Fizetés ujjlenyomattal – mennyire biztonságos?

A MasterCard 2016 őszén bejelentette, hogy Európában is bevezetik az új internetes fizetési lehetőséget, a biometrikus adatokkal történő fizetési módot, miután annak kísérleti bevezetését hatalmas siker övezte Amerikában, Kanadában és Hollandiában. A bevezetést már idénre tervezik.

Mi a biometrikus azonosító?

A biometrikus azonosítók természetes személyekhez köthető objektív, biológiai jellegzetességek, mérhető adatok, amelyek egyediek, és az adott személy élete során alig, vagy kis mértékben változnak. Ilyen például a hang, az ujj- és tenyérlenyomat, retinaminta, arc leképezése stb.

A legkorábbi biometrikus azonosításra alkalmas ’adatbázis’ egy horvát nemzetiségű, Argentínában élő rendőr, Juan Vucetich nevéhez kötődik, aki elsőként dolgozott ki egy ujjlenyomat alapján azonosító rendszert egy francia cikk alapján. Ez a rendszer elsősorban bűncselekmények elkövetőinek azonosítására szolgált, és a gyilkossági ügyekben nyújtott segítséget a nyomozóknak.[2]

A MasterCard új technológiájának bevezetésével

2017-től ujjlenyomat- és arcfelismerő applikációval vásárolhatunk a neten.

A bevezetést 12 piacra tervezik: Nagy-Britannia, Ausztria, Belgium, Csehország, Dánia, Finnország, Németország, Hollandia, Norvégia, Spanyolország, Svédország, mellett a magyarországi bevezetés is tervben van.

Az ötlet onnan ered, hogy számos azonosító rendszer alkalmazása megköveteli, hogy a vásárlók jelszót adjanak meg. Ez az eljárás sok esetben időt vesz el, és az elemzők azt figyelték meg, hogy a vásárló inkább otthagyja az alkalmazást, mintsem tovább próbálkozik, miután rosszul adja meg a jelszavát. A MasterCard ezt gondolta úgy megoldani, hogy felgyorsítja a folyamatot egy digitális ellenőrzéssel, ami Ajay Bhalla, a Mastercard biztonsági elnöke szerint sokkal biztonságosabb, mint a jelszavas azonosítás.

„Sok vásárló ugyanis nagyon egyszerű jelszót használ, mint például az ’123456’ számsor”

– szemlélteti Ajay Bhalla.[3]

A biometrikus azonosítás alkalmazása ma már jóval elterjedtebb. A floridai Disney World például 2005 júniusa óta használ ujjlenyomat scannert a beléptetésnél.[4] A Windows fejlesztése alapján arccal, ujjlenyomattal és írisszel is be lehet jelentkezni a számítógépbe.[5] Ezeket a megoldásokat egyre több munkahelyen használják beléptetésnél kódok, vagy kártyák helyett. Fontos, hogy a munkavállalók megfelelően legyenek tájékoztatva ilyen esetekben, és hozzájáruljanak, hiszen ez biometrikus adataikkal történő azonosításnak minősül.[6]

Magyarországon a biometrikus adat az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 3. § 2. alapján személyes adatnak minősül. A törvény értelmében személyes adat az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés. A személyes adatokat mind a polgári jog, mind az Alaptörvény védi, mivel személyhez fűződő jognak minősül.

Mennyire biztonságos?

Bizonyára ez az egyik első dolog, ami egy ilyen új rendszer bevezetése során felmerül, hiszen jelentős pénzmozgásról is lehet szó egy-egy online vásárlás során. Ahhoz, hogy megfelelő képet kapjunk a módszer biztonságáról, meg kell vizsgálnunk a többi jelenleg elfogadott azonosítási módszert.

Háromféle módon lehet azonosítani valakit: azzal, amit a felhasználó ismer, mint például jelszó, vagy valamilyen azonosító szám; azzal, amivel a felhasználó rendelkezik, mint egy biztonsági token, vagy kártya; illetve ami maga a felhasználó, akit a korábban bemutatott biometrikus azonosítással lehet azonosítani.[7]

Mindegyik azonosításnak megvannak az előnyei, és a hátrányai is. Jelszavas azonosítás esetén, ha nem elég erős a jelszó, akár találgatásokkal fel lehet törni egy adott fiókot.[8] A biztonsági kártyát az használhatja, aki birtokolja: elvesztése vagy ellopása komoly problémákat okozhat, emellett pedig a rendszer fenntartása is drágább. A harmadik típus tűnik a legbiztonságosabbnak, viszont ennek is lehetnek hátulütői. Az is megtörténhet, hogy nem a jogosultat azonosítja be a rendszer, hanem másik személyt, hasonló/manipulált adatok alapján. Ugyanígy elképzelhető olyan eset is, hogy a jogosult azonosítását tagadja meg a rendszer. Gondoljunk csak az évek alatt elképzelhető fizikai változásokra egy-egy arc esetén, vagy akár egy nagyobb vágás is okozhat elváltozást az ujjlenyomatunkban.[9]

Az előbbiek elemzése alapján el kell ismerni, hogy

még mindig a biometrikus azonosítás a legbiztonságosabb.

Kisebb változások történhetnek, de egy ember ujjlenyomatát vagy íriszét nem lehet megváltoztatni. Látható azonban az is, hogy az azonosítási módok közül a biometrikus azonosítással olyan személyes adatot hasznosítunk azonosítás céljából, amely már most különleges törvényi védelmet élvez.

Mi lesz, ha biometrikus adatainkat tömegesen használjuk a mindennapokban?

Reméljük, hogy a biometrikus azonosítást bevezetők megfelelően fognak gondoskodni adataink védelméről.

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.

Jegyzetek

Képek forrása: Flickr.com

[1] http://www.adatvedelmiszakerto.hu/2012/06/biometrikus-azonositas-a-munkahelyen/

[2] Laura A. Hutchins: System of Friction Ridge Classification, Chapter 5, 7.o.

[3] http://newsroom.mastercard.com/eu/press-releases/mastercard-makes-fingerprint-and-selfie-payment-technology-a-reality/

[4] http://www.secureidnews.com/news-item/biometrics-at-the-disney-gates/

[5] http://support.microsoft.com/hu-hu/help/17215/windows-10-what-is-hello

[6] http://www.adatvedelmiszakerto.hu/2012/06/biometrikus-azonositas-a-munkahelyen/

[7] http://www.computerworld.com/article/2556908/security0/biometric-authentication.html

[8] http://hvg.hu/tudomany/20160120_legrosszabb_jelszavak_gyenge_jelszo

[9] http://www.computerworld.com/article/2595286/networking/authentication.html

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.