Während Regierungs- und Bankdienstleistungen sich von der Überprüfung von Identitäten in der realen Welt abwenden und sich der Online-ID-Überprüfung zuwenden, sind mehrere Unternehmen auf den Markt gekommen, um dieses Problem zu lösen. Ein neues Startup aus Frankreich betritt den Markt mit einer Lösung, die theoretisch die Privatsphäre der Menschen schützen soll.
ShareID Sprecherin Eliana Daboul beschrieb das Unternehmen in einer E-Mail als „eine Authentication-as-a-Service-Lösung, die an von der Regierung ausgestellte Ausweise gebunden ist“.
Der Clou ist, dass ShareID im Gegensatz zu anderen ähnlichen Unternehmen behauptet, keine personenbezogenen Daten zu speichern. Laut Sara Sebti, CEO von ShareID, bittet das Unternehmen die Benutzer stattdessen darum, ein Video einzusenden, um ihre „Lebendigkeit“ zu beweisen – ein schickes Wort, das bedeutet, dass der Benutzer vor der Kamera seines Telefons nachweisen muss, dass er eine echte Person ist, und es ist kein Vorspiel -aufgezeichnetes Video – und ein Bild ihres amtlichen Ausweises. Aber ShareID sagt, dass es diese Daten nicht speichert, sondern im Speicher seiner Server speichert, einen Hash – eine eindeutige ID – erstellt und dann die Daten löscht, die praktisch nie auf den Servern gespeichert wurden.
Andere Unternehmen verfolgen einen anderen Ansatz.
In den USA ist das umstrittene ID.me sagt auf seiner offiziellen Website dass es „Ihre biometrischen Informationen bis zu sechsunddreißig Monate lang speichern kann“, und dazu gehören „Selfie-Bilder und die damit verbundenen biometrischen Informationen“. ID.me erhielt jedoch Regierungsaufträge – etwa mit dem IRS wurde von Mitgliedern des US-Kongresses kritisiert, der sagte, das Unternehmen habe die Funktionsweise seiner Technologie falsch dargestellt und die Betrugsschätzungen überhöht, um die Nachfrage nach seinen Dienstleistungen zu steigern. (Das Unternehmen bestritt diese Anschuldigungen.)
CLEAR, ein Unternehmen für biometrische Sicherheit, das in Flughäfen und Stadien in den Vereinigten Staaten präsent ist, heißt es in seinem Datenschutzrichtlinie dass es Informationen wie „von der Regierung ausgestellte Identifikationsinformationen“, „digitale Bilder und Videos (z. B. Bilder von der Kamera Ihres Mobilgeräts)“ und „biometrische Daten (z. B. digitale Bilder von Fingerabdrücken, Iris und Gesicht)“ erhält.
Das Unternehmen gibt an, diese Art von Informationen aufzubewahren. im Fall von Benutzern in Kalifornien, für die Laufzeit des CLEAR-Kontos. Im Falle kanadischer Benutzer sagt das Unternehmen, dass es „biometrische Daten und andere persönliche Informationen nur so lange speichert, bis das erste der folgenden Ereignisse eintritt: (a) der ursprüngliche Zweck für die Erhebung oder Beschaffung dieser Daten erfüllt wurde oder (b)“ drei Jahre nach Ihrer letzten Interaktion mit CLEAR (es sei denn, Sie beantragen die Schließung Ihres Kontos früher).“
ShareID hingegen möchte so wenig Informationen wie möglich und für einen möglichst kurzen Zeitraum speichern.
„Wir geben unseren Benutzern wiederverwendbare Identitäten und löschen alle persönlichen Daten, die wir erfasst haben. Wir generieren nur diesen homomorphen Hash und verwenden ihn, um die Person erneut zu authentifizieren, wenn sie zurückkommt“, sagte Sebti gegenüber Tech eine Verschlüsselungstechnik Dies ermöglicht die Erstellung eines eindeutigen Werts aus einem Datensatz und macht es unmöglich, ihn umzukehren, um die Originaldaten zu erhalten.
In der Praxis, erklärte Sebti, haben ShareID-Kunden Zugriff auf ein SDK und eine API, die es ihnen ermöglicht, die Technologie des Unternehmens in ihre Website sowie in ihre Android- oder iOS-App einzubetten. Sebti sagte, dass die Person, die versucht, sich zu authentifizieren, ein Video einreichen muss, das drei Sekunden lang die Vorderseite des Dokuments und weitere drei Sekunden lang die Rückseite des Dokuments zeigt. Anschließend nimmt die Website oder App ein Video des Gesichts der Person auf und fordert sie auf, Herausforderungen zu erfüllen, um zu beweisen, dass sie es wirklich live aufzeichnen, wie zum Beispiel lächeln, ihr Gesicht nach links oder rechts neigen und einem Punkt auf dem Bildschirm folgen. deren Position zufällig generiert wird.
„Sie haben einen zufälligen Punkt, der auf Ihrem Bildschirm angezeigt wird, und Sie müssen ihn mit Ihren Augen verfolgen, und Sie haben keine Ahnung, wo er sein wird. Man kann das Video also nicht vorbereiten, um darauf einzugehen“, sagte Sebti.
An diesem Punkt verarbeitet der Dienst diese Daten und erstellt einen homomorphen Hash, der zur erneuten Authentifizierung des Benutzers verwendet werden kann, wenn er zurückkommt.
Zumindest behauptet ShareID das. Sebti sagte, dass die französische Militärpolizei die Sicherheit des Unternehmens überprüft habe und dass sie ihre eigene Sicherheit durch die Durchführung von Penetrationstests oder Pentests und „anderen Live-Sicherheitsüberwachungen“ überwacht.