Někteří spoléhají na svou neomylnou paměť, jiní to, po zkušenostech, řešíme papírkem v peněžence. V tom lepším případě s hesly nějak zašifrovanými. Ale i ty, co je zatím paměť neklame a všechna ta hesla znají zpaměti, experti přes kriminalitu varují, aby si při zadávání kódů raději druhou rukou zakryli klavesnici, aby filutové střežené údaje nevyčetli, například z nekale pořízeného kamerového záznamu. Stále je dost těch, kteří s hesly, piny, puky a ověřovacími kódy, mají potíže. Případů zkažených dovolených v cizině, u nichž asistovalo zazmatkování a s výsledkem kreditkou spolknutou bankomatem, také není málo.
Pro ty, co nemají paměť na čísla a nebo se nechtějí při placení moc zdržovat, MasterCard ověřuje novou technologii v níž se identita ověřuje obličejem. V praxi jí testuje a vychytává na ní mouchy, již pět stovek Američanů. Pokud vše dopadne dle očekávání, tak nás čeká do chytrého telefonu si nejprve nainstalovat příslušnou aplikaci. Potom bychom už příkazy, k nimž je potřeba ověřovat totožnost, podávali tak, jak jsme zvyklí. Rozdíl by byl jen v tom, že místo vyťukávání kombinace písmen a číslic, by si správnost pokynu náš telefon ověřil vyfocením. Podle Ajay Bhalla, presidenta, Enterprise Safety and Security, je obličej dostatečně neprůstřelným „kódem“. Výhodou je, že ho všude nosíme s sebou a nikdy s ním nezazmatkujeme. Navíc vyfocený obrázek nejde během přenosu ukrást, rekonstruovat a následně zneužít. Do centra k ověření totiž není posílán jako obrázek, ale jako algoritmus.
Jisté pochybnosti u této novinky veřejnost zcela jistě pojme, protože totéž nám před časem jiní tvrdili o nemožnosti zneužití otisků prstů. Mafiáni je ale obelstít dovedou. A jak jsme již na oslovi psali, lze je stáhnout třeba i z vystřelené nábojnice, jejíž povrch se rozpaluje na hodně vysokou teplotu. Na druhou stranu nutno připustit, že společnost Mastercard nejsou amatéři a že v tomto směru testují ledasco, včetně rozpoznávání hlasu a srdečního rytmu, který má zase tu nevýhodu, že je potřeba nosit speciální náramek. Nejspíš u MasterCard dospěli k názoru, že právě "Replacing Passwords with Selfies", jak se jejich pilotní projekt nazývá, je tím nejlepším, co zneužitím nezavání. Zádrhel by mohl nastat kvůli tomu, že je diskriminační. Konkrétně k těm, co jim víra brání odkládat burku. Možná ale, že i s tím u MasterCard počítají a rozšíří to o variantu s ofocováním jiné části těla, stejně "specifické".
Ajay Bhalla, president, Enterprise Safety and Security informuje o pilotním projektu na CNN:
Otisky prstů lze sejmout i z vystřelené nábojnice
Autor: Jaroslav Petr (17.06.2008)
Diskuze:
zajímavá příležitost
Frank Paramount,2015-07-15 05:44:50
zjistit daleko více, všechno. Servírované na stříbrném podnosu. Tahle vybrali pár bankomatů přímo z parkoviště. Otázka k zamyšlení - zdá se vám bezpečnější internet v kanceláři po drátu, nebo přes wifi? Staré telefony byly vždy bezpečnější.
bezpecnost biometrie ako takej
Pavel Ondrejovic,2015-07-08 00:41:41
Ked uz to tu pan Trhon nacrtol a ocividne nebol pochopeny:
Problem biometrickeho "hesla", je v tom, ze pomerne obtiazne sa meni, ked sa "prezradi".
Na historickych prikladoch je mozne prezentovat, ze samotny algoritmus sa neutaji.
Takze sme v situacii: majme cloveka, jasny algoritmus ako z neho dostaneme hash ktoremu uveri druha strana.
Je principialny problem ako zabranit zneuzitiu.
Mne zname riesnia su v principe dve a obe zle:
- bude sa pouzivat nieco z cloveka, co nie je verejne pristupne (tu narazame na problem, ze raz "prezradene heslo" sa bude uzivatelovi MasterCard tazko menit, prakticky jedine co taky clovek moze urobit, je prestat pouzivat sluzbu)
- alebo bude utajeny algoritmus (na to sa spoliehali rozne korporacie v minulosti :) )
Rozdiel oproti povedzme policajnemu registru je prave v tom, ze tam je prave silne ziaduce, aby si "uzivatel" nemohol "zmenit heslo" ;).
Trocha odlehčení-bude čím platit?
Jaroslav Mrázek,2015-07-07 15:42:55
http://www.kurzy.cz/zpravy/382590-burzy-v-asii-smisene-shanghai-pokracuje-v-silnem-propadu/
Finanční krize už mezitím naplno propukla v Asii – čínské akciové trhy během tří týdnů propadly o 30 procent, přičemž zmizel „papírový majetek“ v hodnotě 2,3 bilionu dolarů, což je desetkrát více než HDP Řecka“. A vždy, kdy čínské akcie drasticky klesaly, následovala mnohem větší krize v USA. Už se mluví o té dluhopisové, jejíž rozměr je odhadován až na 100 bilionů dolarů.... no, jestli se to rozjede, tak pak zbyde jen důvěryhodnost "podle ksichtu" do slova a do písmene in natura ... zachovejme paniku ! :-)
Připomínky
Adam Trhoň,2015-07-07 09:31:41
Poukázal bych na dvě věci.
1. "Do centra k ověření totiž není posílán jako obrázek, ale jako algoritmus." Máte něco bližšího? O takové metodě jsem v životě neslyšel, a coby vývojář s určitým povědomím o biometrii si to nedovedu představit.
2. Jak detekují živost? Vezmu svoji fotku, vytisknu a zkouším transformace tak dlouho, až to telefon vezme. Pak stáhnu z facebooku fotku oběti, ukradnu telefon a mám hotovo?
Re: Připomínky
Stanislav Kaderabek,2015-07-07 10:23:47
Jako vývojář s určitým povědomím o biometrii jste nikdy neslyšel o hashovací funkci? To se mi nechce veřit. Nebo mi snad chcete tvrdit, že když ověřujete ve své klient/server aplikaci heslo, posíláte ho na server v nezměněné podobě?
Re: Re: Připomínky
Adam Trhoň,2015-07-07 11:16:19
S biometrikou to není až tak snadné jak s heslem, při každém sejmutí vyjde trochu jiná a dostanete zcela jiný hash. Existují na to řešení (třeba fuzzy commitment), že by ale převedly šablonu na algoritmus? Jakože si šablonu na straně centra ověření spustí? Vím já, třeba jen blbě chápu formulaci a řeším blbosti
Re: Re: Re: Připomínky
Stanislav Kaderabek,2015-07-07 19:27:33
Že to s biometrikou je jiné než se stále stejným heslem je snad očividné. Ale to je právě věcí správné hashovací funkce, aby vycházel stále stejný hash. Sice nejsem programátor biometrických zařízení, ale když jsem si kdysi hrál s naší firemní čtečkou otisku prstů, tak ta vytvořila z otisku asi 20 vektorů, z těch udělala hash a ten se ověroval na serveru. Rozhodně po síti nechodil obrázek s otiskem. Myslím, že tady to bude úplně stejné.
Jinak myslím, že ta formulace je opravdu zmatená. Do centra neodchází (podle mého) ani obrázek, ani algoritmus, ale (ztrátovým) algoritmem upravená informace = hash.
Re: Re: Re: Re: Připomínky
Martin Vajsar,2015-07-09 13:54:30
Čili těch 20 vektorů vyšlo vždycky stejně? Nebo stačila (exaktní) shoda jen v několika z nich?
Re: Připomínky
Milan V,2015-07-07 13:48:43
Asi změří šířku nosu, výšku uší atd. a to pak pošlou... v tom bych problém neviděl. Policie taky neporovnává otisky prstů nebo fotografie podezřelých jako obrázky, to by prostě nešlo.
Spíš vidím problém s placením ve tmě (bankomat na ulici) a hlavně v nutnosti být online. Tím to podle mě padá.
Re: Re: Připomínky
Adam Trhoň,2015-07-07 14:35:58
No a z rozměrů vytvoří šablonu, kterou musí poslat do centra. Krádeži zabrání tak, že šablonu "převede na algoritmus". Jak? :)
S tmou problém určitě bude, nutnost být online ale podle mě nevadí - je to určené pro platby telefonem, tam předpokládám musím být online i při použití PIN
Re: Re: Re: Připomínky
Stanislav Kaderabek,2015-07-07 20:24:29
Na svém cca 3 roky starém telefonu mám přihlašování obličejem, počítám, že toto bude na světelné podmínky stejně náročné (z důvodu větší bezpečnosti spíš náročnější) a mohu potvrdit, že už v šeru mne to většinou nepřihlásí. Ale co se týká přesnosti, je to docela obstojné. Pozná mne to jak neoholeného, rozcuchaného, někdy i alkoholem upraveného. A nikoho jiného to zatím nepustilo.
Kromě světla bych ale viděl problém, jak chtějí rozeznat obličej od videa. Pokud to dobře chápu, tak to mají postavené na fotce z předního foťáku a tam žádná 3d informace nebude. A bez ní nevím, jak to od videa/fotky chtějí odlišit.
Pro jistotu jsem to teď zkusil a můj telefon videem přehrávaným na televizi zblbnu ihned.
Re: Re: Re: Připomínky
Milan V,2015-07-07 22:01:08
To je ovšem online ten terminál. Tam ať si to banka zařídí, jak chce. Ale já? Lovit signál někde v přeplněném železobetonovém centru? Díky nechci.
Pokud jde o zabezpečení, pošlou to přes https :-) Pokud tě to tak trápí, zkus to vygooglit. JP obvykle překládá volně dostupné články.
Diskuze je otevřená pouze 7dní od zvěřejnění příspěvku nebo na povolení redakce
