טביעת אצבע סורקים על כרטיסי האשראי של מאסטרקארד - מה הדאגה?
ב -20 באפריל הודיעה מאסטרקארד על שחרור כרטיסי החיוב הביומטרי החדשים שלה בדרום אפריקה. מנפיק הכרטיס רוצה להשתמש במדינה כאזור בדיקה כדי לבצע התאמות ולהבשיל את הטכנולוגיה לפני שהיא מורחבת למדינות אחרות.
למרות קבלת הפנים החיובית בדרך כלל מאנשים שבטח היו נהנים מהסיכוי לבצע את התשלומים מהר יותר מאי פעם, יש לשאול האם טביעות האצבעות הן בהכרח בטוחות יותר ממספרי ה- PIN המיושנים. אחרי הכל, זה לא נתון כי שיטות אימות כי הם נוחים יותר עתידני לספק אבטחה יעילה יותר.
אימות ביומטרי הוא טרנד חזק
השיטה של שימוש בסיסמה כדי לקבל גישה למידע חסוי כבר בסביבה מאז חזרה כאשר זקיפים עתיקים היה לערער מסיגים לחזור על משפט כדי לקבוע אם או לא לאפשר להם לעבור. בעידן הדיגיטלי הם היו דרך זולה וקלה לשמור על הבטיחות של חשבונות משתמשים. אימות באמצעות טביעת אצבע היה בדרך כלל רק עניין לתאגידים גדולים ומוסדות המדינה.
כל זה הופעל על הראש לאחר אפל וסמסונג החלו אחד upping זה עם סורקי טביעות אצבע על הטלפונים שלהם. מאז זה כבר מגמה לכלול אימות ביומטרי על מוצרים שונים high-end. האחרונה של Samsung Galaxy S8 אפילו כולל סורק איריס.
אנשים נוטים לסמוך על סוג זה של אימות כי זה ייחודי . זה בטוח להניח כי האקר יהיה לא יהיה באותו טביעת אצבע או דפוס איריס שאתה עושה. יש תחושה מסוימת של ביטחון בידיעה כי אתה "קשור ביולוגית" למכשירים שלך חשבונות, וזה כנראה אחת הסיבות מדוע מאסטרקארד החליט להשתמש באמון זה וליישם טביעת אצבע סורק הזכות על הקלפים שלה כדי להפוך בטוח, פחות תשלומים אפשריים.
למה יש סיבה להיות מודאג
המהלך האחרון של מאסטרקארד מעלה גם כמה שאלות על השאלה אם משהו אינטימי כמו חשבון הבנק שלך צריך להיות קשור טביעת אצבע ולא מספר PIN. בהתחלה זה נראה כמו אסטרטגיה קול. מה יכול להיות בטוח יותר מאשר טביעת האצבע שלך? מספר ה- PIN המסורתי בן ארבע הספרות מכיל 10, 000 וריאציות אפשריות (0000 - 9999), ואילו לטביעת אצבע יש מספר תמורות אפשריות. יהיה לך קשה יותר לנחש את האחרון.
יש בעיה אחת קטנה עם ההיגיון הזה: גנבים האקרים לעתים רחוקות מנסים לנחש את פרטי האימות של כרטיס הם פשוט גנב. זה לוקח יותר מדי אנרגיה, והרבה קלפים נעולים אחרי מספר מסוים של ניסיונות לא מוצלחים. גניבת אישורים מבטלת את הניחוש. מתברר כי אתה יכול פשוט לקבל מספר PIN של אדם באמצעות מגוון רחב של שיטות חכמות כגון התקנת לוח מקשים מזויפים על כספומט או רק צופה סוג הקורבן אותו מעל הכתף שלהם.
מלכתחילה, נראה כי מספרי PIN הם פחות בטוחים מאשר ביומטריה. לא ניתן לגנוב טביעות אצבע, נכון?
לא בסדר.
למעשה, גניבת טביעת אצבע היא למעשה די קל. האקר ידוע בשם יאן קיסלר הצליח לחלץ נתוני טביעות אצבע מתמונות ברזולוציה גבוהה של שר ההגנה של גרמניה, אורסולה פון דר ליין, ולשכפל אותו מספיק כדי לקבל גישה לכל הנתונים הביומטרי שלה הנעולים.
ניסיונות להפוך את סורקי טביעת האצבע לחזקים יותר על ידי מיפוי דפוסי ורידים בתוך האצבעות נעשו גם הם חסרי תועלת לאחר שחוקרים שוויצרים השתמשו בטכניקות הדמיה מיוחדות כדי לעקוף שיטה זו. וכמובן, אנחנו לא יכולים לשכוח את הפרה של המשרד האמריקאי של ניהול כוח אדם בחודש יולי 2015, כאשר האקרים גנב 21, 500, 000 מספרי ביטוח לאומי. יחד עם נתונים אלה הם גם גנב את טביעות האצבעות של 5.6 מיליון אנשים.
והנה למה זה משנה
כאשר מסד נתונים מסיבי כמו זה שהזכרתי הוא נפרץ והאקרים הצליחו לגנוב סיסמאות, ההשפעות הן חמורות למדי, אבל אתה יכול למנוע את הנזק מלהפיץ על ידי שינוי מהיר של הסיסמה שלך. אבל מה אם טביעת האצבע שלך נגנבה? איך אתה משנה את זה?
הנה עיקר הבעיה: טביעת האצבע שלך היא פיסת נתונים בלתי חוזרת. אתה נולד עם זה, וזה מה שיש לך למשך שארית חייך. כנ"ל לגבי איריס שלך או כל מזהה ביומטרי אחר. הכי טוב שאתה יכול לעשות זה לעבור אצבעות, אבל יש לך רק עשרה מהם. אם אתה פרופיל גבוה או שיש תמונות רבות ברזולוציה גבוהה שפורסמו באינטרנט, אתה באמת לא יכול לברוח מהמציאות זה מציג.
כפי שמתברר, אימות ביומטרי הוא היעיל ביותר כאשר הוא משמש בסביבה רגישה ומאובטחת על ידי אנשים שאין להם חיים ציבוריים מאוד (למשל סוכני הממשלה). כחלק מהטכנולוגיה הצרכנית, זוהי נוחות שעשויים להקריב את האבטחה. באופן אירוני, טביעת האצבע שלך הופכת פחות בטוחה כאשר אתה הופך לאדם ציבורי יותר.
כפי שהיא עומדת היום, לשים את כל האמונה שלך ביומטריה עשוי להוכיח להיות פצצת זמן מתקתק כי יגיע למצב של אנטרופיה בעוד כמה שנים, כאשר האקרים יהיה מחפש כדי לקבל גישה גדול טביעות אצבע / איריס מסדי נתונים.
האם אתה חושב שיש דרכים לעשות אימות ביומטרי בטוח לשימוש בטכנולוגיה הצרכן? ספר לנו הכל על זה הערה!