No dobrze, więc co z tą kartą / Apple Pay? Rozważmy dwa scenariusze:
- Znajdujesz kartę, jaka jest szansa, że wpisując losowy PIN trafisz w ten prawidłowy?
- Znajdujesz telefon, jaka jest szansa, że odcisk Twojego palca zostanie rozpoznany jako prawidłowy?
PIN karty to typowo 4 cyfry. Daje to 10 000 możliwych kodów PIN. Do tego z reguły są trzy próby, czyli szansa powodzenia to (mniej więcej) 1 / 3 333. W praktyce można byłoby pokusić się o sprawdzenie najczęściej występujących kodów PIN co szanse powodzenia zwiększyłoby jeszcze bardziej (patrz: PIN analysis). Można jeszcze dyskutować, czy kody PIN do kart są wybierane przez użytkowników, czy ustawiane w sposób losowy przez bank, jak często klienci korzystają z opcji zmiany PINu (jeśli taka jest udostępniana), ale nie jest to istotne dla tej dyskusji.
Co z biometrią? W tym przypadku kluczowy jest parametr FAR (False Acceptance Rate lub False Match Rate - patrz: biometrics). W przypadku czytników wykorzystywanych obecnie w telefonach parametr ten ma wartość 1:50000, czyli zaczynamy z nieco lepszego poziomu, niż w przypadku PIN. No właśnie, zaczynamy. W przypadku biometrii też mamy kilka prób (trzy), więc można mówić o szansie mniej więcej na poziomie 1 / 16 666. Całość pogarsza się jeszcze, gdy dodany jest więcej niż jeden odcisk palca.
Warto też zwrócić uwagę na to, jak w tym kontekście wypada FaceID.
