Czy biometria to przyszłość bezpiecznych płatności?

Czy biometria to przyszłość bezpiecznych płatności?09.12.2015 09:58
Źródło zdjęć: © Kārlis Dambrāns / CC

Eksperci ds. zabezpieczeń stale pracują nad systemami poświadczania tożsamości, wykorzystywanymi m.in. podczas płatności online. Obok znanych i powszechnie stosowanych obecnie loginów, haseł, tokenów sprzętowych czy tokenów SMS, coraz większą popularność zdobywają metody biometryczne, a więc takie, które pozwalają na identyfikację danej osoby na podstawie jej cech fizycznych.

Eksperci bezpieczeństwa z firmy Eset przyjrzeli się bliżej zabezpieczeniom biometrycznym i wskazali potencjalne zagrożenia związane z ich stosowaniem. To, co do niedawna było tylko fantastyką, teraz staje się rzeczywistością. Odcisk palca, układ naczyń krwionośnych w palcu wskazującym już dzisiaj stanowią dodatkowe zabezpieczenie podczas dokonywania płatności.

Coraz więcej banków (m.in. Meritum Bank i Bank Millenium) używa technologii skanowania linii papilarnych do autoryzacji płatności realizowanych za pośrednictwem smartfonów. Prawdopodobnie niedługo autoryzacja będzie możliwa również dzięki skanowaniu tęczówki za pomocą wbudowanej kamery w urządzeniach mobilnych. Firma Fujitsu wprowadziła właśnie tę technologię do swojego smartfona Fujitsu Arrows NX F-04G, z którego mogą korzystać na razie tylko mieszkańcy Japonii. Skaner źrenicy oka wbudowany w telefon pozwala na odblokowanie smartfona czy logowanie się do niektórych serwisów.

Biometryczna rewolucja o zasięgu światowym

Na początku tego roku Tech Federal Credit Union i MasterCard ogłosili rozpoczęcie pierwszego amerykańskiego pilotażowego programu płatności biometrycznych. Koncepcja, która jest określana jako „Selfie Pay" dąży do tego, aby każda płatność – nieważne czy osobista czy online - była wyjątkowo zabezpieczona. W Wielkiej Brytanii, bank Barclays już wdrożył technologię rozpoznawania głosu dla klientów korzystających z usług bankowości telefonicznej. System ten sprawdza klientów w oparciu o ich wzorce mowy i na razie jest oferowany klientom private bankingu. Dla reszty 12 milionów klientów usługa ta ma być dostępna do końca tego roku.

Jak jednak wygląda sprawa bezpieczeństwa metody uwierzytelniania w oparciu o rozpoznawanie głosu? Jak mówi Kamil Sadkowski, analityk zagrożeń z firmy Eset, istnieje kilka potencjalnych rodzajów ataków na użytkowników wykorzystujących właśnie tę metodę. Pierwszy i zarazem najłatwiejszy sposób ataku polega na nagraniu głosu użytkownika, a następnie odtworzeniu go podczas przeprowadzanej przez system autoryzacji. Taki atak ma jednak małe szanse powodzenia – nie zadziała, gdy system rozpoznawania głosu zadaje użytkownikowi do wypowiedzenia za każdym razem inną, unikalną frazę. Bardziej wyrafinowane techniki ataków polegają na konwersji głosu – atakujący wypowiada zadaną frazę, a jego głos zostaje przekształcony przez system przetwarzania mowy w taki sposób, by naśladował głos użytkownika. Do konstrukcji takiego systemu potrzebne są jednak próbki nagrań wypowiedzi użytkownika.

Biometria znalazła zastosowanie również w Polsce. 1 730 bankomatów niezależnej sieci Planet Cash zostało wyposażonych w czytnik układu naczyń krwionośnych palca, umożliwiając klientom wypłatę pieniędzy z bankomatu bez użycia karty czy numeru PIN. W Szwecji również znajdują się takie automaty płatnicze, które wymagają jedynie układu naczyń krwionośnych palca danej osoby, aby wypłacić jej pieniądze.

Użytkownicy są za

Zastosowanie biometrii jako metody uwierzytelniania może być niepokojące dla niektórych osób, jednak większa część użytkowników akceptuje taki sposób autoryzacji. Potwierdzają to liczne badania – wyniki ankiety przeprowadzonej przez Visa Europe wykazały, że większość osób w wieku od 16 do 24 będzie czuć się bardziej bezpiecznie, gdy metody biometryczne zastąpią tradycyjne hasła i numery PIN. Natomiast badanie przeprowadzone przez WorldPay na początku tego roku wykazało, że 49 procent europejskich konsumentów widzi płatności biometryczne jako alternatywę dla dotychczasowych metod płatności.

Zabezpieczenia biometryczne wciąż wymagają udoskonaleń

Pomimo wygody stosowania i korzystania z zabezpieczeń metodami biometrycznymi, a także mimo stosunkowo wysokiego poziomu bezpieczeństwa tego typu sposobów autoryzacji, eksperci bezpieczeństwa z firmy Eset wskazują na kilka niedoskonałości.

- Jednym z głównych problemów w zakresie bezpieczeństwa metod biometrycznych jest to, że pomiar biometryczny jest używany jako hasło lub kod dostępu. Zamiast tego powinien być traktowany jako dodatkowy dowód tożsamości połączony z numerem PIN – mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET. – Przeprowadzone dotychczas badania wybranych mechanizmów biometrycznych rodzą również inne obawy, np. japoński kryptograf Tsutomu Matsumoto był w stanie oszukać systemy bezpieczeństwa linii papilarnych palca za pomocą zrobionego gumowego odlewu palca osoby, która była celem ataku. Dodatkowo we wrześniu ubiegłego roku wyszło na jaw, że Touch ID firmy Apple może zostać oszukany za pomocą fałszywych odcisków palca. Inne badanie ujawniło luki w przypadku telefonów Samsung Galaxy S5, umożliwiające kradzież cyfrowych odpowiedników odcisków palców – dodaje Sadkowski.

Polecamy w wydaniu internetowym chip.pl: Samsung Galaxy S7 ze Snapdragonem 820

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA