Biyometrik bankacılık güvenli mi?

Biyometrik, yani insanların parmak izi gibi eşsiz fiziksel özelliklerini kullanarak tanımlama işleminin uzun süredir güvenli olduğu düşünülüyordu. Ayrıca bu teknoloji bankalara ve banka müşterilerine çekici geliyor. Bu ikisi, teknolojiyi siber

Biyometrik, yani insanların parmak izi gibi eşsiz fiziksel özelliklerini kullanarak tanımlama işleminin uzun süredir güvenli olduğu düşünülüyordu. Ayrıca bu teknoloji bankalara ve banka müşterilerine çekici geliyor. Bu ikisi, teknolojiyi siber suçlular için devasa bir hedef haline getiriyor.

Hatta çoğu banka ATM’lerde biyometrik girişi denemeye başladı.

Kurumsal tarafta, yanlış reddetme (tip 1) ve yanlış onaylama (tip 2) hatalarını azaltabilmek için iris tarama ve damar eşleştirme metotları büyük avantaj sağlıyor. Kullanıcılar biyometrik taramayı seviyor çünkü bu teknoloji hızlı çalışıyor ve kullanıcıların parola ya da diğer gizli kodlarla uğraşmaktan kurtarıyor.

Ne yazık ki, parmak izi taraması teknolojisi hem dünyaya yayılmış durumda hem de olması gerektiğinden daha az güvenli. Örneğin, Android ve iOS kullanıcıları düzenli olarak cihazlarının izinli kullanıcıların girişlerini reddetmesinden veya başka insanların girişlerine izin vermesinden şikayetçi.

Ya ATM’ler?
Biyometrik ATM’ler henüz her yerde kullanılmıyor ancak güvenlik uzmanlarımız Olga Kochetova ve Alexey Osipov şimdiden bir düzineden fazla biyometrik tarayıcının kara borsada satışa çıkartıldığını belirtti.

Diğer kötü amaçlı geliştiriciler, iris taraması ve damar eşleştirmesi yapan cihazların sonuçlarına engel olmaya çalışıyor. Dahası, tarayıcıları kullanmak veri çalmak için tek yol değil. Ortadaki adam saldırıları (Man in the Middle) ve buna benzer yöntemler kullanıcı adı ve parola çalma işlemlerini biyometrik tarayıcılar için kullanabilir.

Ve tabiki suçlular verinin tipine bakmaksızın kullanıcı verilerinin bulunduğu sunucuları hackleyebilirler. Örneğin bu sene Dropbox 60 milyona yakın kullanıcının verilerini kaybetti ve sonrasında Yahoo 500 milyon veri sızdırdı. Bu ikisi dışında daha birçok örnek var.

Şimdi, kullanıcının biyometrik verilerini saklayan şirketlerin sunucularının hacklendiğini düşünün. Parola değiştirmek can sıkıcı olabilir ancak DNA’nızı değiştiremezsiniz.

Ek olarak, biyometrik tarayıcıların yardımıyla suçlular sahte kimlikler yaratabilirler. Bankalar biyometrik ATM’leri kullanmaya başlamadan önce güvenlik standartlarını iyice gözden geçirmeliler.

Biyometrik güvenliğin düşüşü

Biyometrik tarayıcılar ilk olarak devletler, güvenlik güçleri ve savunma endüstrisi tarafından kullanıldı. Bu alanlarda biyometrik tarayıcılar güvenliydi çünkü bu gibi alanlarda yüksek kalite ekipman alınabiliyordu.

Biyometrik tarayıcılar küreselleştikçe güvenlik açıkları yakalanabilir oldu. Teknolojinin popülerliği güvenlikteki düşüşe neden oldu. Birincisi, müşteri memnuniyeti için alınan önlemler kritik alanlarda alınan önlemlerden daha azdı. İkincisi ise suçlular biyometrik tarayıcı bulunan cihazları satın alabilir ve üzerinde testler uygulayabilirdi. 3D yazıcıların hızlı gelişmesi de biyometrik tarayıcıların güvenlik açıklarını göz önüne seriyor.

Geçen sene insanlar parmak izi taramasının olduğu 6 milyona yakın mobil uygulama indirdi. Juniper Araştırma’ya göre, 2019 yılına kadar insanlık bunlar gibi 770 milyon uygulama kullanacak. Bu zamana kadar, biyometrik tarayıcılar sıradanlaşacak. Başka uzmanlar olaya çok daha iyi yönünden bakıyorlar: Acuity Market Intelligence’a göre 2020 yılında 2.5 milyar insan 4.8 milyar biyometrik tarayıcı kullanıyor olacak.

Geleceğe dair umutlar ve öneriler

İyi ki biyometrik veri olduğu gibi saklanmıyor, sunucu sadece karma sonuçları tutuyor ve suçlular için daha az ilgi çekici oluyor. Yine de, yukarıda bahsettiğimiz suçlular ortadaki adam gibi yöntemleri kullanarak kendilerini ATM ve işlem merkezi arasında veri transfer kanalı haline getirip kullanıcıların parasını çalabilirler.

Eninde sonunda, bankalar ve kullanıcılar sıkı güvenlik önlemleri almalılar. Kurumsal tarafta, ATM’ler donanımsal ve yazılımsal tarafta geliştirilmeli ve ATM’lerin dizaynı tarayıcı yüklenmesine karşı korunaklı olmalı.

Genel olarak biyometrik tarama teknolojisi, ikincil bir güvenlik çözümü olarak kullanılmalı ve diğer güvenlik seçeneklerinden vazgeçilmemelidir.

İpuçları