Den 20 april meddelade MasterCard utgivandet av sina nya biometriska betalkort i Sydafrika. Kortutgivaren vill använda landet som en testplats för att göra anpassningar och mogna tekniken innan den utökas till andra länder.

Trots den generellt positiva mottagningen från personer som förmodligen skulle ha möjlighet att betala sina betalningar snabbare än någonsin, måste man fråga om fingeravtryck nödvändigtvis är säkrare än gammaldags PIN-nummer. Det är trots allt inte en förutsättning att autentiseringsmetoder som är mer praktiska och futuristiska ger effektivare säkerhet.

Biometrisk autentisering är en stark trend

Metoden för att använda ett lösenord för att få tillgång till privilegierad information har funnits sedan tillbaka när de gamla sentrerna skulle utmana överträdelser att upprepa en fras för att avgöra huruvida de ska tillåtas eller ej. I den digitala eran var de ett billigt och enkelt sätt att upprätthålla säkerheten för användarkonton. Autentisering via fingeravtryck var vanligtvis endast av intresse för stora företag och statliga institutioner.

Allt detta var på huvudet efter Apple och Samsung började en-upping varandra med fingeravtrycksscannrar på sina telefoner. Sedan dess har det varit en trend att inkludera biometrisk autentisering på olika avancerade produkter. Samsungs senaste Galaxy S8 innehåller även en irisskanner.

Folk tenderar att lita på denna typ av autentisering eftersom den är unik . Det är säkert att anta att en hackare inte kommer att ha samma fingeravtryck eller irismönster som du gör. Det finns en viss känsla av försäkran att du är "biologiskt bunden" till dina enheter och konton, vilket förmodligen är en av anledningarna till att MasterCard bestämde sig för att använda detta förtroende och implementera en fingeravtrycksskanner direkt på sina kort för att skapa säker, PIN- mindre betalningar möjliga.

Varför finns det anledning att vara bekymrad

MasterCards senaste drag ger också några frågor om huruvida något så intimt som ditt bankkonto borde vara knutet till ett fingeravtryck i stället för ett PIN-nummer. Först verkar det som en sund strategi. Vad kan möjligen vara säkrare än ditt fingeravtryck? Det traditionella fyrsiffriga PIN-numret har 10 000 möjliga variationer (0000-9999), medan ett fingeravtryck har flera miljarder möjliga permutationer. Du skulle ha svårare att gissa den senare.

Det finns ett litet problem med den logiken: Tjuvar och hackare försöker sällan och gissar autentiseringsuppgifterna för ett kort de bara stal. Det tar för mycket energi, och många kort blir låsta efter ett visst antal misslyckade försök. Att stjäla referenser eliminerar gissningen. Det visar sig att du bara kan få personens PIN-nummer genom en mängd olika smarta metoder som att installera en falsk knappsats på en bankomat eller bara titta på offret skriver det från över axeln.

Från början verkar det som om PIN-nummer är markant mindre säkra än biometri. Fingeravtryck kan inte stulas, eller hur?

Fel.

Att stela ett fingeravtryck är faktiskt ganska enkelt. En välkänd hacker som heter Jan Kissler lyckades extrahera fingeravtrycksdata från högupplösta bilder av Tysklands försvarsminister Ursula von der Leyen och reproducera det tillräckligt för att få tillgång till någon av hennes biometriskt låsta data.

Försök att göra fingeravtrycksscannrar mer robusta genom att kartlägga venstermönster i fingrarna, gjordes också värdelösa efter att schweiziska forskare använde speciella bildtekniker för att kringgå denna metod. Och vi kan naturligtvis inte glömma överträdelsen av den amerikanska byrån för personalhantering i juli 2015 när hackare stal 21, 5 miljoner socialförsäkringsnummer. Tillsammans med de uppgifterna stalde de också fingeravtryck på 5, 6 miljoner människor.

Och här är varför det gäller

När en massiv databas som den som jag just nämnde bryts och hackare lyckas stjäla lösenord är effekterna ganska svåra, men du kan förhindra att skador sprids genom att snabbt byta lösenord. Men vad händer om ditt fingeravtryck stulits? Hur ändrar du det?

Här är kärnpunkten i frågan: Ditt fingeravtryck är en oåterkallelig del av data. Du är född med det, och det är vad du har för resten av ditt liv. Detsamma gäller för din iris eller någon annan biometrisk identifierare. Det bästa du kan göra är att byta fingrar, men du har bara tio av dem. Om du är ett högprofilerat mål eller har många högupplösta bilder publicerade på webben, kan du verkligen inte undgå den verklighet som detta presenterar.

Som det visar sig är biometrisk autentisering mest effektiv när den används i en mycket känslig och säker miljö av personer som inte har mycket offentliga liv (t.ex. myndighetsagenter). Som en del av konsumenttekniken är det en bekvämlighet som potentiellt offrar säkerhet. Ironiskt nog blir ditt fingeravtryck mindre säkert eftersom du blir en mer allmän person.

Som det står idag kan allt tro på biometri visa sig vara en krypande tidsbom som kommer att nå en entropi om några år när hackare letar efter tillgång till stora fingeravtryck / iris-databaser.

Tror du att det finns sätt att göra biometrisk autentisering säkrare för användning i konsumentteknik? Berätta allt om det i en kommentar!