Biometria w służbie bezpiecznych płatności

W pogoni za rozwiązaniami mogącymi zwiększyć bezpieczeństwo naszych danych czy zabezpieczyć transakcje online, coraz chętniej skłaniamy się w stronę biometrii. Często widzimy reklamy nowych produktów, które mają być innowacyjne pod względem bezpieczeństwa, z racji wykorzystywania danych biometrycznych, pozwalających na identyfikację danej osoby poprzez cechy fizyczne. Eksperci ESET zastanawiają się nad bezpieczeństwem tych metod uwierzytelniania.

Obecnie w zabezpieczaniu tożsamości, również podczas płatności online, korzystamy z loginów, haseł, tokenów sprzętowych czy tokenów SMS. Widać jednak wyraźny trend do chętnego wykorzystywania metod biometrycznych, takich jak odcisk palca czy układ naczyń krwionośnych pod palcem wskazującym. Choć najpewniej będzie to przyszłość w metodach zabezpieczających, istnieją potencjalne zagrożenia związane z ich stosowaniem.

Biometria wyraźnie zyskuje na popularności. Coraz więcej banków, jak choćby Meritum Bank i Bank Millenium wykorzystuje technologię skanowania linii papilarnych do autoryzacji płatności z poziomu smartfonów. Niedługo również autoryzacja dzięki skanowaniu tęczówki za pomocą wbudowanej kamery w smartfonach i tabletach stanie się codziennością. Choćby Fujitsu w swoim smartfonie Arrows NX F-04G zaimplementowało taką technologię. Podobna funkcjonalność drzemie również w Windows Hello.

Biometryczna rewolucja: globalny zasięg i realne

Na początku bieżącego roku Tech Federal Credit Union wraz z MasterCard ogłosili rozpoczęcie pierwszego amerykańskiego programu płatności biometrycznych. Koncepcja określana jako „Selfie Pay” dąży do tego, by każdorazowa płatność była odpowiednio zabezpieczona. Przykłady? W Wielkiej Brytanii bank Barclays wdrożył technologię rozpoznawania głosu dla klientów bankowości telefonicznej, która sprawdza klientów w oparciu o wzorce mowy.

Jak bezpieczeństwo metody uwierzytelniania w oparciu o rozpoznawanie głosu oceniają eksperci ds. bezpieczeństwa? Kamil Sadkowski z ESET uważa, że istnieje kilka potencjalnych rodzajów ataków, które wykorzystać mogą cyberprzestępcy. Pierwszym i najłatwiejszym jest nagranie głosu użytkownika i odtworzenie nagrania podczas rozmowy z wykorzystaniem systemu autoryzacji. Szanse powodzenia są jednakże nikłe, gdyż podczas autoryzacji użytkownik musi wypowiadać różnego rodzaju frazy, których nie będzie na nagraniu.

Jaką jeszcze metodą posłużyć mogą się hakerzy? Mogą oni polegać na konwersji głosu. Atakujący wypowiada wówczas daną frazę, a jego głos zostaje przekształcony przez system przetwarzania mowy tak, by naśladował głos użytkownika. Tak czy inaczej jednak, zagrożenie nie jest duże, gdyż do konstrukcji tego typu systemu, cyberprzestępcy będą potrzebowali próbki nagrań głosu użytkownika.

Również w Polsce biometryczne rozwiązania zyskują na popularności. Niezależna sieć 1 730 bankomatów firmy Planet Cash została wyposażona w czytnik układu naczyń krwionośnych palca i umożliwia wypłatę pieniędzy z bankomatu bez użycia karty czy numeru PIN. Podobny system zabezpieczeń w automatach płatniczych występuje także w Szwecji.

Użytkownicy są na tak, ale system wymaga udoskonaleń

Co ważne, użytkownicy raczej akceptują ten sposób autoryzacji transakcji. Potwierdzają to wyniki ankiety przeprowadzonej przez Visa Europe, które wykazały, że większość osób w wieku od 16 do 24 lat będzie czuć się bardziej bezpiecznie, gdy metody biometryczne zastąpią tradycyjne loginy, hasła i numery PIN. Z kolei badanie przeprowadzone przez WorldPay na początku bieżącego roku pokazało, że 49 proc. europejskich konsumentów widzi płatności biometryczne jako alternatywą dla dotychczasowych metod.

Mimo oczywistej wygody w wykorzystywaniu zabezpieczeń biometrycznych oraz ich wysokiego poziomu bezpieczeństwa, eksperci bezpieczeństwa z firmy ESET zwracają uwagę na kilka niedoskonałości. - Jednym z głównych problemów w zakresie bezpieczeństwa metod biometrycznych jest to, że pomiar biometryczny jest używany jako hasło lub kod dostępu. Zamiast tego powinien być traktowany jako dodatkowy dowód tożsamości połączony z numerem PIN - mówi Kamil Sadkowski, analityk zagrożeń.

Badania mechanizmów biometrycznych budzą pewne obawy. Jak komentuje Sadkowski: - Japoński kryptograf Tsutomu Matsumoto był w stanie oszukać systemy bezpieczeństwa linii papilarnych palca za pomocą zrobionego gumowego odlewu palca osoby, która była celem ataku. Dodatkowo we wrześniu ubiegłego roku wyszło na jaw, że Touch ID firmy Apple może zostać oszukany za pomocą fałszywych odcisków palca. Inne badanie ujawniło luki w przypadku telefonów Samsung Galaxy S5, umożliwiające kradzież cyfrowych odpowiedników odcisków palców.

Źródło: DAGMA; ESET