银行拒绝Apple的面部识别码。你应该?
去年,当Apple推出Face ID和iPhone X时,硅谷巨头必须让所有人相信新的生物识别身份验证系统非常安全。该公司的专家将技术论文和演示文稿放在一起,解释了前置摄像头如何使用红外光来确保所有面部特征都在他们应该的位置。他们表示,它可以在各种条件下工作,并使用数字来说明Face ID与其前身Touch ID相比有多好。显然,每5万个指纹中就有1个可能会欺骗旧版iDevices上的读者。相比之下,Apple表示成功欺骗Face ID的几率大约为1到1,000,000(双胞胎破解的可能性更大,但Cupertino的人仍然坚持认为不太可能)。
软件开发商和金融机构认为这已经足够好了,很快,已经安装了Touch ID功能的在线银行应用程序开始支持Face ID。现在,全世界的人们都习惯于通过生物识别数据登录帐户和处理付款。在大约十个月的时间里,欧洲用户需要改变他们的习惯。
Table of Contents
欧盟:“生物识别认证本身并不够好。”
2019年9月14日,欧盟将完成支付服务指令第二版的实施。该指令被称为PSD 2,旨在规范欧盟金融机构和支付处理商处理在线交易的方式。
据此,人们将无法仅通过其设备上的生物识别身份验证系统登录和处理付款。在PSD 2之后,在授权过程中将有第二步,理论上应该为用户提供额外的安全层。
银行仍然有很多时间来弄清楚他们要做什么来坚持这个指令,但我们很确定他们中的一些人已经在考虑他们的选择。毕竟,对于许多组织而言,这些变化可能涉及对整个系统进行重大的重新设计,这反过来意味着充分的规划和工作。对于用户来说,过渡可能会更加突然。
PSD 2似乎没有引起媒体的广泛关注,Clydesdale和约克郡银行支付和开放式银行业务主管Mark Curran 告诉福布斯 ,当有一天,他们的银行应用收到时,大多数人可能都会感到非常惊讶一个更新,使他们符合新的要求。他们可能也不会对此感到高兴。
前进一步,后退两步
通常情况下,这不会被视为坏消息。实际上,根据新指令,欧盟正在对网上银行业务实行双因素认证(2FA),众所周知,双因素认证优于单因素认证,对吧?
细节仍然有点模糊。目前还不清楚第二个因素将如何实施,但可以肯定地说它将涉及用户的密码或在其他设备上发短信或生成的令牌。该理论认为,无论银行选择哪种方案,第二个因素都将为其客户提供额外的安全保障。问题是,它也会使体验变得更加复杂,这很可能会使用户感到沮丧. 沮丧的用户会犯错误。
如果他们需要在每次需要通过手机管理财务时输入他们的网上银行密码,他们可能会将他们的银行密码更改为相当简单且易于输入的内容。另一种机制看起来似乎更合理,但它也不是没有陷阱。
更大的问题是:“整个变革是否必要?”
大家都知道傻瓜指纹识别器是可能的。我们也知道,对于所有聪明的红外线和面部识别软件,Face ID也可以被绕过。这是否意味着攻击者将使用指纹采集套件追踪您,完成复制您的数字或手工制作您的脸的精确副本,窃取您的手机,并破解生物识别身份验证以吸取所有您的所有麻烦钱?对于大多数人来说,答案可能是否定的。
我们并不是说银行不应该提供双因素身份验证。相反,如果监管机构使用他们的权力说明从现在开始,每个银行客户都有2FA作为一种选择,这很可能是一个更好的激励用户了解它并弄清楚它是如何做到的帮助他们。将它们置于没有其他选择的情况下可能会以惊人的方式适得其反,特别是当它们已经具有安全且方便的认证机制时。
像去年的GDPR这样的立法变化确实表明,布鲁塞尔的某个人已经意识到当前世界面临的网络安全问题,并且至少试图对此采取行动。然而,对于PSD 2,他们似乎修复了一些并未真正破坏的东西。