Czy płatności odciskiem palca są bezpieczne?

Podczas targów Mobile World Congress w Barcelonie PayPal i Samsung zaprezentowały płatności mobilne z wykorzystaniem technologii biometrycznej. Zamiast podawać login i hasło wystarczy przyłożyć palec do ekranu smartfona. Ma być szybciej i prościej. Czy bezpieczniej?

Najnowszy Samsung Galaxy S5 w połączeniu z aplikacją mobilną PayPal umożliwi dokonywanie płatności mobilnych na odcisk palca. Składając zamówienie w sklepie klient nie będzie musiał wpisywać loginu i hasła do telefonu. Wystarczy, że przyłoży palec do czytnika. Jego unikalny odcisk posłuży jako narzędzie autoryzujące transakcję. O tym, jak technologia ma działać w praktyce, mówi film poniżej:

Komercyjne wdrażanie usługi zacznie się od kwietnia. Docelowo będzie ona dostępna w 26 krajach, w tym w Australii, Brazylii, Hong Kongu, Rosji, Wielkiej Brytanii i Stanach Zjednoczonych.

Jest to pierwsze tego typu wdrożenie umożliwiające dokonywanie płatności mobilnych za pomocą technologii biometrycznej. PayPal i Samsung zapewniają, że korzystanie z tego rozwiązania jest absolutnie bezpieczne. Portfel, który przechowuje informacje, znajduje się w chmurze, a nie bezpośrednio w telefonie. Także w chmurze zachodzi komunikacja między czujnikiem biometrycznym telefonu a aplikacją. Jedyną informacją przechowywaną w telefonie jest zaszyfrowany klucz, który pozwala aplikacji odczytać dane biometryczne z telefonu.

Dane biometryczne są przechowywane tylko w telefonie. W momencie, gdy klient chce dokonać płatności, telefon używa klucza by sprawdzić w systemie PayPala czy dane biometryczne pasują do danych zaszyfrowanych w portfelu. Klient w każdej chwili może odwołać identyfikację biometryczną i wykasować swoje dane.

Przedstawiciele PayPala i Samsunga zapewniają, że identyfikacja biometryczna jest najlepszym dostępnym rozwiązaniem, które gwarantuje bezpieczeństwo i wygodę użytkowania. Nie jest jednak tajemnicą, że czytniki linii papilarnych zainstalowane w telefonach nie są doskonałe. W przypadku iPhone 5s pojawiają się na przykład problemy, kiedy ręka jest brudna albo wilgotna. Czytniki biometryczne można też oszukać. Tuż po debiucie iPhona grupa hakerów pokazała, jak w stosunkowo prosty sposób ominąć zabezpieczenie biometryczne urządzenia. Wykonano fotografię odcisku palca w bardzo wysokiej rozdzielczości, następnie wydrukowano ją na półprzeźroczystej folii, a wydruk pokryto lateksem. Taki szablon oszukał skaner linii papilarnych w iPhone.

 

TUTAJ znajdziemy dokładny proces kopiowania odcisku palca na przykładzie iPhone.

Trudno powiedzieć, czy tego typu metoda zadziała w przypadku kradzieży telefonu Samsunga i próby dokonania transakcji. Wydaje się, że raczej nie będzie to proste. Aby dokonać transakcji trzeba bowiem mieć nie tylko sam skopiowany odcisk palca, ale również konkretny telefon, do którego przypisane są dane biometryczne. Zdobycie tych dwóch elementów wcale nie będzie proste. Wątpliwości może budzić natomiast inna kwestia.

Technologia biometryczna nie jest już nowością w sektorze finansowym. W Polsce wykorzystują ją w oddziałach Bank BPH i Getin Bank. Ten ostatni instaluje też czytniki biometryczne w Getin Point-ach, czyli samoobsługowych stoiskach ustawianych w centrach handlowych (testowaliśmy). Biometrię można też spotkać w bankomatach banków spółdzielczych. Jednak w każdym z wymienionych przypadków dane biometryczne opierają się nie na odcisku palca, a na układzie naczyń krwionośnych w palcu. Innymi słowy, autoryzacji można dokonać tylko takim palcem, w którym krąży krew. W przypadku urządzeń mobilnych stosowane są jedynie proste „graficzne” czytniki danych biometrycznych, które nie są w stanie odczytać układu naczyń krwionośnych. Do autoryzacji wystarczy sam palec.

Napisz do autora: w.boczon@bankier.pl