銀行拒絕Apple的面部識別碼。你應該?
去年,當Apple推出Face ID和iPhone X時,矽谷巨頭必須讓所有人相信新的生物識別身份驗證系統非常安全。該公司的專家將技術論文和演示文稿放在一起,解釋了前置攝像頭如何使用紅外光來確保所有面部特徵都在他們應該的位置。他們表示,它可以在各種條件下工作,並使用數字來說明Face ID與其前身Touch ID相比有多好。顯然,每5萬個指紋中就有1個可能會欺騙舊版iDevices上的讀者。相比之下,Apple表示成功欺騙Face ID的機率大約為1到1,000,000(雙胞胎破解的可能性更大,但Cupertino的人仍然堅持認為不太可能)。
軟件開發商和金融機構認為這已經足夠好了,很快,已經安裝了Touch ID功能的在線銀行應用程序開始支持Face ID。現在,全世界的人們都習慣於通過生物識別數據登錄帳戶和處理付款。在大約十個月的時間裡,歐洲用戶需要改變他們的習慣。
Table of Contents
歐盟:“生物識別認證本身並不夠好。”
2019年9月14日,歐盟將完成支付服務指令第二版的實施。該指令被稱為PSD 2,旨在規範歐盟金融機構和支付處理商處理在線交易的方式。
據此,人們將無法僅通過其設備上的生物識別身份驗證系統登錄和處理付款。在PSD 2之後,在授權過程中將有第二步,理論上應該為用戶提供額外的安全層。
銀行仍然有很多時間來弄清楚他們要做什麼來堅持這個指令,但我們很確定他們中的一些人已經在考慮他們的選擇。畢竟,對於許多組織而言,這些變化可能涉及對整個系統進行重大的重新設計,這反過來意味著充分的規劃和工作。對於用戶來說,轉換可能會更加突然。
PSD 2似乎沒有引起媒體的廣泛關注,Clydesdale和約克郡銀行支付和開放式銀行業務主管Mark Curran 告訴福布斯 ,當有一天,他們的銀行應用收到時,大多數人可能都會感到非常驚訝一個更新,使他們符合新的要求。他們可能也不會對此感到高興。
前進一步,後退兩步
通常情況下,這不會被視為壞消息。實際上,根據新指令,歐盟正在對網上銀行業務實行雙因素認證(2FA),眾所周知,雙因素認證優於單因素認證,對吧?
細節仍然有點模糊。目前還不清楚第二個因素將如何實施,但可以肯定地說它將涉及用戶的密碼或在其他設備上發短信或生成的令牌。該理論認為,無論銀行選擇哪種方案,第二個因素都將為其客戶提供額外的安全保障。問題是,它也會使體驗變得更加複雜,這很可能會使用戶感到沮喪. 沮喪的用戶會犯錯誤。
如果他們需要在每次需要通過手機管理財務時輸入他們的網上銀行密碼,他們可能會將他們的銀行密碼更改為相當簡單且易於輸入的內容。另一種機制看起來似乎更合理,但它也不是沒有陷阱。
更大的問題是:“整個變革是否必要?”
大家都知道傻瓜指紋識別器是可能的。我們也知道,對於所有聰明的紅外線和麵部識別軟件,Face ID也可以被繞過。這是否意味著攻擊者將使用指紋採集套件追踪您,完成複制您的數字或手工製作您的臉的精確副本,竊取您的手機,並破解生物識別身份驗證以吸取所有您的所有麻煩錢?對於大多數人來說,答案可能是否定的。
我們並不是說銀行不應該提供雙因素身份驗證。相反,如果監管機構使用他們的權力說明從現在開始,每個銀行客戶都會有2FA作為一種選擇,這很可能是一個更好的激勵用戶了解它並弄清楚它如何能夠幫助他們。將它們置於沒有其他選擇的情況下可能會以驚人的方式適得其反,特別是當它們已經具有安全且方便的認證機制時。
像去年的GDPR這樣的立法變化確實表明,布魯塞爾的某個人已經意識到當前世界面臨的網絡安全問題,並且至少試圖對此採取行動。然而,對於PSD 2,他們似乎修復了一些並未真正破壞的東西。
