeraftryk mindre sikkert, da du bliver en mere offentlig person.
Som det står i dag, kan alt tro på biometri vise sig at være en tikkende tidsbombe, der vil nå en tilstand af entropi om et par år, hvor hackere vil søge at få adgang til store fingeraftryk / iris-databaser.
Tror du, at der er måder at gøre biometrisk godkendelse mere sikker til brug i forbrugerteknologi? Fortæl os alt om det i en kommentar!