MasterCard vuole sostituire le password con i selfie; in che modo migliora la sicurezza? [duplicare]

Come ho chiarito nella mia risposta alla domanda collegata, non sono un fan della biometria, e penso che la ricerca attuale sia d'accordo con me sul fatto che il riconoscimento facciale è un meccanismo di autenticazione scadente.

Detto questo, anche le password hanno i loro problemi. Gli utenti sono piuttosto cattivi nella scelta di buone password, gli utenti riutilizzano le password e gli utenti scrivono le password su carta o in file di testo. Il primo problema può essere attenuato con le regole della password, ma le regole della password potrebbero anche peggiorarla. Gli altri problemi possono essere mitigati solo educando gli utenti, che è costoso e soggetto a errori.

Questi problemi non esistono con la biometria. La sicurezza è completamente nelle tue mani, non c'è modo per l'utente di rovinare.

Come indicato nel comunicato stampa , la nuova funzione è collegata a un'app, quindi è giusto presumere che il meccanismo di autenticazione sia basato su due fattori (quello che hai - il tuo telefono - e quello che sei - il tuo volto -).

Poiché il processo utilizza 2FA, l'utilizzo di dati biometrici può essere abbastanza sicuro. Mentre può sembrare che il settore bancario dovrebbe essere più sicuro di altre transazioni, storicamente, erano piuttosto deboli (pin a 4 cifre per le carte, password limitate a 8 caratteri o meno e così via). Eventuali violazioni della sicurezza sono state gestite in modo diverso (transazioni annullate, ecc.). Il discorso sul "miglioramento della sicurezza" è probabilmente solo marketing.

Dopo aver riflettuto a lungo su questo punto, posso vedere il punto di vista di Mastercard, ma direi che la cosa "più sicura delle password" probabilmente si applica solo al modello di business e alle copie chiuse.

Per prima cosa, ricorda che il modo in cui pagavi con una carta di credito è consegnarlo a qualcuno in un negozio, che creerebbe fisicamente una copia rub-through della carta e ti lascerà andare via con il tuo acquisto. Nessun rischio per te, molto rischio per la compagnia della carta di credito se si scoprisse in seguito che la carta è stata rubata. Ma il rischio era gestibile, perché la maggior parte delle carte non veniva rubata e una carta rubata di tanto in tanto non compensava troppo i guadagni.

Sono arrivati i telefoni e i sistemi di pagamento online, e ora è diventato molto peggio - invece di dover essere fisicamente in possesso di una carta che sembrava legittima, tutto ciò che serviva era un nome, un numero di carta e possibilmente un codice postale. Tutte cose che potrebbero essere facilmente rubate, cercate e condivise online. Non lo so per certo, ma questo deve aver aumentato drasticamente il rischio per le compagnie di carte di credito.

Se Mastercard può stabilire la propria app per smartphone come metodo principale in cui si utilizza la carta di credito per il pagamento (rendendo molto semplice per tutte le parti coinvolte), ci saranno molti meno dettagli di cc rubati in giro.

La combinazione di selfie / app non deve essere perfetta per il suo funzionamento; non deve nemmeno essere molto sicuro. Non importa se puoi ingannare l'app tenendo una foto di qualcuno davanti alla telecamera e così via, perché riguarda l'immagine grande - e nell'immagine grande, i ladri di carte di credito attualmente non rubano carte di credito da raccoglitori di persone e poi li vendono su internet - rubano i dettagli della carta di credito del milione da database online compromessi . Quindi questa è la minaccia di cui hanno bisogno per contrastare maggiormente - preoccuparsi che gli smartphone della gente vengano rubati o maltrattati dai conoscenti semplicemente non sembra molto rilevante rispetto a quello.

Quindi se il tuo gemello malvagio riesce a ingannare la tua app per fargli comprare qualcosa, o un paio di imbroglioni parlare con alcuni conoscenti per prestargli i loro telefoni e riuscire a farne una foto con l'app di pagamento, l'azienda della carta di credito ha vinto Non importa - farà solo quello che ha sempre fatto, e rimborserà la parte danneggiata (e poi recupererà felicemente la perdita da detto malvagio gemello / conoscente, dal momento che i malfattori sono ora socialmente connessi alla vittima e quindi più facili da identificare - ma questo è a parte). Ciò di cui si preoccupa veramente è l'enorme perdita subita da cc info rubate e un'app ragionevolmente sicura che si trova sullo smartphone di ogni cliente utilizzato per i pagamenti online, invece che il cliente che consegna a centinaia di negozi online i suoi dettagli, ridurrà enormemente il rischio per l'azienda della carta di credito.

Quindi direi che non si tratta di sapere se i selfie sono più sicuri delle password o no - penso che il vero motivo per cui lo fanno è perché i selfie sono più veloci e più facili che digitare la password sulla tastiera di uno smartphone, e possibilmente abbastanza user friendly in modo che utilizzare l'app per smartphone per pagare invece di dover accedere a un account online e inserire i dettagli cc diventa preferibile a molti proprietari di cc.

Come sottolinea Tim , il riconoscimento facciale è in realtà parte di un'autenticazione a due fattori in cui l'altro fattore è possesso del telefono. Questo mitiga alcuni dei ben noti problemi con l'utilizzo di dati biometrici per l'autenticazione.

Ma ancora, questo è tutt'altro che sicuro:

• È probabile che anche una persona che ha accesso fisico al telefono abbia accesso a foto (e video) da tenere in mano davanti alla videocamera. Il riconoscimento del volto è abbastanza buono da non lasciarsi ingannare da questo?
• Che mi dici del gemello letterale del male, o solo di un fratello che assomiglia molto a te? La possibilità che qualcuno in possesso del tuo telefono assomigli molto a te è superiore alla possibilità di uno sconosciuto casuale.
• Prendi in prestito un telefono con gli amici, dicendo che hai esaurito la batteria e devi inviare un SMS. Avvia la loro app bancaria e arriva al punto in cui desidera una foto per l'autenticazione. "Oh, adoro il tuo nuovo taglio di capelli, voglio dire al mio parrucchiere che voglio lo stesso". Snap.

L'ultimo potrebbe essere attenuato (consentire solo l'utilizzo della fotocamera anteriore e rendere evidente che il telefono è in modalità di autenticazione e non in modalità fotocamera). Ma i primi due sono difficili da fare.

Dipende dall'implementazione del Sistema di riconoscimento facciale. È molto probabile che un'implementazione tradizionale sia meno sicura delle password.

Come puoi vedere nella pagina di Wikipedia , ci sono tecniche di riconoscimento facciale che hanno lo scopo di prevenire attacco che stai suggerendo, ovvero riconoscimento tridimensionale, analisi della texture della pelle e termocamere. Sui telefoni cellulari e PC, sono possibili la prima e la seconda opzione, mentre la terza non lo è (almeno per ora).

Queste tecniche dovrebbero servire come identificatore biometrico e sono ritenute difficili da falsificare. Sebbene alcuni documenti ( 1 , 2 ) reclamano altrimenti o sono scettici.

Se avessi la scelta, aspetterei un paio di anni per vedere se questo è effettivamente sicuro.