Úvodná » ako » Ako je zabezpečené ID tváre a dotykové ID?

    Ako je zabezpečené ID tváre a dotykové ID?

    Spoločnosť Apple tvrdí, že ID tváre a dotykové ID sú bezpečné a z veľkej časti je to pravda. Je veľmi nepravdepodobné, že by náhodný človek mohol odomknúť telefón. Ale to nie je jediný typ útoku, na ktorý by ste sa museli obávať. Skúste trochu hlbšie.

    Aj keď používajú rôzne metódy biometrickej autentifikácie, ID tváre a dotykové ID sú veľmi podobné pri kapote. Keď sa pokúšate prihlásiť do svojho iPhone - a to buď pri pohľade na fotoaparát na prednej strane, alebo pri nasadení prsta na dotykový senzor - telefón porovná biometrické údaje, ktoré zisťuje s údajmi uloženými v Secure Enclave - samostatný procesor, ktorý je Celý účel je udržať váš telefón v bezpečí. Ak sa tvár alebo odtlačok prsta zhodujú, iPhone sa odomkne. Ak nie, budete vyzvaní na zadanie prístupového kódu. Aj keď to všetko znie dobre na papieri, je to bezpečné?

    ID tváre a dotykové ID sú všeobecne bezpečné

    Vo všeobecnosti sú dotykové ID a ID tváre bezpečné. Apple tvrdí, že existuje 1 z 50 000 šancí, že niekto iný odtlačok prsta bude falošne odomknúť váš iPhone a 1 z 1 000 000 šanca, že to niekto iný tvár urobí. Existuje 1 z 10 000 ľudí, ktorí by mohli len uhádnuť štvormiestny prístupový kód a 1 z 1 000 000 šancí, že by mohli odhadnúť váš šesťmiestny prístupový kód (a dostanú tri pokusy pred tým, ako budú zablokované). To by malo uviesť veci do perspektívy.

    Šanca, že by niekto mohol náhodne vyzdvihnúť alebo ukradnúť váš telefón a potom ho mohol odomknúť pomocou svojho odtlačku prstov, tváre alebo dokonca hádaním, že váš prístupový kód je neuveriteľne tenký.

    Jedna námitka je totožné dvojčatá alebo súrodenci, ktorí vyzerajú veľmi podobne, je pravdepodobnejšie, že vytvoria falošne pozitívne. V takom prípade je pravdepodobné, že váš súrodenec bude môcť odomknúť váš telefón pomocou ID tváre. Avšak rovnaké dvojčatá tvoria len 0,003% populácie, takže to nie je riziko, ktoré platí pre mnohých. Ak máte obavy, môžete vypnúť ID tváre a stačí použiť bezpečný prístupový kód.

    Ale ochrana proti takémuto nepríjemnému vniknutiu nie je jedinou vecou, ​​ktorá by bola znepokojená.

    Identifikátor tváre a identifikátor dotyku môžu byť zraniteľné voči cieľovým útokom

    Aj keď je takmer isté, že sa do telefónu nedostane žiadny náhodný cudzinec, ak ste obeťou cieleného útoku, veci by mohli byť trochu iné.

    Obidva dotykové ID a ID tváre sú úplne zraniteľné, ak vás niekto môže donútiť k prihláseniu, a to buď tak, že držíte prst na senzore (aj keď spíte) alebo sa na telefóne pozriete. A tieto dva typy útokov sú oveľa jednoduchšie vytiahnuť, než nútiť niekoho, aby si dal svoj prístupový kód.

    Takže, čo sa týka odhaľovania odtlačkov prstov? Identifikátor Touch ID bol úspešne napadnutý. Výskumníci mohli použiť falošné odtlačky prstov na odomknutie zariadení zabezpečených dotykovým ID. Tí istí vedci však nazývajú techniku ​​"niečo triviálne" a "stále trochu v ríši románu John le Carré".

    V podstate to, čo potrebujú útočníci, je úplné rozlíšenie otiskov prstov s vysokým rozlíšením, ako aj tisíce dolárov. Teoreticky by sa niekto, kto bol skutočne odhodlaný, mohol dostať do vášho telefónu týmto spôsobom - možno dokonca aj z fotografie vášho odtlačku prsta. Ide o to, že údaje o telefónoch iPhone prevažnej väčšiny ľudí jednoducho nestojí za cenu a nepríjemnosti tohto druhu útoku.

    Navyše, ak máte údaje, ktoré sú citlivé alebo cenné, pravdepodobne urobíte ďalšie kroky na zabezpečenie týchto informácií. To nie je taká vec, ktorú možno rýchlo urobiť pre náhodné cudzincov.

    Funkcia ID tváre nebola zatiaľ napadnutá, ale realisticky pravdepodobne skončí náchylná na rovnaký druh útokov ako dotykové ID. Kábl strávil niekoľko tisíc dolárov a pokúšal sa to urobiť a zlyhal, ale to neznamená, že to nie je možné urobiť. Marc Rogers, hacker, ktorý poradil Wiredovi o kúsku, je "napriek tomu 90% istý, že [hackeri] to dokážu oklamať." IPhone X bol len pár mesiacov, takže uvidíme, aký je stav za rok.

    To, čo všetko príde, je jedným z bezpečnostných záruk. Žiadna metóda autentifikácie sa nikdy nedostane k dostatočne určenému útočníkovi. Vždy existujú chyby, ktoré je možné použiť; je to len otázka, do akej miery je jednoduché ich využiť.

    Nič vás chráni pred vládou

    Žiadna bezpečnosť vás nikdy nemôže skutočne ochrániť pred určenou vládnou agentúrou - USA alebo inak - s v podstate neobmedzenými zdrojmi a túžbou dostať sa do telefónu. Nielenže vás môžu legálne donútiť používať dotykové ID alebo ID tváre na odomknutie telefónu, ale majú prístup aj k nástrojom, ako je GreyKey. GreyKey môže údajne vyrušiť ľubovoľný prístupový kód pre zariadenie iOS, čo znemožňuje identifikáciu dotykového ID a tváre. Spoločnosť Apple tvrdo pracuje na zatvorení zariadení zraniteľných funkcií, ako je toto zneužitie, ale ľudia, ktorí dúfajú, že budú platiť za deň, pracujú rovnako ťažko na otvorenie nových.


    Dotykové ID a ID tváre sú neuveriteľne pohodlné a - ak sú zálohované so silným prístupovým kódom pre každodenné používanie takmer každým. Ak ste cieľom určeného hackera alebo vládnej agentúry, nemusia vás však dlho chrániť.

    Kredity obrázka: XKCD.