Clau per emportar
- El nou programa de pagament biomètric de Mastercard us permet pagar somrient a un escàner.
- L'autenticació biomètrica és fiable, però els riscos són alts.
- És possible tenir comoditat i seguretat.
Mastercard vol deixar-te pagar a les botigues només somrient a un escàner, cosa que és divertit fins que t'adones de les implicacions de privadesa.
La biometria és una manera convenient d'autenticar-nos. Excepte una mala sort severa, sempre tens els teus ulls, la teva cara, els teus dits, ara el teu somriure, amb tu i preparats per desplegar-te. A les empreses de pagament els agrada la biometria perquè la biometria és prou individual com per ser funcionalment única i difícil de falsificar. Ens agraden perquè és molt més fàcil pagar amb un dit que treure una targeta. Però la biometria té desavantatges tan desastrosos que no els hauríem d'utilitzar en absolut.
"Un problema més amb la biometria: no fallen bé. Les contrasenyes es poden canviar, però si algú copia la teva empremta digital, no tens sort: no pots actualitzar el teu polze. Es pot fer una còpia de seguretat de les contrasenyes. cap amunt, però si alteres la teva empremta digital en un accident, estàs atrapat", escriu la llegenda de seguretat Bruce Schneier al seu bloc personal.
Fàcil de robar, impossible de substituir
El programa de pagament biomètric Mastercards està provant a cinc supermercats de São Paulo, Brasil. Els usuaris poden registrar la seva cara mitjançant el servei Payface i després pagar a les botigues somrient al dispositiu d'autenticació.
També recordeu el sistema experimental de pagament amb palma d'Amazon. Amazon One us permet pagar a les botigues escanejant el palmell de la mà, i després s'extreu el pagament mitjançant el vostre mètode de pagament habitual d'Amazon. Fins ara, podem pagar somrient o saludant. No puc passar gaire temps abans que s'afegeixin a aquesta llista el primer cop de puny i el feble-corporatiu-high-cinc.
Els indicadors biomètrics són difícils de falsificar i, fins i tot si podeu copiar una empremta digital o un somriure, probablement no us sortireu amb la vostra prova d'utilitzar un polze de goma a la caixa del supermercat. Però les empremtes digitals són fàcils de robar, igual que les fotos de la teva cara, les teves mans, etc.
I el pitjor d'això és que una vegada que la teva empremta digital està compromesa, ja està. Com assenyala Schneier, no pots substituir el polze, l'ull o la cara.
Fent-ho correctament
Afortunadament, hi ha una manera d'utilitzar l'autenticació biomètrica sense posar en risc les empremtes digitals, l'iris, el somriure, etc. De fet, és possible que ja ho feu amb Apple Pay o amb un mètode de pagament similar per a un telèfon intel·ligent.
Apple Pay i mètodes similars mantenen la verificació biomètrica privada. L'autenticació és entre tu i el teu telèfon. T'escaneges la cara o l'empremta digital i, quan el telèfon accepta que ets tu, transmet les bones notícies a la màquina de pagament.
A més, la teva cara o empremta digital no s'emmagatzemen mai enlloc. Quan registreu la vostra cara a Face ID, per exemple, el telèfon utilitza aquestes exploracions per generar un servidor intermediari xifrat, o hash, per a la vostra cara, que després s'emmagatzema. Més tard, quan desbloquegeu el vostre iPhone, l'exploració es torna a "hash" i el resultat es compara amb el hash emmagatzemat per veure si coincideixen.
Per tant, encara que es puguin robar les dades emmagatzemades, no es poden utilitzar per fer enginyeria inversa de la vostra cara o empremta digital.
"La clau per protegir les identitats personals i els actius digitals és un mínim de tres factors d'autenticació: quelcom que saps, quelcom que ets i quelcom que tens", va dir Adam Lowe, creador d'Arculus a Lifewire per correu electrònic."Una contrasenya única o una biomètrica no és el mur de protecció necessari per sobreviure. L'activació de l'autenticació multifactor proporciona múltiples parets de protecció i redueix les possibilitats de pirateig. La biometria s'ha d'afegir com a capa addicional de protecció i no només com a proxy per passar una contrasenya."
La solució és utilitzar alguna cosa com Apple Pay com a intermediari per a les vostres dades biomètriques. D'aquesta manera, mai no haureu de confiar en una empresa per emmagatzemar de manera segura les vostres empremtes digitals insubstituïbles, exploracions de l'iris o cara somrient. Al cap i a la fi, no és com si tinguessin més cura d'aquestes que no pas de les nostres contrasenyes en aquest moment, que habitualment es filtren milions.
Vol dir que us heu d'autenticar al vostre telèfon abans de poder pagar, cosa que és clarament menys convenient que somriure (tret que tingueu un dia especialment dolent). Però fins i tot això està cobert. Els usuaris d'Apple Watch poden pagar amb l'onada d'un canell mentre gaudeixen de la seguretat biomètrica del seu iPhone. Sembla la solució perfecta.
Correcció 2022-05-27: s'ha actualitzat l'atribució de la font al paràgraf 12 a petició de la font.