Den 20. april annonserte MasterCard utgivelsen av sine nye biometriske debetkort i Sør-Afrika. Kortutstederen ønsker å bruke landet som testmulighet for å gjøre justeringer og modne teknologien før den blir utvidet til andre land.

Til tross for den generelt positive mottakelsen fra folk som formentlig ville ha muligheten til å gjøre betalinger raskere enn noensinne, må man spørre om fingeravtrykk er nødvendigvis sikrere enn gammeldags PIN-nummer. Tross alt er det ikke gitt at autentiseringsmetoder som er mer praktiske og futuristiske gir mer effektiv sikkerhet.

Biometrisk autentisering er en sterk trend

Metoden for å bruke et passord for å få tilgang til privilegert informasjon har eksistert siden tilbake da gamle sentries ville utfordre overtredere til å gjenta et uttrykk for å avgjøre om de skulle tillate dem eller ikke. I den digitale tidsalderen var de en billig og enkel måte å opprettholde sikkerheten til brukerkontoer. Autentisering via fingeravtrykk var vanligvis bare av interesse for store selskaper og statlige institusjoner.

Alt dette ble slått på hodet etter Apple, og Samsung startet en-opping hverandre med fingeravtrykkskannere på sine telefoner. Siden da har det vært en trend å inkludere biometrisk autentisering på ulike high-end produkter. Samsungs nyeste Galaxy S8 inkluderer selv en iris-skanner.

Folk har en tendens til å stole på denne typen autentisering fordi den er unik . Det er trygt å anta at en ville hacker ikke vil ha samme fingeravtrykk eller iris-mønster som du gjør. Det er en viss følelse av trygghet med å vite at du er "biologisk bundet" til enheter og kontoer, noe som trolig er en av årsakene til at MasterCard bestemte seg for å bruke denne tilliten og implementere en fingeravtrykkskanner rett på kortene sine for å sikre sikker PIN- mindre utbetalinger mulig.

Hvorfor er det grunn til å være bekymret

MasterCards siste trekk reiser også noen spørsmål om hvorvidt noe så intimt som bankkontoen din burde være bundet til et fingeravtrykk i stedet for et PIN-nummer. Først virker det som en god strategi. Hva kan muligens være tryggere enn fingeravtrykk? Det tradisjonelle firesifrede PIN-nummeret har 10.000 mulige variasjoner (0000-9999), mens et fingeravtrykk har flere milliarder mulige permutasjoner. Du vil ha en vanskeligere tid å gjette sistnevnte.

Det er et lite problem med den logikken: Tyver og hackere prøver sjelden å gjenkjenne autentiseringsdetaljer for et kort de bare stjal. Det tar for mye energi, og mange kort blir låst ut etter et visst antall mislykkede forsøk. Å stjele legitimasjonene eliminerer gjetningen. Det viser seg at du bare kan få en persons PIN-kode gjennom en rekke smarte metoder som å installere et falsk tastatur på en minibank eller bare se på offeret, skriver det fra over skulderen.

Fra begynnelsen ser det ut til at PIN-tallene er markant mindre sikre enn biometri. Fingeravtrykk kan ikke bli stjålet, ikke sant?

Feil.

Faktisk er det ganske enkelt å stjele et fingeravtrykk. En kjent hacker, kalt Jan Kissler, klarte å trekke fingeravtrykksdata fra høyoppløselige bilder av Tysklands forsvarsminister Ursula von der Leyen og reprodusere det godt nok for å få tilgang til noen av hennes biometrisk låste data.

Forsøk på å gjøre fingeravtrykkskannere mer robuste ved å kartlegge vene mønstre i fingrene, ble også gjort ubrukelige etter at sveitsiske forskere brukte spesielle bildebehandlingsteknikker for å omgå denne metoden. Og selvfølgelig kan vi ikke glemme brudd på US Office of Personnel Management i juli 2015 da hackere stjal 21, 5 millioner trygdeordninger. Sammen med dataene stjal de også fingeravtrykkene på 5, 6 millioner mennesker.

Og her er hvorfor det gjelder

Når en massiv database som den jeg nettopp nevnte brytes, og hackere klarer å stjele passord, er effektene ganske alvorlige, men du kan forhindre at skaden sprer seg ved å endre passordet ditt raskt. Men hva om fingeravtrykk er stjålet? Hvordan endrer du det?

Her er kjernen i problemet: Ditt fingeravtrykk er et uigenkallelig stykke data. Du er født med det, og det er det du har for resten av livet ditt. Det samme gjelder for iris eller annen biometrisk identifikator. Det beste du kan gjøre er å bytte fingre, men du har bare ti av dem. Hvis du er et profilert mål eller har mange høyoppløselige bilder publisert på nettet, kan du virkelig ikke unnslippe virkeligheten som dette presenterer.

Som det viser seg, er biometrisk autentisering mest effektiv når den brukes i et svært følsomt og sikkert miljø av personer som ikke har veldig offentlige liv (f.eks. Regjeringsagenter). Som en del av forbrukerteknologi er det en bekvemmelighet som potensielt ofrer sikkerhet. Ironisk nok blir fingeravtrykket ditt mindre trygt ettersom du blir en mer offentlig person.

Som det står i dag, kan all tro på biometri vise seg å være en tikkende bombe som vil nå en tilstand av entropi om noen år når hackere vil se for å få tilgang til store fingeravtrykk / iris-databaser.

Tror du det finnes måter å gjøre biometrisk autentisering sikrere for bruk i forbrukerteknologi? Fortell oss alt om det i en kommentar!