Identyfikacja biometryczna — wykorzystująca do uwierzytelniania ludzi unikatowe atrybuty fizyczne, takie jak odciski palców— była przez długi czas uważana za bezpieczną. Technologia ta jest bardzo atrakcyjna dla banków i ich użytkowników, którzy wspólnie tworzą gigantyczny cel dla hakerów.
Wiele banków testuje nowe bankomaty z dostępem biometrycznym — lub planuje wprowadzić takie zmiany.
Z punktu widzenia instytucji ogromną korzyścią metod takich jak skanowanie tęczówki czy analiza układu żył jest fakt, że zmniejszają one współczynnik błędnych odrzuceń (błąd pierwszego rodzaju) i błędnych akceptacji (błąd drugiego rodzaju). Użytkownicy lubią biometrię, ponieważ technologia ta działa szybko i uwalnia ich od haseł i innych tajnych kodów.
Niestety technologia skanowania odcisków palców jest nie tylko masowo rozpowszechniona, ale nie tak wiarygodna, jak być powinna. Na przykład użytkownicy urządzeń z systemem iOS i Android regularnie narzekają na to, że ich gadżety odmawiają odblokowania prawowitym właścicielom — albo że akceptują inne osoby.
A co z bankomatami?
Bankomaty biometryczne nie zostały jeszcze nigdzie zastosowane, lecz nasi eksperci ds. bezpieczeństwa — Olga Koczetowa i Aleksiej Osipow — znaleźli już kilkunastu podziemnych twórców oprogramowania, którzy sprzedają na czarnym rynku biometryczne skimmery. Urządzenia te mają za zadanie kradzież zeskanowanych odcisków palców.
Inni programiści podziemia próbują tworzyć urządzenia, które będą potrafiły przechwytywać wyniki skanowania tęczówki i dopasowywać układ żył. Co więcej, używanie skimmerów to nie jedyny sposób na kradzież biometrycznych danych: ataki Man-in-the-middle oraz im podobne będą tak samo skuteczne, jak są obecnie, gdy korzystamy z nazw użytkowników i haseł.
Oczywiście przestępcy włamują się także na serwery z danymi użytkowników, bez względu na formę tych danych. W tym roku Dropbox stracił dane z około 60 milionów kont, a później serwis Yahoo przyznał się, że wyciekły mu dane 500 milionów użytkowników — a to tylko dwa przykłady z wielu.
Teraz wyobraź sobie, że zamiast haseł firmy te utraciły dane biometryczne swoich klientów. Zmiana haseł może być irytująca, ale jest możliwa — w przeciwieństwie do kodu DNA (a przynajmniej nie tak łatwo).
Ponadto przy użyciu skimmerów biometrycznych przestępcy mogą użyć danych źródłowych do utworzenia fałszywej próbki logowania. Banki będą musiały bardzo starannie opracować standardy bezpieczeństwa, zanim udostępnią bankomaty biometryczne.
Spadek w bezpieczeństwie biometrii
Jako pierwsze z biometrii korzystały rządy, siły bezpieczeństwa i przemysł obronny i w tych obszarach dobrze się ona sprawdziła, przede wszystkim dlatego, że instytucje te stać było na drogie, porządne wyposażenie.
Jednak w przypadku adaptacji biometrii na szeroką skalę widoczny jest spadek jej poziomu bezpieczeństwa. Główną przyczyną takiego stanu rzeczy jest popularność. Po pierwsze chodzi o to, że standardy specyfikacyjne bezpieczeństwa dla towarów konsumenckich są niższe niż tam, gdzie spełnia ono funkcję krytyczną. Po drugie, szeroki wybór niedrogich gadżetów umożliwia cyberprzestępcom przeprowadzanie wielu testów urządzeń konsumenckich i wyszukiwanie coraz więcej luk — dla ich własnej korzyści, oczywiście. Do zwiększenia podatności biometrii na ataki przyczynił się także szybki rozwój druku 3D.
W zeszłym roku ludzie zainstalowali około 6 milionów aplikacji mobilnych, które obsługują uwierzytelnianie przy użyciu odcisku palca. Według organizacji Juniper Research do roku 2019 będziemy używać około 770 milionów takich aplikacji. Do tego czasu uwierzytelnianie biometryczne stanie się powszechne. Inni eksperci są jeszcze bardziej optymistyczni: firma Acuity Market Intelligence wierzy, że do 2020 roku 2,5 miliarda ludzi będzie używać 4,8 miliarda urządzeń wykorzystujących biometrię.
Nadzieja — i zalecenia — na przyszłość
Na szczęście dane biometryczne nie są przechowywane w czystej postaci: na serwer trafiają zahaszowane wyniki skanowania, dzięki czemu ich kradzież nie jest tak atrakcyjna. Niemniej jednak przestępcy wciąż mogą używać metod takich jak wspomniane wyżej ataki man-in-the-middle, w których wchodzą w kanał przesyłania danych pomiędzy bankomat a centrum przetwarzania, aby ukraść pieniądze danej osoby.
Banki i użytkownicy powinni korzystać z bardziej restrykcyjnych środków ochrony przed wyciekiem tradycyjnych loginów, a także zabezpieczać się przed oszustwami wykorzystującymi biometrię. Wygląd bankomatu powinien zostać ulepszony tak aby, niemożliwe było instalowanie skimmerów, a także kontrolowanie bezpieczeństwa sprzętu bankomatu i jego oprogramowania.
Jeśli chodzi o technologię uwierzytelniania biometryczne w ogóle, zalecamy korzystanie z niej ja z drugiej metody ochrony, która uzupełnia inne zabezpieczenia, ale nie zastępuje ich całkowicie.