Czy biometria to przyszłość bezpiecznych płatności?

Czy biometria to przyszłość bezpiecznych płatności?

Coraz więcej banków (m.in. Meritum Bank i Bank Millenium) używa technologii skanowania linii papilarnych do autoryzacji płatności realizowanych za pośrednictwem smartfonów. Prawdopodobnie niedługo autoryzacja będzie możliwa również dzięki skanowaniu tęczówki za pomocą wbudowanej kamery w urządzeniach mobilnych. Firma Fujitsu wprowadziła właśnie tę technologię do swojego smartfona Fujitsu Arrows NX F-04G, z którego mogą korzystać na razie tylko mieszkańcy Japonii. Skaner źrenicy oka wbudowany w telefon pozwala na odblokowanie smartfona czy logowanie się do niektórych serwisów.

Biometryczna rewolucja o zasięgu światowym

Na początku tego roku Tech Federal Credit Union i MasterCard ogłosili rozpoczęcie pierwszego amerykańskiego pilotażowego programu płatności biometrycznych. Koncepcja, która jest określana jako “Selfie Pay” dąży do tego, aby każda płatność – nieważne czy osobista czy online – była wyjątkowo zabezpieczona. W Wielkiej Brytanii, bank Barclays już wdrożył technologię rozpoznawania głosu dla klientów korzystających z usług bankowości telefonicznej. System ten sprawdza klientów w oparciu o ich wzorce mowy i na razie jest oferowany klientom private bankingu. Dla reszty 12 milionów klientów usługa ta ma być dostępna do końca tego roku.

Jak jednak wygląda sprawa bezpieczeństwa metody uwierzytelniania w oparciu o rozpoznawanie głosu? Jak mówi Kamil Sadkowski, analityk zagrożeń z firmy Eset, istnieje kilka potencjalnych rodzajów ataków na użytkowników wykorzystujących właśnie tę metodę. Pierwszy i zarazem najłatwiejszy sposób ataku polega na nagraniu głosu użytkownika, a następnie odtworzeniu go podczas przeprowadzanej przez system autoryzacji. Taki atak ma jednak małe szanse powodzenia – nie zadziała, gdy system rozpoznawania głosu zadaje użytkownikowi do wypowiedzenia za każdym razem inną, unikalną frazę. Bardziej wyrafinowane techniki ataków polegają na konwersji głosu – atakujący wypowiada zadaną frazę, a jego głos zostaje przekształcony przez system przetwarzania mowy w taki sposób, by naśladował głos użytkownika. Do konstrukcji takiego systemu potrzebne są jednak próbki nagrań wypowiedzi użytkownika.

Biometria znalazła zastosowanie również w Polsce. 1 730 bankomatów niezależnej sieci Planet Cash zostało wyposażonych w czytnik układu naczyń krwionośnych palca, umożliwiając klientom wypłatę pieniędzy z bankomatu bez użycia karty czy numeru PIN. W Szwecji również znajdują się takie automaty płatnicze, które wymagają jedynie układu naczyń krwionośnych palca danej osoby, aby wypłacić jej pieniądze.

Użytkownicy są za

Zastosowanie biometrii jako metody uwierzytelniania może być niepokojące dla niektórych osób, jednak większa część użytkowników akceptuje taki sposób autoryzacji. Potwierdzają to liczne badania – wyniki ankiety przeprowadzonej przez Visa Europe wykazały, że większość osób w wieku od 16 do 24 będzie czuć się bardziej bezpiecznie, gdy metody biometryczne zastąpią tradycyjne hasła i numery PIN. Natomiast badanie przeprowadzone przez WorldPay na początku tego roku wykazało, że 49 procent europejskich konsumentów widzi płatności biometryczne jako alternatywę dla dotychczasowych metod płatności.

Zabezpieczenia biometryczne wciąż wymagają udoskonaleń

Pomimo wygody stosowania i korzystania z zabezpieczeń metodami biometrycznymi, a także mimo stosunkowo wysokiego poziomu bezpieczeństwa tego typu sposobów autoryzacji, eksperci bezpieczeństwa z firmy Eset wskazują na kilka niedoskonałości.

Jednym z głównych problemów w zakresie bezpieczeństwa metod biometrycznych jest to, że pomiar biometryczny jest używany jako hasło lub kod dostępu. Zamiast tego powinien być traktowany jako dodatkowy dowód tożsamości połączony z numerem PIN — mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Przeprowadzone dotychczas badania wybranych mechanizmów biometrycznych rodzą również inne obawy, np. japoński kryptograf Tsutomu Matsumoto był w stanie oszukać systemy bezpieczeństwa linii papilarnych palca za pomocą zrobionego gumowego odlewu palca osoby, która była celem ataku. Dodatkowo we wrześniu ubiegłego roku wyszło na jaw, że Touch ID firmy Apple może zostać oszukany za pomocą fałszywych odcisków palca. Inne badanie ujawniło luki w przypadku telefonów Samsung Galaxy S5, umożliwiające kradzież cyfrowych odpowiedników odcisków palców — dodajeSadkowski.