Jak bezpieczne są identyfikatory twarzy i identyfikatory Touch?
Apple twierdzi, że Face ID i Touch ID są bezpieczne i w większości przypadków to prawda. Jest bardzo mało prawdopodobne, aby przypadkowa osoba mogła odblokować telefon. Ale to nie jedyny rodzaj ataku, by się tym przejmować. Wykopmy trochę głębiej.
Mimo że używają różnych biometrycznych metod uwierzytelniania, Face ID i Touch ID są bardzo podobne pod maską. Podczas próby zalogowania się na telefonie iPhone - patrząc na aparat z przodu lub kładąc palec na czujniku dotykowym - telefon porównuje wykryte dane biometryczne z danymi zapisanymi w bezpiecznej enklawie - osobnym procesorem, który jest celem jest zapewnienie bezpieczeństwa telefonu. Jeśli twarz lub odcisk palca pasują, Twój iPhone odblokowuje się. Jeśli nie, pojawi się monit o wprowadzenie hasła. Chociaż wszystko to brzmi dobrze na papierze, jest bezpieczne?
Identyfikator twarzy i identyfikator Touch są ogólnie bezpieczne
Ogólnie rzecz biorąc, Touch ID i Face ID są bezpieczne. Apple twierdzi, że istnieje szansa 1 na 50 000, że odcisk palca kogoś innego spowoduje fałszywe odblokowanie iPhone'a i 1 na 1 000 000 szans, że zrobi to ktoś inny. Jedna osoba na 10 000 może po prostu odgadnąć czterocyfrowe hasło i 1 na 1 000 000 szans na odgadnięcie sześciocyfrowego hasła (a otrzyma trzy próby, zanim zostaną zablokowane). To powinno postawić sprawę w perspektywie.
Szansa, że ktoś może przypadkowo odebrać telefon lub go ukraść, a następnie odblokować go za pomocą odcisku palca, twarzy, a nawet odgadnięcia hasła, jest niezwykle mały.
Jedynym wyjątkiem jest to, że bliźnięta jednojajowe lub rodzeństwo, które wyglądają bardzo podobnie, z większym prawdopodobieństwem stworzą fałszywy wynik pozytywny. W takim przypadku istnieje szansa, że Twoje rodzeństwo będzie mogło odblokować telefon za pomocą Face ID. Jednak bliźnięta jednojajowe stanowią tylko 0,003% populacji, więc nie jest to ryzyko, które dotyczy wielu osób. Jeśli martwisz się o to, możesz wyłączyć Face ID i po prostu użyć bezpiecznego kodu dostępu.
Ale ochrona przed tego rodzaju przypadkowym wtargnięciem nie jest jedyną rzeczą, o którą należy się martwić.
Identyfikator twarzy i Touch ID mogą być podatne na ataki ukierunkowane
Chociaż jest prawie pewne, że żaden przypadkowy nieznajomy nie będzie mógł dostać się do twojego telefonu, jeśli jesteś ofiarą ukierunkowanego ataku, sprawy mogą być trochę inne.
Zarówno Touch ID, jak i Face ID są całkowicie podatne na ataki, jeśli ktoś może zmusić cię do zalogowania się, albo trzymając palec na czujniku (nawet gdy śpisz) lub patrząc na telefon. Te dwa rodzaje ataków są znacznie łatwiejsze do wyciągnięcia niż zmuszanie kogoś do przekazania swojego hasła.
A co z fałszowaniem odcisków palców? No cóż, Touch ID został zhackowany. Naukowcom udało się wykorzystać fałszywe odciski palców, aby odblokować urządzenia zabezpieczone za pomocą Touch ID. Jednak ci sami naukowcy nazywają technikę "nic oprócz trywialnego" i "wciąż trochę w powieści Johna le Carré".
Zasadniczo to, czego potrzebują napastnicy, to kompletna, niezamaszczona kopia odcisku palca o wysokiej rozdzielczości, a także sprzęt warty tysiące dolarów. Teoretycznie ktoś, kto był naprawdę zdeterminowany, prawdopodobnie dostałby się do twojego telefonu w ten sposób - być może nawet ze zdjęcia odcisku palca. Chodzi o to, że dane na iPhone'ach ogromnej większości ludzi po prostu nie są warte kosztów i kłopotów z tego rodzaju atakiem.
Dodatkowo, jeśli masz wrażliwe lub cenne dane, prawdopodobnie podejmiesz dodatkowe kroki, aby zabezpieczyć te informacje. Nie jest to rzecz, którą można szybko zrobić przypadkowym nieznajomym.
Identyfikator twarzy nie został jeszcze zhakowany, ale realistycznie będzie prawdopodobnie podatny na takie same ataki, jak Touch ID. Wired wydał kilka tysięcy dolarów, próbując to zrobić i poniósł klęskę, ale to nie znaczy, że nie da się tego zrobić. Marc Rogers, haker, który doradził Wiredowi w tej sprawie, "nadal jest w 90 procentach pewien [hakerzy] mogą oszukać." IPhone X wyszedł na kilka miesięcy, więc zobaczymy, jak wygląda sytuacja w ciągu roku.
Wszystko sprowadza się do jednej z zasad bezpieczeństwa. Żadna metoda uwierzytelniania nigdy nie będzie w stanie stawić czoła wystarczająco zdeterminowanemu napastnikowi. Zawsze istnieją wady, które można wykorzystać; to tylko kwestia łatwości, z której można skorzystać.
Nic nie chroni cię przed rządem
Żadna kwota bezpieczeństwa nie może naprawdę ochronić Cię przed zdeterminowaną agencją rządową - USA lub w inny sposób - z zasadniczo nieograniczonymi zasobami i chęcią wejścia do twojego telefonu. Nie tylko mogą zmusić Cię do używania identyfikatora Touch ID lub Face ID do odblokowania telefonu, ale także mają dostęp do narzędzi takich jak GreyKey. GreyKey może podobno złamać dowolny kod urządzenia iOS, co sprawia, że Touch ID i Face ID są bezużyteczne. Apple ciężko pracuje, aby zamknąć luki w zabezpieczeniach, takie jak ten exploit, ale ludzie, którzy mają nadzieję na dzień zapłaty, równie ciężko pracują, aby otworzyć nowe.
Touch ID i Face ID są niewiarygodnie wygodne - jeśli są zabezpieczone silnym hasłem - bezpieczne do codziennego użytku przez prawie każdego. Jeśli jednak jesteś celem zdeterminowanego hakera lub agencji rządowej, mogą nie chronić Cię przez długi czas.
Kredyty obrazów: XKCD.