image

MasterCard gaat online betalen via selfie testen

donderdag 2 juli 2015, 17:17 door Redactie, 16 reacties

Deze herfst gaat MasterCard experimenteren met online betalen via een gezichtsscan. Na het afrekenen moeten mensen een foto van zichzelf maken, waarna de koop wordt bevestigd of niet. Ajay Bhalla van MasterCard verwacht dat met name de nieuwe generatie, "die dol op selfies is", het erg cool zal vinden.

Creditcardhouders kunnen op dit moment een "SecureCode" instellen om transacties extra te beschermen, maar consumenten blijken vaak onveilig met wachtwoorden om te gaan. MasterCard ziet in biometrie een alternatief voor wachtwoorden en zal daarom een programma starten om betalen via vingerafdruk en gezichtsscan te testen. Deelnemers aan de test moeten een app installeren. Zodra er iets is gekocht is laat de app een pop-up zien, waarin de gebruiker wordt gevraagd om de koop te autoriseren.

Hierbij kan voor een vingerafdruk of gezichtsscan worden gekozen. In het geval van de gezichtsscan maakt de smartphone een foto. De gebruiker moet eerst een keer met zijn ogen knipperen. Dit moet voorkomen dat een dief een foto aan de smartphone laat zien om zo de beveiligingsmaatregel te omzeilen. MasterCard zegt dat het geen foto of vingerafdruk van de gebruiker ontvangt, maar dat de vingerafdruk een code genereert die op het toestel blijft.

De gezichtsscan maakt een kaart van het gezicht en vertaalt die naar een hash die naar MasterCard wordt gestuurd. Volgens Bhalla is het onmogelijk voor de creditcardmaatschappij om aan de hand hiervan het gezicht van de gebruiker te reconstrueren. Naast vingerafdrukken en gezichtsscans experimenteert MasterCard inmiddels ook met stemherkenning en identificatie aan de hand van de hartslag, zo meldt CNN.

Reacties (16)
02-07-2015, 17:35 door Erik van Straten
De gezichtsscan maakt een kaart van het gezicht en vertaalt die naar een hash die naar MasterCard wordt gestuurd.
Als die hash op straat komt te liggen (https://encrypted.google.com/search?q=pass+the+hash) zijn er vast wel tattoos denkbaar die jou "onherkenbaar" maken. Dan hoef je "alleen" Mastercard er nog maar van te overtuigen dat jij de nieuwe jij bent, en die andere(n) die claimen jij te zijn, niet jij zijn...
02-07-2015, 18:16 door Anoniem
Selfies zijn heel veilig want die slingeren absoluut niet zomaar overal rond, over het hele wereldwijde web.
02-07-2015, 18:34 door potshot
Door Erik van Straten:
De gezichtsscan maakt een kaart van het gezicht en vertaalt die naar een hash die naar MasterCard wordt gestuurd.
Als die hash op straat komt te liggen (https://encrypted.google.com/search?q=pass+the+hash) zijn er vast wel tattoos denkbaar die jou "onherkenbaar" maken. Dan hoef je "alleen" Mastercard er nog maar van te overtuigen dat jij de nieuwe jij bent, en die andere(n) die claimen jij te zijn, niet jij zijn...

zucht , altijd weer mekkeren ...
ga toch lekker aan ruilhandel doen joh,maar daarbij zul je ook wel weer criminele spoken zien zeker?
postbodes die je schaap achteroverdrukken,buren die je zending inpikken..omg! en dan ook nog de politiestaat die je voor niets de goelag insturen!
als ik jou was kwam ik niet meer uit m'n bed,veel te gevaarlijk allemaal.
02-07-2015, 19:19 door Anoniem
Twee kul-argumenten om biometrie door je strot geduwd te krijgen.
Ik heb geen webcam en microfoon aan mijn pc hangen en ik ben ook niet van plan om die ooit aan te sluiten.

Ajay Bhalla van MasterCard verwacht dat met name de nieuwe generatie, "die dol op selfies is", het erg cool zal vinden.
Wat kan mij nou schelen wat de nieuwe generatie vindt. Die kan zo veel willen. Ik behoor daar (gelukkig!) niet toe. Ik heb helemaal niets met selfies en dat wil ik zo houden.
Ik mag toch hopen dat ze begrijpen dat die generatie niet de enige groep creditcardgebruikers is.

Creditcardhouders kunnen op dit moment een "SecureCode" instellen om transacties extra te beschermen, maar consumenten blijken vaak onveilig met wachtwoorden om te gaan.
Dus omdat anderen onveilig met hun code omgaan, moet die biometrie-rommel maar door mijn strot worden geduwd?
Graag niet iedereen over één kam scheren s.v.p.!

Het feit dat het eerste argument als eerste wordt genoemd, zegt eigenlijk alles al. Puur zieltjes winnen met allerlei lokkertjes die "hip" en "cool" klinken. Lijkt Microsoft wel.
Hopelijk blijven ze hun pc-klanten waarderen door de oude methode te blijven aanbieden.
02-07-2015, 19:28 door Anoniem
Authenticatie op basis van biometrie... zucht.

Laten we het hier nog een keer herhalen:
Biometrie is goed voor vervangen van je gebruikersnaam. Nooit voor vervangen van je wachtwoord!

Je biometrische gegevens zijn nooit te veranderen. Zodra iemand deze heeft weten te bemachtigen is het gebruik ervan niet meer te vertrouwen.
Vandaag nog een paar honderd keer een deel van mijn biometrische gegevens (vingerafdruk) achtergelaten: Op deuren, koffiekopjes, knop van het kopieerapparaat, iedere toets van mijn laptop, de tandenborstel, auto, etc, etc, etc.
02-07-2015, 22:09 door ben987 - Bijgewerkt: 02-07-2015, 22:10
Door potshot:
Door Erik van Straten:
De gezichtsscan maakt een kaart van het gezicht en vertaalt die naar een hash die naar MasterCard wordt gestuurd.
Als die hash op straat komt te liggen (https://encrypted.google.com/search?q=pass+the+hash) zijn er vast wel tattoos denkbaar die jou "onherkenbaar" maken. Dan hoef je "alleen" Mastercard er nog maar van te overtuigen dat jij de nieuwe jij bent, en die andere(n) die claimen jij te zijn, niet jij zijn...

zucht , altijd weer mekkeren ...
ga toch lekker aan ruilhandel doen joh,maar daarbij zul je ook wel weer criminele spoken zien zeker?
postbodes die je schaap achteroverdrukken,buren die je zending inpikken..omg! en dan ook nog de politiestaat die je voor niets de goelag insturen!
als ik jou was kwam ik niet meer uit m'n bed,veel te gevaarlijk allemaal.
tjee, wat een ontzettende inhoudelijke reactie ! bevalt dat nou, mensen die wel kritisch zijn zo te ridiculiseren ?
02-07-2015, 23:21 door Anoniem
zo jammer dit, gezichtherkenning is heel gemakkelijk te spoofen met een foto. Ik snap werkelijk niet waarom ze hier aan gaan beginnen. Dit duurt een maand en dan is er een mega spoof hack en ze draaien het weer terug,

Ik zal dit zeker niet gebruiken.
03-07-2015, 06:24 door Erik van Straten
@ben987: wat vóór potshot pleit is dat zij/hij een account heeft (wellicht noodzakelijk om moderatie van anonieme bijdragen te omzeilen) waardoor je een aantal van haar/zijn reacties eenvoudig kunt terugvinden, zie https://www.security.nl/profile?alias=potshot.

Zo te zien reageert potshot zelden inhoudelijk op artikelen, maar vooral op reacties van anderen. Daarbij valt mij op dat zij/hij het woord "mekkeren" vaak gebruikt (https://encrypted.google.com/search?q=site%3Asecurity.nl+potshot+mekkeren).

Door schade en schande heb ik geleerd dat het zinloos is om je op te winden over dergelijke mensen, laat staan met hen in discussie te gaan, want van steekhoudende argumenten is zelden sprake. Jammer, want ik wil me best (en in het geval van alternatieven voor wachtwoorden, heel graag) laten overtuigen van mijn ongelijk.
03-07-2015, 07:31 door Anoniem
Het is dan ook niets meer dan een dure gimmick waarmee MasterCard denkt
meer nieuwe klanten te krijgen.
03-07-2015, 09:12 door Briolet
Door Anoniem: Selfies zijn heel veilig want die slingeren absoluut niet zomaar overal rond, over het hele wereldwijde web.

Heeft anoniem weer niet de moeite genomen om het artikel zelf te lezen?
03-07-2015, 10:34 door Anoniem
...maar consumenten blijken vaak onveilig met wachtwoorden om te gaan.
En dan is controle via een selfie natuurlijk een hele verbetering. ;-P
Want consumenten gaan absoluut niet niet onveilig met hun selfies om hoor...
03-07-2015, 10:39 door Anoniem
Door Briolet:
Door Anoniem: Selfies zijn heel veilig want die slingeren absoluut niet zomaar overal rond, over het hele wereldwijde web.

Heeft anoniem weer niet de moeite genomen om het artikel zelf te lezen?

Misschien niet, maar behalve het knipperen met de ogen, staat er niets wat verifieert of het een levende persoon is. En een masker met uitgeknipte ogen, zou dus zomaar genoeg kunnen zijn.
06-07-2015, 07:35 door karma4
Het artikel geeft alleen een referentie naar een artikel voor het algemene publiek. De technische details zijn wat karig.
Waar het om gaat is het indentificatie autenticatie process. Daarbij zijn wachtwoorden (pins) een ramp voor de gebruiker geworden met de onmogelijke verwachting/eis dat een mens alles kan onthouden. Een verbetering is gewenst.

Een meer technische link:
http://arstechnica.co.uk/security/2015/07/mastercard-trialling-facial-recognition-to-authorise-online-payments/ en
http://www.mastercardbiz.com/blog/2015/03/30/the-future-of-biometric-authentication-for-digital-payments/ is het allemaal nieuw? Nee http://www.pcmag.com/article2/0,2817,2428440,00.asp
Ok de kritische opemerkingen van Erik van Straten worden genoemd. Echter hier staat ook dat het om 2fa opties gaat. De link van mastercard geeft aan dat ze met die kritische vragen bezig zijn.
Nu zouden we natuurlijk gaarg meer weten (open source?) hoe dat allemaal exact zit. Een stuk geheimhouding wegens de concurrentie en natuurlijk de badboys buiten te houden lijkt me een terechte instelling. Maar wat meer openheid mag wel.

Na wat meer achtergrond opgedoken te hebben snap alle ophef met de reachtie over het artikel / onderwerp niet meer.
- 2fa met meerdere stappen lijkt me een normale gewenste strategie met betere security stap authenticatie
- gezichtsherkenning als 2fa, waarom niet? Je moet toch de zekerheid hebben van de juiste persoon. Het is u net dat waarom het gaat. Als je fysiek betaalt dan gaat dat face/face, het is dat de menselijke acceptatienorm, Net zoals stem (geluid) en andere biometrische kenmerken (terug naar de basis).

Mogelijk misbruik van opslag van privacy gevoelige gegevens is een goede zorg, echter een andere onderwerp om je druk over te maken.
06-07-2015, 11:20 door Anoniem
"De gebruiker moet eerst een keer met zijn ogen knipperen. Dit moet voorkomen dat een dief een foto aan de smartphone laat zien om zo de beveiligingsmaatregel te omzeilen."

Goh dat is geruststellend. Je kan echter ook net zo goed een gifje maken (of die van het worldwideweb ontrekken) waarbij de ogen wel knipperen.. goed over nagedacht dus.
06-07-2015, 16:13 door Erik van Straten
06-07-2015, 07:35 door karma4: [...] Echter hier staat ook dat het om 2fa opties gaat.
Details zijn inderdaad schaars, iedereen haalt het interview aan dat CNN had met Ajay Bhalla, "who's in charge of coming up with innovative solutions for MasterCard's security challenges": http://money.cnn.com/2015/07/01/technology/mastercard-facial-scan/.

In dat artikel staat onder meer:
If you choose fingerprint, all it takes is a touch. If you go with facial recognition, you stare at the phone -- blink once -- and you're done.
Daar maakt de Redactie uit op: "MasterCard ziet in biometrie een alternatief voor wachtwoorden" en zo lees ik het ook.

De auteur van http://arstechnica.co.uk/security/2015/07/mastercard-trialling-facial-recognition-to-authorise-online-payments/ lijkt niet goed te begrijpen wat 2FA inhoudt:
Two-factor authentication, where you need to physically possess some kind of token (a key, a dongle) or characteristic (the right fingerprint), is much more secure.
Letterlijk genomen is dat onzin (misschien bedoelt de auteur wat anders, maar dat staat er).

De combinatie van 2 factoren is meestal lastiger na te bootsen door een aanvaller. Essentieel bij elke factor is dat het bijbehorende "geheim" niet simpel door een aanvaller kan worden gekopieerd of geraden. En vooral bij biometrie is dat een knap lastige eis.

De auteur in http://www.mastercardbiz.com/blog/2015/03/30/the-future-of-biometric-authentication-for-digital-payments/, Ajeet Khurana, "is CEO of the Society for Innovation and Entrepreneurship (SINE) at IIT Bombay, India’s premier engineering school". Hij geeft zijn mening in deze blog uit maart op een kennelijk wel aan Mastercard gelieerde website, maar spreekt duidelijk niet namens Mastercard. Zijn slotzin:
That leads me to conclude that we are still years away from widespread biometric authentication for digital payments, and we may not see a shift until at least the year 2017
sluit ook niet echt aan bij wat Mastercard dit jaar nog van plan is.

Maar ik hoop dat je gelijk hebt, en dat het wel degelijk om 2FA gaat, bijv. een pincode (met degelijke account-lockout) in combinatie met biometrie.

06-07-2015, 11:20 door Anoniem: "De gebruiker moet eerst een keer met zijn ogen knipperen. Dit moet voorkomen dat een dief een foto aan de smartphone laat zien om zo de beveiligingsmaatregel te omzeilen."

Goh dat is geruststellend. Je kan echter ook net zo goed een gifje maken (of die van het worldwideweb ontrekken) waarbij de ogen wel knipperen.. goed over nagedacht dus.
Uit http://www.nu.nl/internet/4080867/sony-patenteert-technologie-constant-selfies-maakt-en-emoties-herkent.html:
Gepubliceerd: 03 juli 2015 08:55; Laatste update: 03 juli 2015 08:57, door Nu.nl: [...]
In de patentaanvraag beschrijft Sony een technologie die de gehele dag selfies maakt van de gebruiker, waarna de collectie van selfies door servers wordt geanalyseerd.
[...]
Wanneer de selfiecollectie wordt doorzocht op de term 'blij', worden alle foto's getoond waarop de gebruiker lacht.
[...]
Zoek in de selfiecollectie (binnenkort en masse te vinden op Facebook et al) even naar "knippperen" (of "blink") en klaar is Kees...
06-07-2015, 20:26 door karma4
Door Erik van Straten:
06-07-2015, 07:35 door karma4: [...] Echter hier staat ook dat het om 2fa opties gaat.
Daar maakt de Redactie uit op: "MasterCard ziet in biometrie een alternatief voor wachtwoorden" en zo lees ik het ook..

Verdorie ik was op zoek naar 2fa omdat dan beide acties nodig zijn. Daarmee wordt het veiliger. Je kunt het inderdaad anders lezen. Eens kijken of er iets bij mastercard te vinden is. http://newsroom.mastercard.com/2014/09/18/next-generation-biometrics-moving-step-closer-vision-safer-simpler-authentication/ nog eens !@#$. Ze stellen rustig dat ze van pin en password af willen en dan biometrie-smartphone willen inzetten. Dat is geen 2fa ook al wil een marketeer je dat laten geloven. Twee passwords (beide iets wat je weet) opvoeren is ook geen 2fa. Het is een wat langer password, meer niet.

Als iets doorgevoerd moet worden omdat het cool / hip zou zijn en je niet achter kan blijven dan moeten de alarmbellen voor de security awareness afgaan. Nog luider laten afgaan als de technische begrippen voor de onderbouwing verkeerd gebruikt worden (dat het daardoor wel goed zou zitten).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.