Можно ли использовать биометрию в мобильном банке — и почему МВД опровергло пугающие сообщения СМИ

Забавная история получилась с новостью о том, что МВД России якобы предостерегает граждан от использования биометрии для авторизации в банковских приложениях. После того, как эту новость опубликовали ряд крупных СМИ, среди которых «Известия», РИА «Новости», и многие другие, МВД выступило с официальным опровержением.

«Используйте сложный пароль блокировки экрана и качественную антивирусную программу. Не входите в банковские приложения, используя отпечаток пальца или функцию распознавания лица» — такую цитату, например, приводили РИА «Новости».

А через некоторое время в телеграм-канале МВД МЕДИА появилось опровержение, в котором говорится следующее:

«Технология распознавания лица (Face ID) остается надежным способом защиты персональных данных и финансовых операций. Этот метод аутентификации активно используется банками России и рекомендован как эффективный инструмент для повышения уровня безопасности мобильных устройств и приложений».

Судя по всему, журналисты сделали новость из устаревшей справочной информации и памятках, которые уже утратили свою актуальность. Причём в этом же телеграм канале, ещё год назад, FaceID приводилась как один из способов защититься от несанкционированного доступа к телефону.

Биометрическая аутентификация в мобильных банках — что нужно знать

Разберём, как именно работает биометрическая авторизация в банковских приложениях.

Когда вы настраиваете вход по отпечатку или Face ID, ваш телефон не хранит ваше лицо или отпечаток в виде картинки. Вместо этого он создаёт и хранит математическую модель (или хеш) ваших уникальных физических данных. Получить эту модель извне или подделать её практически невозможно, без доступа к самой системе устройства.

При этом важно понимать, что само приложение не занимается распознаванием лица или отпечатка пальца — этим занимается операционная система. Приложение только запрашивает проведение такой проверки.

В этом смысле биометрия надёжнее, чем обычный ПИН-код или простой пароль, потому что их можно банально подсмотреть, снять на видео, как вы его вводите, или попытаться подобрать (если вы используете в качестве пин-кода дату своего рождения — не делайте этого).

Разблокировка телефона и авторизация в банковском приложении направлена на защиту не от хакерских атак, а от кражи устройства.

При этом легко можно представить сценарии, когда именно ваша биометрия может открыть доступ к устройству без вашего ведома. Например, вы уснули в поезде или междугородном автобусе, и ваш телефон украли. Злоумышленник может быстро разблокировать аппарат, просто приложив ваш палец к сканеру или поднеся телефон к вашему лицу.

Также нужно учитывать, что надёжность биометрии в телефонах может зависеть от самого устройства. В современных телефонах может использоваться трёхмерное сканирование лица — такой телефон не обмануть, допустим, фотографией. А в старых и более дешёвых моделях могут применять системы попроще.

Когда лучше включать биометрию, а когда отказаться

Ответ тут лежит скорее в том, чего именно вы опасаетесь больше. Того, что кто-то узнает ваш пин-код или пароль, или того, что кто-то поднесёт телефон к вашему лицу без вашего разрешения или ведома.

А ещё это вопрос удобства. На мой взгляд, биометрическая идентификация гораздо удобнее, чем необходимость вводить пароль или код каждый раз. Причём, вход по отпечатку — удобнее, чем «по лицу». Но, вам, возможно, удобнее будет именно Face ID.

В любом случае, даже если вы используете биометрическую авторизацию, пароль на устройстве должен быть сложным.

Если вы находитесь в месте, где можете заснуть или потерять контроль над ситуацией (например, в длительной поездке), не кладите телефон в легкодоступное место, а лучше — отключите на это время возможность разблокировки по биометрии (большинство телефонов позволяют это сделать через настройки или специальную комбинацию клавиш).