Zamiast loginu, hasła i tokenu – odcisk palca. Metody biometryczne zdobywają popularność w poświadczaniu tożsamości, wykorzystywanym m.in. podczas płatności online. Nie są jednak pozbawione wad.

Skan linii papilarnych lub układu naczyń krwionośnych w palcu wskazującym już dzisiaj stanowią dodatkowe zabezpieczenie podczas realizowania transakcji z użyciem smartfonów. Technologię tę wykorzystują m.in. Meritum Bank i Bank Millennium. Prawdopodobnie niedługo autoryzacja będzie możliwa również dzięki skanowaniu tęczówki za pomocą wbudowanej kamery. Firma Fujitsu wprowadziła to rozwiązanie do swojego smartfona Arrows NX F-04G, z którego mogą korzystać na razie tylko mieszkańcy Japonii. Skaner źrenicy pozwala na odblokowanie telefonu czy logowanie się do niektórych serwisów.

Biometria: to już działa

Na początku 2015 r. Tech Federal Credit Union i MasterCard ogłosiły rozpoczęcie pierwszego amerykańskiego pilotażowego programu płatności biometrycznych. Koncepcja, która jest określana jako „Selfie Pay”, dąży do tego, aby każda płatność – nieważne czy osobista, czy online – była wyjątkowo zabezpieczona. W Wielkiej Brytanii bank Barclays już wdrożył technologię rozpoznawania głosu dla klientów korzystających z usług bankowości telefonicznej.

Jak jednak wygląda sprawa bezpieczeństwa metody uwierzytelniania w oparciu o rozpoznawanie głosu? Jak mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET, istnieje kilka potencjalnych rodzajów ataków na użytkowników wykorzystujących to rozwiązanie.

Pierwszy i zarazem najłatwiejszy polega na nagraniu głosu użytkownika, a następnie odtworzeniu go podczas przeprowadzanej przez system autoryzacji. Taki atak ma jednak małe szanse powodzenia – nie zadziała, gdy system rozpoznawania głosu zadaje użytkownikowi do wypowiedzenia za każdym razem inną, unikalną frazę – wyjaśnia Sadkowski.

Zaznacza, że bardziej wyrafinowane techniki polegają na konwersji głosu: cyberprzestępca wypowiada zadaną frazę, a jego głos zostaje przekształcony w taki sposób, by naśladował głos użytkownika. Do konstrukcji systemu potrzebne są jednak próbki nagrań wypowiedzi użytkownika.

Biometria znalazła zastosowanie również w Polsce. 1730 bankomatów niezależnej sieci Planet Cash zostało wyposażonych w czytnik układu naczyń krwionośnych palca, umożliwiając klientom wypłatę pieniędzy z bankomatu bez użycia karty czy numeru PIN. Takie automaty płatnicze znajdują się również w Szwecji.

Użytkownicy są za

Zastosowanie biometrii jako metody uwierzytelniania może być niepokojące dla niektórych osób, jednak większość użytkowników akceptuje taki sposób autoryzacji. Potwierdzają to liczne badania – wyniki ankiety przeprowadzonej przez Visa Europe wykazały, że większość osób w wieku od 16 do 24 lat będzie czuć się bardziej bezpiecznie, gdy metody biometryczne zastąpią tradycyjne hasła i numery PIN. Natomiast z badania przeprowadzonego przez WorldPay wynika, że niemal połowa (49 proc.) europejskich konsumentów widzi płatności biometryczne jako alternatywę dla dotychczasowych metod.

Konieczne są udoskonalenia

Pomimo wygody stosowania i korzystania z zabezpieczeń metodami biometrycznymi, a także mimo stosunkowo wysokiego poziomu bezpieczeństwa tego typu sposobów autoryzacji, eksperci wskazują na kilka niedoskonałości.

„Jednym z głównych problemów w zakresie bezpieczeństwa metod biometrycznych jest to, że pomiar jest używany jako hasło lub kod dostępu. Zamiast tego powinien być traktowany jako dodatkowy dowód tożsamości połączony z numerem PIN” – twierdzi Kamil Sadkowski z ESET. „Przeprowadzone dotychczas badania wybranych mechanizmów biometrycznych rodzą również inne obawy. Na przykład japoński kryptograf Tsutomu Matsumoto był w stanie oszukać systemy bezpieczeństwa linii papilarnych za pomocą gumowego odlewu palca osoby, która była celem ataku. Inne badanie ujawniło luki w przypadku telefonów Samsung Galaxy S5, umożliwiające kradzież cyfrowych odpowiedników odcisków palców” – dodaje Sadkowski.

ZOSTAW ODPOWIEDŹ