MasterCard quiere reemplazar las contraseñas con selfies; ¿Cómo mejora esto la seguridad? [duplicar]

Como dejé en claro en mi respuesta a la pregunta vinculada, no soy un fanático de la biométrica, y creo que las investigaciones actuales están de acuerdo conmigo en que el reconocimiento facial es un mecanismo de autenticación deficiente.

Dicho esto, las contraseñas también tienen sus problemas. Los usuarios son bastante malos para elegir buenas contraseñas, los usuarios reutilizan las contraseñas y los usuarios escriben las contraseñas en papel o en archivos de texto. El primer problema puede ser mitigado con las reglas de contraseña, pero las reglas de contraseña también pueden empeorarlo. Los otros problemas solo se pueden mitigar educando a los usuarios, lo que es costoso y propenso a errores.

Estos problemas no existen con la biometría. La seguridad está completamente en sus manos, no hay forma de que el usuario la arruine.

Como se indica en la comunicado de prensa , la nueva función está vinculada a una aplicación, por lo que es justo suponer que el mecanismo de autenticación se basa en dos factores (lo que tiene, su teléfono, y lo que es, su cara).

Debido a que el proceso utiliza 2FA, el uso de datos biométricos puede ser lo suficientemente seguro. Si bien puede parecer que la banca debería ser más segura que otras transacciones, históricamente, fueron bastante débiles (pines de 4 dígitos para tarjetas, contraseñas limitadas a 8 caracteres o menos, etc.). Las infracciones de seguridad se manejaron de manera diferente (transacciones anuladas, etc.). La charla sobre "mejorar la seguridad" es probablemente solo marketing.

Después de pensar en esto por un momento, puedo ver el punto de vista de Mastercard, pero diría que la cosa "más segura que las contraseñas" probablemente solo se aplica a su modelo de negocio y copias cercanas.

Primero, recuerde que la forma en que solía pagar con una tarjeta de crédito es entregársela a alguien en una tienda, que crearía físicamente una copia de la tarjeta y lo dejaría con su compra. No hay riesgo para usted en absoluto, mucho riesgo para la compañía de tarjetas de crédito si resultó más tarde que la tarjeta fue robada. Pero el riesgo era manejable, porque la mayoría de las tarjetas no eran robadas, y una tarjeta robada de vez en cuando no compensaba demasiado las ganancias.

Junto con los sistemas de pago por teléfono y en línea, ahora empeoró, en lugar de tener que estar en posesión física de una tarjeta que parecía legítima, todo lo que necesitaba era un nombre, un número de tarjeta y posiblemente un código postal. Todas las cosas que fácilmente podrían ser robadas, buscadas y compartidas en línea. No lo sé con certeza, pero esto debe haber aumentado el riesgo para las compañías de tarjetas de crédito dramáticamente.

Si Mastercard puede establecer su propia aplicación de teléfono inteligente como la forma principal en que usas tu tarjeta de crédito para el pago (al hacerlo muy fácil para todas las partes involucradas), habrá muchos menos detalles de cc robados.

La combinación de selfie / aplicación no tiene que ser perfecta para que esto funcione; Ni siquiera tiene que ser muy seguro en absoluto. No importa si puedes engañar a la aplicación sosteniendo una foto de alguien frente a la cámara y demás, porque se trata de la imagen general, y en la imagen general, los ladrones de tarjetas de crédito actualmente no roban tarjetas de crédito Las billeteras de las personas y luego las venden en Internet: roban los datos de las tarjetas de crédito por millón de las bases de datos pirateadas en línea . Así que esa es la amenaza que deben contrarrestar más: preocuparse por los teléfonos inteligentes de las personas que son robados o mal utilizados por conocidos simplemente no parece muy relevante en comparación con eso.

Entonces, si tu gemela malvada logra engañar a tu aplicación para que le permita comprar algo, o un par de tramposos les hablan a algunos conocidos para que les presten sus teléfonos y logran tomarles una foto con la aplicación de pago, la compañía de tarjetas de crédito ganó no importa, solo hará lo que siempre hizo y reembolsará a la parte dañada (y luego recuperará felizmente la pérdida de dicho malvado gemelo / conocido, ya que los malhechores están ahora conectados socialmente con la víctima y, por lo tanto, son más fáciles de identificar, pero eso es todo un aparte). Lo que realmente le importa es la enorme pérdida que sufre por la información de cc robada, y una aplicación razonablemente segura en el teléfono inteligente de cada cliente que se usa para pagos en línea, en lugar de que el cliente entregue cien tiendas en línea diferentes, sus detalles de cc se reducirán enormemente El riesgo para la compañía de tarjetas de crédito.

Por lo tanto, diría que no se trata de si las selfies son más seguras que las contraseñas o no, creo que la razón real por la que hacen esto es porque las selfies son más rápidas y fáciles que escribir su contraseña en el teclado de un teléfono inteligente, y posiblemente sean lo suficientemente fáciles de usar de modo que el uso de la aplicación de su teléfono inteligente para pagar en lugar de tener que iniciar sesión en una cuenta en línea e ingresar los detalles de su cc es preferible para muchos propietarios de cc.

Como Tim señala, el reconocimiento facial es en realidad parte de una autenticación de dos factores donde el otro factor es posesión del teléfono. Esto mitiga algunos de los problemas conocidos con el uso de la biométrica para la autenticación.

Pero aún así, esto está lejos de ser seguro:

• Es probable que una persona que tenga acceso físico a su teléfono también tenga acceso a las fotos (y videos) que tiene usted delante de la cámara. ¿Es el reconocimiento facial lo suficientemente bueno como para no ser engañado por eso?
• ¿Qué pasa con el gemelo malvado literal, o solo un hermano que se parece mucho a ti? La posibilidad de que alguien con la posesión de tu teléfono se parezca mucho a ti es más alta que la posibilidad de un extraño al azar.
• Pida prestado el teléfono de un amigo, diciendo que no tiene batería y que necesita enviar un mensaje de texto. Inicie su aplicación de banca y llegue al punto en el que desea una foto para la autenticación. "Oh, me encanta tu nuevo corte de pelo. Quiero decirle a mi peluquero que quiero lo mismo". Snap.

El último podría ser mitigado (solo permita el uso de la cámara frontal y que sea obvio que el teléfono está en modo de autenticación y no en el modo de cámara). Pero los dos primeros son difíciles de hacer nada al respecto.

Depende de la implementación del Sistema de Reconocimiento Facial. Es muy probable que una implementación tradicional sea menos segura que las contraseñas.

Como se puede ver en la página de Wikipedia , existen técnicas de reconocimiento facial que pretenden evitar la ataque que está sugiriendo, es decir, reconocimiento tridimensional, análisis de textura de la piel y cámaras térmicas. En teléfonos móviles y PC, la primera y la segunda opción son posibles, mientras que la tercera no lo es (al menos por ahora).

Se supone que esas técnicas sirven como un identificador biométrico, y se cree que son difíciles de falsificar. Aunque algunos documentos ( 1 , 2 ) afirman lo contrario o son escépticos.

Si tuviera la opción, esperaría un par de años para ver si esto es realmente seguro.