Bài học rút ra chính
- Chương trình Kiểm tra Sinh trắc học mới củaMastercard cho phép bạn thanh toán bằng cách mỉm cười trước máy quét.
- Xác thực sinh trắc học là đáng tin cậy, nhưng rủi ro rất cao.
- Có thể vừa thuận tiện vừa bảo mật.
Mastercard muốn cho phép bạn thanh toán tại các cửa hàng chỉ bằng cách mỉm cười với máy quét, điều này rất thú vị cho đến khi bạn nhận ra những tác động của quyền riêng tư.
Sinh trắc học là một cách thuận tiện để xác thực bản thân. Bỏ qua một số xui xẻo nghiêm trọng, bạn luôn có đôi mắt, khuôn mặt, những ngón tay - nụ cười của bạn và sẵn sàng triển khai. Các công ty thanh toán thích sinh trắc học vì sinh trắc học đủ cá nhân để trở nên độc đáo về mặt chức năng và khó giả mạo. Chúng tôi thích chúng vì cách thanh toán bằng ngón tay dễ dàng hơn so với tìm kiếm bằng thẻ. Nhưng sinh trắc học có những mặt trái tai hại đến mức chúng ta không nên sử dụng chúng như thế này nữa.
Một vấn đề nữa với sinh trắc học: chúng không thành công. Mật khẩu có thể được thay đổi, nhưng nếu ai đó sao chép dấu vân tay của bạn, thì bạn thật không may mắn: bạn không thể cập nhật ngón tay cái của mình. Mật khẩu có thể được sao lưu lên, nhưng nếu bạn thay đổi dấu vân tay của mình trong một vụ tai nạn, bạn sẽ bị mắc kẹt,”huyền thoại bảo mật Bruce Schneier viết trên blog cá nhân của mình.
Dễ trộm, Không thể thay thế
Chương trình kiểm tra sinh trắc họcMastercards đang thử nghiệm tại năm siêu thị ở São Paulo, Brazil. Người dùng có thể đăng ký khuôn mặt của mình bằng dịch vụ Payface và sau đó thanh toán tại các cửa hàng bằng cách mỉm cười với thiết bị xác thực.
Bạn cũng có thể nhớ hệ thống thanh toán bằng cọ thử nghiệm của Amazon. Amazon One cho phép bạn thanh toán tại các cửa hàng bằng cách quét lòng bàn tay của bạn, trong đó thanh toán sau đó được trích xuất thông qua phương thức thanh toán Amazon thông thường của bạn. Cho đến nay, chúng ta có thể thanh toán bằng cách mỉm cười hoặc vẫy tay. Tôi không còn bao lâu nữa trước khi cú va chạm mạnh mẽ và nhóm 5-công ty yếu kém, được thêm vào danh sách đó.
Chỉ số sinh trắc học rất khó giả mạo và ngay cả khi bạn có thể sao chép dấu vân tay hoặc nụ cười, bạn có thể sẽ không bỏ được nếu cố gắng sử dụng ngón tay cái cao su khi thanh toán trong siêu thị. Nhưng dấu vân tay rất dễ bị đánh cắp, cũng như ảnh khuôn mặt, bàn tay của bạn, v.v.
Và điều tồi tệ nhất của điều này là một khi dấu vân tay của bạn bị xâm phạm, đó là điều đó. Như Schneier đã chỉ ra, bạn không thể thay thế ngón tay cái, mắt hoặc khuôn mặt của mình.
Làm đúng cách
May mắn thay, có một cách để sử dụng xác thực sinh trắc học mà không gặp rủi ro về dấu vân tay, mống mắt, nụ cười, v.v. của bạn. Trên thực tế, bạn có thể đang làm điều đó với Apple Pay hoặc một phương thức thanh toán tương tự trên điện thoại thông minh.
Apple Pay và các phương pháp tương tự, giữ cho xác minh sinh trắc học ở chế độ riêng tư. Xác thực là giữa bạn và điện thoại của bạn. Bạn quét khuôn mặt hoặc vân tay của mình và khi điện thoại đồng ý rằng bạn là bạn, nó sẽ chuyển tin tốt lành đến máy thanh toán.
Còn gì nữa, khuôn mặt hoặc dấu vân tay của bạn không bao giờ được lưu trữ ở bất kỳ đâu. Ví dụ: khi bạn đăng ký khuôn mặt của mình trong Face ID, điện thoại sẽ sử dụng các lần quét đó để tạo proxy được mã hóa hoặc hàm băm cho khuôn mặt của bạn, sau đó sẽ được lưu trữ. Sau đó, khi bạn mở khóa iPhone của mình, quá trình quét lại được "băm" và kết quả sẽ được so sánh với hàm băm đã lưu trữ để xem chúng có khớp hay không.
Vì vậy, ngay cả khi dữ liệu được lưu trữ có thể bị đánh cắp, nó không thể được sử dụng để thiết kế ngược khuôn mặt hoặc dấu vân tay của bạn.
“Chìa khóa để bảo vệ danh tính cá nhân và tài sản kỹ thuật số là tối thiểu ba yếu tố xác thực: một cái gì đó bạn biết, một cái gì đó bạn và một cái gì đó bạn có,” Adam Lowe, người tạo ra Arculus nói với Lifewire qua email.“Một mật khẩu hay một sinh trắc học không phải là bức tường bảo vệ cần thiết để tồn tại. Bật xác thực đa yếu tố cung cấp nhiều bức tường bảo vệ và giảm nguy cơ bị tấn công. Sinh trắc học phải được thêm vào như một lớp bảo vệ bổ sung chứ không chỉ là proxy để chuyển mật khẩu.”
Giải pháp là sử dụng một cái gì đó như Apple Pay làm proxy cho dữ liệu sinh trắc học của bạn. Bằng cách đó, bạn không bao giờ phải tin tưởng một công ty để lưu trữ một cách an toàn dấu vân tay, bản quét mống mắt hoặc khuôn mặt cười không thể thay thế của bạn. Xét cho cùng, không phải họ sẽ chăm sóc những mật khẩu đó tốt hơn mật khẩu của chúng tôi ngay bây giờ, mật khẩu này thường xuyên bị rò rỉ hàng triệu.
Điều đó có nghĩa là bạn phải xác thực điện thoại của mình trước khi có thể thanh toán, điều này rõ ràng là kém tiện lợi hơn so với việc mỉm cười (trừ khi bạn đang có một ngày đặc biệt tồi tệ). Nhưng ngay cả điều đó cũng được bảo hiểm. Người dùng Apple Watch có thể thanh toán bằng sóng cổ tay trong khi tận hưởng bảo mật sinh trắc học trên iPhone của họ. Nó có vẻ như là giải pháp hoàn hảo.
Đính chính 2022-27-05: Đã cập nhật ghi công nguồn trong đoạn 12 theo yêu cầu của nguồn.