Połącz się z nami

Newsy

Dane na wyciągnięcie palca

Opublikowane

dnia

Zabezpieczenie dostępu do danych samym odciskiem palca ułatwia dostęp do nich. Nie tylko właścicielowi ale i złodziejowi.

Skanery odcisków palca, tęczówki oka czy kształtu twarzy są efektownym sposobem zabezpieczenia danych. Dużo gorzej wygląda ich efektywność. Stosowane powszechnie czytniki wyjątkowo łatwo oszukać, z czego mało kto zdaje sobie sprawę. Systemy biometryczne wyglądają dobrze na filmach, ale w rzeczywistości ich stosowanie można porównać do rozrzucania kartek z zapisanym hasłem.

Zwycięstwo marketingu

Hasła reklamowe producentów systemów biometrycznych (badających cechy ciała – np. linie papilarne albo głos) ukazują je jako zabezpieczenie lepsze niż hasła, tokeny i karty chipowe. Sprzedawcy twierdzą, że autoryzacja przy pomocy odcisku palca ma wyeliminować sytuacje w których zapomnimy hasła lub zgubimy token. Palec zwykle mamy przy sobie i zauważymy, jeśli ktoś go ukradnie.

W teorii może to być przekonujące, ale dwie cechy stawiają znak zapytania przy całej idei biometrii. Jedna z nich to łatwość pozyskania odcisków linii papilarnych. Druga to ich niezmienność.

Nie rozrzucaj swoich haseł

Nieustannie zostawiamy własne odciski palców na dotykanych przedmiotach, a twarz i oko mogą zostać sfotografowane. Można to porównać do sytuacji, w której wymyślamy skomplikowane hasło, zapisujemy je na tysiącach kartek i chowamy do kieszeni. Niestety kieszeń jest dziurawa, a kartki co chwilę z niej wypadają. Były ich tysiące, więc nie zauważymy, że część gdzieś zginęła. Ale przecież nasze hasło jest tak skomplikowane, że musieliśmy je zapisać, więc czujemy się bezpieczni.

Tak samo jest z odciskami palca. Przez całe życie zostawiamy je w tysiącach miejsc, ale nie zwracamy na to uwagi, bo palec cały czas jest na miejscu. O tym, jak łatwo pozyskać zdjęcie linii papilarnych przekonał się niemiecki federalny minister spraw wewnętrznych, któremu w ramach protestu przed wprowadzaniem paszportów biometrycznych przedstawiono zdjęcie jego własnego odcisku palca. Mogłoby się wydawać, że samo zdjęcie do niczego nie służy. Niestety, jest inaczej. Pozwala ono na oszukanie 90% dostępnych na rynku skanerów, również tych stosowanych na granicach i lotniskach – pokazują testy przeprowadzone przez Stephanie C. Schucker z Clarkson University.

Jak łatwe jest oszukanie nawet drogich skanerów można przekonać się po obejrzeniu program MythBusters emitowanego na Discovery Channel. Warto zaczekać do końcowej sceny, w której czytnik zostaje oszukany… nie, nie zdradzimy w jaki sposób. Trzeba samemu zobaczyć jakie to proste.

Palca nie zmienisz

Kolejnym sloganem mającym przemawiać na korzyść systemów biometrycznych jest to, że cechy ciała nie zmieniają się. Według producentów możemy dzięki temu korzystać z nich przez całe życie. Wbrew pozorom jest to prosta droga do zmniejszenia ogólnego poziomu bezpieczeństwa.

Zaleca się, aby hasło było zmieniane co kilka lub kilkanaście tygodni. Ma to zapobiec sytuacjom, w których wykradziony klucz posłuży włamywaczowi przez dłuższy czas. Odciski palców zmieniają się dużo wolniej, a tęczówka wcale (od momentu w którym ostatecznie się wykształci). Oznacza to, że uzyskując skan linii papilarnych ofiary teraz będziemy mieli dostęp do chronionych w ten sposób danych np. za 15 lat. Jeśli biometria stanie się jeszcze bardziej popularna, a systemy równie mało skuteczne jak dziś może mieć to katastrofalne skutki. Może okazać się, że przestępca będzie korzystał z ukradzionych danych przez wiele lat, a właściciel nie będzie mógł nic z tym zrobić.

Jak to działa?

Większość czytników to specjalizowane do pomiaru jednej cechy skanery. Te najtańsze, a co za tym idzie stosowane masowo, nie wykonują żadnej weryfikacji skanowanego obrazu. Oznacza to, że można je oszukać zwykłym zdjęciem. W sposób podobny jak przedstawiony w powyższym materiale filmowym można skopiować twarz lub tęczówkę ofiary.

Bezpieczeństwo systemów biometrycznych stosowanych przez wojsko i instytucje o kluczowym znaczeniu nie wynika z zastosowanej techniki, ale z małej dostępności i dużego kosztu stosowanych urządzeń. Atakujący nie wie w jakie zabezpieczenia wyposażono skaner i nie może przetestować go przed atakiem. Zastosowane sposoby pomiaru nie muszą być specjalnie wymyślne, ale wystarczy, że nie będą powszechnie znane. Nie tylko my korzystamy z tych metod, ale my wiemy, jak je połączyć – powiedział nieoficjalnie pracownik jednej z firm sprzedających profesjonalne zabezpieczenia biometryczne.

Równie mało skuteczne jest rozpoznawanie twarzy. Kraje, które wydały na systemy miliony nie mogą poradzić sobie z tak prostym problemem jak uśmiech. Twarze porównywane są z bazą fotografii pochodzącą z paszportów i praw jazdy. Na zdjęciach zwykle jesteśmy uśmiechnięci, podczas gdy w miejscach publicznych mamy zwykły wyraz twarzy. Obecne systemy nie są w stanie poradzić sobie nawet z tym – uśmiech zbyt mocno zmienia kształt twarz. Aby temu zapobiec wprowadza się zakazy uśmiechania na zdjęciach używanych w dokumentach, co jest tylko obchodzeniem problemu.

Stosowane powszechnie systemy nie są lepsze. Kosztująca 70 zł myszka z czytnikiem linii papilarnych nie może zawierać zbyt skomplikowanej elektroniki – jest ze tania na umieszczenie skanera wykorzystującego np. ultradźwięki. Mimo to producenci podają, że skuteczność czytnika znacząco przekracza 99%. Niestety nie ma żadnego standardu badań, więc liczba ta nie znaczy dosłownie nic.

Zabezpieczenia biometryczne nigdy nie powinny być stosowane jako jedyne zabezpieczenie. „Ochrona” dostępu do komputera odciskiem palca lub zdjęciem twarzy nie może być co najwyżej drugim zabezpieczenie (np. hasło i jednocześnie skanowanie tęczówki), ale nigdy nie należy ich stosować samodzielnie.

Mimo wszystko biometrii nie należy całkowicie przekreślać. Może to być doskonały system ułatwiający, ale nie zabezpieczający, dostęp do zasobów.

Freelancer związa­ny z mediami od 2007 roku. Opublikował do tej pory ­ponad 500 artykułów m.in. dla Magazynu T3, Gazety Wyborczej, Onetu czy Nexta. Jako bloger pomaga przy projektowa­niu i wdroże­niach serwisów internetowych. Jest prezesem zarządu Stowarzyszenia FreelanCity.org.

Kontynuuj czytanie
Reklama
Kliknij, by skomentować

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Technologie

Samsung Galaxy Note 10+ w edycji Star Wars

W sam raz na premierę Skywalker. Odrodzenie.

Opublikowane

dnia

Oficjalne gadżety filmowe to nie nowość dla Samsunga – marka wielokrotnie wydawała edycje specjalne swoich produktów, które miały towarzyszyć ważnym premierom filmowym. Tym razem koreański producent przygotował coś fajnego dla miłośników sagi Gwiezdnych Wojen.

(więcej…)

Kontynuuj czytanie

Technologie

Valve oficjalnie ogłasza grę VR Half-Life: Alyx

Nie, to wcale nie jest długo wyczekiwany HL3.

Opublikowane

dnia

Są takie gry, za które wielu graczy oddałoby ostatnie pieniądze. Należy do nich niedokończona trylogia Half-Life, która uczyniła z Valve ważnego gracza na światowym rynku gier. Po latach Valve nareszcie powraca do opuszczonego przed laty uniwersum, ale nie w sposób, w jaki się spodziewaliśmy.

(więcej…)

Kontynuuj czytanie

Technologie

GitHub chce stworzyć arktyczne archiwum oprogramowania

Ukryte głęboko we wnętrzu góry na wypadek katastrofy.

Opublikowane

dnia

Na co dzień nie zastanawiamy się nad tym, jak bardzo zależni jesteśmy od internetu i zawartej w nim bazy wiedzy i narzędzi. W przypadku wyniszczającego ludzkość kataklizmu niedobitki naszego gatunku (o ile takie przeżyją) zostaną od niego na dobre odcięte. Tej sytuacji chce zapobiec GitHub, który umieści kopię swojej biblioteki kodu wewnątrz specjalnie przygotowanych krypt.

(więcej…)

Kontynuuj czytanie

Technologie

Oficjalna premiera Forda Mustanga Mach-E

Elektryczny crossover o maksymalnie 600 km zasięgu.

Opublikowane

dnia

Mustang z silnikiem elektrycznym – to brzmi jak szaleństwo. Mimo tego Ford zdecydował się na stworzenie Mustanga Mach-E, elektrycznego SUV-a o eleganckich liniach, nietypowym systemie infotainment i potężnym akumulatorze.

(więcej…)

Kontynuuj czytanie

Technologie

Przeglądarka internetowa Brave dostępna w wersji 1.0

Nastawiona na prywatność i płacąca swoim użytkownikom.

Opublikowane

dnia

W czasach, gdy nasze dane są jedną z najcenniejszych walut, niezwykle ważna jest ich odpowiednia ochrona. Z tego założenia wyszli twórcy przeglądarki Brave, darmowego programu pozwalającego na blokowanie reklam w sposób, który nie wpływa negatywnie na dochody właścicieli stron.

(więcej…)

Kontynuuj czytanie
Reklama

Popularne