Da asporto chiave
- Il nuovo programma di pagamento biometrico di Mastercard ti consente di pagare sorridendo a uno scanner.
- L'autenticazione biometrica è affidabile, ma i rischi sono elevati.
- È possibile avere sia comodità che sicurezza.
Mastercard vuole farti pagare nei negozi semplicemente sorridendo a uno scanner, il che è divertente fino a quando non ti rendi conto delle implicazioni sulla privacy.
La biometria è un modo conveniente per autenticarsi. Salvo qualche grave sfortuna, hai sempre gli occhi, il viso, le dita - ora il tuo sorriso - con te e pronto a schierarti. Le società di pagamento amano la biometria perché la biometria è sufficientemente individuale da essere unica dal punto di vista funzionale e difficile da falsificare. Ci piacciono perché è molto più facile pagare con un dito che estrarre una carta. Ma i dati biometrici hanno svantaggi così disastrosi che non dovremmo usarli affatto in questo modo.
"Un altro problema con i dati biometrici: non funzionano bene. Le password possono essere modificate, ma se qualcuno copia la tua identificazione personale, sei sfortunato: non puoi aggiornare il tuo pollice. È possibile eseguire il backup delle password su, ma se modifichi l'impronta digitale in un incidente, sei bloccato ", scrive la leggenda della sicurezza Bruce Schneier sul suo blog personale.
Facile da rubare, impossibile da sostituire
Il programma di pagamento biometrico Mastercards è in fase di test in cinque supermercati a San Paolo, in Brasile. Gli utenti possono registrare il proprio volto utilizzando il servizio Payface e quindi pagare nei negozi sorridendo al dispositivo di autenticazione.
Ricorderai anche il sistema sperimentale di pagamento palmare di Amazon. Amazon One ti consente di pagare nei negozi scansionando il tuo palmo, dopodiché il pagamento viene estratto tramite il tuo solito metodo di pagamento Amazon. Finora, possiamo pagare sorridendo o salutando. Non posso passare molto tempo prima che il pugno di ferro e il cinque-debole-aziendale- alto-cinque vengano aggiunti a quell'elenco.
Gli indicatori biometrici sono difficili da falsificare e, anche se riesci a copiare un'impronta digitale o un sorriso, probabilmente non riuscirai a farla franca cercando di usare un pollice di gomma alla cassa del supermercato. Ma le impronte digitali sono facili da rubare, così come le foto del tuo viso, delle tue mani e così via.
E la parte peggiore di questo è che una volta che la tua impronta digitale è compromessa, il gioco è fatto. Come sottolinea Schneier, non puoi sostituire il pollice, l'occhio o la faccia.
Farlo correttamente
Fortunatamente, c'è un modo per usare l'autenticazione biometrica senza rischiare le tue impronte digitali, l'iride, il sorriso e così via. In effetti, potresti già farlo con Apple Pay o un metodo di pagamento smartphone simile.
Apple Pay e metodi simili mantengono privata la verifica biometrica. L'autenticazione è tra te e il tuo telefono. Esegui la scansione del tuo viso o dell'impronta digitale e quando il telefono conferma che sei tu, trasmette la buona notizia alla macchina di pagamento.
Inoltre, il tuo volto o l'impronta digitale non vengono mai archiviati da nessuna parte. Quando registri il tuo viso in Face ID, ad esempio, il telefono utilizza tali scansioni per generare un proxy crittografato, o hash, per il tuo viso, che viene quindi archiviato. Successivamente, quando sblocchi il tuo iPhone, la scansione viene nuovamente "hash" e il risultato viene confrontato con l'hash memorizzato per vedere se corrispondono.
Quindi, anche se i dati archiviati potrebbero essere rubati, non possono essere utilizzati per eseguire il reverse engineering del tuo viso o impronta digitale.
"La chiave per proteggere le identità personali e le risorse digitali è un minimo di tre fattori di autenticazione: qualcosa che conosci, qualcosa che sei e qualcosa che hai", ha detto a Lifewire Adam Lowe, creatore di Arculus via e-mail.“Una singola password o un biometrico non è il muro di protezione necessario per sopravvivere. L'attivazione dell'autenticazione a più fattori fornisce più muri di protezione e riduce le possibilità di hack. I dati biometrici devono essere aggiunti come ulteriore livello di protezione e non solo come proxy per il passaggio di una password.”
La soluzione è usare qualcosa come Apple Pay come proxy per i tuoi dati biometrici. In questo modo, non devi mai fidarti di un'azienda per archiviare in modo sicuro le tue insostituibili impronte digitali, scansioni dell'iride o faccine sorridenti. Dopotutto, non è che si prenderanno cura di loro meglio di quanto non facciano le nostre password in questo momento, che regolarmente trapelano a milioni.
Significa che devi autenticarti sul tuo telefono prima di poter pagare, il che è chiaramente meno conveniente che sorridere (a meno che tu non stia passando una giornata particolarmente brutta). Ma anche quello è coperto. Gli utenti di Apple Watch possono pagare con un gesto del polso godendo della sicurezza biometrica del proprio iPhone. Sembra la soluzione perfetta.
Correzione 2022-05-27: Attribuzione della fonte aggiornata nel paragrafo 12 su richiesta della fonte.