저는 biometric info에 대해 조금 다른 의견을 가지고 있습니다. 요즘 유행처럼 많이들 쓰고 있지만 역시 그래도 가장 보안성이 좋은건 여전히 password라고 생각합니다 .
https://theintercept.com/2015/03/26/passphrases-can-memorize-attackers-cant-guess/
예를 들어...다른 이의 지문을 훔치기 위한 방법은 으~엄처~응나게 많습니다. 사진에서 추출한다던지 그 사람이 많이 쓰는 물건에서도 손쉽게(?) 구할 수 있습니다. 손꾸락을 절단할 필요도 그 사람을 납치할 필요도 없죠. 더욱 조심해야 하는건 이 biometric info는 한번 유출되고 나면 이번 생이 끝나기 전까지는 바꿀 수 없다는 것입니다. 편리한 것에는 반드시 대가가 따릅니다 ;)
본문에도 있지만 좋은 센서는 단순히 사진이라던지, 물건에서의 지문체취로는 통용되지 않습니다. 또한 등록한 단계에서 info 형태로 유출되지도 않습니다. 암호화되어 있으니까요.
결국 센서단계에서 지문정보를 가져오는 수밖에 없습니다.
매우 세밀하게 말이죠. 그런데 그런 경우는 거의 없습니다.
그리고 그정도로 유출될 정도면 이미 패스워드는 다 털린 후 겠죠.
그외에도
패스워드보다 월등한 점이 입력시 분리된 하드웨어를 통한다는 것과
소지와 입력이 훨씬 편하다는 것입니다.
자신의 몸이 패스워드니까요.
분리된 하드웨어를 통하는 것은 위의 하드웨어 월렛 역시
실현하고 있지만 역시 생체인식에 비하면
입력이 어렵고 유출 가능성은 월등히 높습니다.
SAR 말씀하시는 것 같은데 불행하게도 아무리 좋은 센서라 할지라도 100% spoofing을 막을 수는 없습니다. 좋아봤자 2~8% 정도니까 물건에서의 지문체취나 사진에서의 지문체취로 fingerprint template의 구현이 가능합니다. 물론 그런 경우는 말씀하신대로 많이는 없지만 해보면 당연히 가능합니다. 그리고 그런 matching algorithm SW quality도 보안에 한 몫 하는데..이건 아시다시피 회사마다 SW quality가 굉장히 다르기 때문에 그냥 그렇게 무조건 안전하다고 믿는 것은 좀 위험하지 않을까 하는것이 제 생각입니다. biometric password가 많이 뚫리지 않았던 이유는...일단 remote attack이 어렵고 ROI가 낮기 때문이죠. 해킹에 들어가는 비용에 비해 얻어낼 수 있는 정보가 그닥 가치가 없기 때문인데...cryptocurrency로 넘어가면 이게 또 다른 얘기가 됩니다. 아까 제가 붙여드린 링크에서처럼 안전하게(?) password를 만들고 관리한다면 biometric password 보다는 훨씬 안전합니다. NSA도 못뚫으니까요~ ㅋ
보통 보안업계(?)에서 password의 안전성과 보안성을 논할 때 'password > bitmetric password' 입니다. 소지와 입력의 편리함이 무조건 덜 secure 하다는 것은 아니지만 그만큼 attack surface이 넓어져서 hacking의 가능성을 높이는 것은 맞는듯 합니다. 그냥 제 2 cent 입니다~ ㅎ