Zabezpieczasz telefon odciskiem palca? To nie wystarczy
Do niedawna wydawało się niemożliwe, by oszukać czytnik linii papilarnych. Prawdopodobnie dlatego twórcy urządzeń i aplikacji mobilnych zastosowali takie czytniki jako rozwiązania zabezpieczające dostęp do smartfona czy aplikacji bankowości mobilnej. Wydawało się, że to jeden z najlepszych sposobów na zabezpieczenie dostępu do danych. Ta teza została jednak obalona, dlatego specjaliści wzięli pod lupę zabezpieczenia biometryczne i sprawdzili, czy rzeczywiście to najlepsze metody zabezpieczające.
Skuteczność zabezpieczeń biometrycznych zależy ściśle od jakości danego skanera oraz oprogramowania, które odpowiada za proces weryfikacji. Tak jak nie ma stuprocentowo bezpiecznych systemów komputerowych, tak samo nie istnieje idealna metoda uwierzytelniania – każda ma zarówno swoje mocne strony, jak i słabości. W przypadku skanerów linii papilarnych można było usłyszeć o różnych możliwych metodach oszukania danego skanera, np. poprzez użycie sztucznego palca uformowanego z żelatyny lub silikonu. Z kolei sam odcisk można uzyskać praktycznie z każdego przedmiotu, który dana osoba trzymała w ręku, ale to nie jedyna metoda. Jan Krissler zaprezentował na jednej z konferencji CCC sposób reprodukcji odcisku palca w oparciu jedynie o dostępne w sieci zdjęcia wewnętrznej strony dłoni danej osoby – wykorzystał tę technikę do odtworzenia linii papilarnych kciuka Ursuli von der Leyen, ministra obrony Niemiec.
Mit 1: Zabezpieczanie odciskiem palca jest bardziej skuteczne niż hasło
W przeciwieństwie do tego jak mogłoby się wydawać, biometryczne sposoby zabezpieczania nie są niezawodne, np. linie papilarne mogą zostać wykradzione z wykonanej wcześniej fotografii. Dodatkowym zagrożeniem jest możliwość wycieku odcisków palców gromadzonych np. przez organy państwowe i służby. Na przykład w Stanach Zjednoczonych standardową procedurą jest gromadzenie odcisków palców od obywateli innych państw w wieku od 14 do 79 lat w momencie wjazdu do kraju. A FBI przechowuje szacunkowo 100 milionów odcisków palców, z czego ponad 30 milionów to odciski zwykłych osób niezwiązanych z działalnością przestępczą.
- W przypadku wycieku naszego hasła możemy je zmienić na inne. Ale co w sytuacji, gdy wyciekną dane reprezentujące odcisk naszego palca? Jakiś czas temu badacze odnaleźli podatność występującą wówczas m.in. w telefonach Samsung Galaxy S5, za pomocą której byli w stanie przechwycić dane reprezentujące linie papilarne i wykorzystać je do autoryzacji. Jednak jak na razie to tylko przykład teoretycznego ataku, do którego może dojść wyłącznie, gdy nastąpi jednocześnie wiele określonych okoliczności, dlatego nie popadałbym w paranoję - komentuje Kamil Sadkowski, analityk zagrożeń z firmy ESET.
Mit 2: Nie można skopiować odcisku palca
W roku 2013 firma Apple zapoczątkowała proces włączania zabezpieczeń biometrycznych do urządzeń mobilnych. Funkcja ta miała zapewniać ochronę podczas zakupów w iTunes i App Store – eliminując potrzebę używania hasła. Jednak jak zaprezentowano rok później podczas konferencji CCC, linie papilarne można odtworzyć ze zdjęcia i ta metoda zabezpieczania okazała się już nie być tak skuteczna, jak się początkowo wydawało. Na dodatek w 2016 r. firma biometryczna Vkansee pokazała kolejny sposób na skopiowanie odcisków palca. Tym razem do tego celu wykorzystano… ciastolinę Play-Doh, dzięki której można zmylić czytniki, aby identyfikowały ciastolinowy odcisk jako prawdziwy. Sama firma stwierdziła jednak, że proces ten jest dość skomplikowany i mało prawdopodobny. Niemniej jednak to kolejny dowód na potwierdzenie tezy, że odcisk palca można skopiować.
Mit 3: Odcisk palca zastąpi hasło w przyszłości
Biorąc pod uwagę, że odciski palców mogą zostać skradzione, skopiowane i wykorzystane, jeszcze długa droga do tego, by korzystać wyłącznie z czytników linii papilarnych i zrezygnować całkowicie z używania haseł. Eksperci odradzają zabezpieczanie urządzeń wyłącznie jedną metodą – przy użyciu hasła, numeru PIN czy odcisku palca. Najlepiej połączyć hasło z dodatkowym zabezpieczeniem.