Почему я считаю FaceID небезопасным способом защиты

Алексей Зеньков
Расскажите друзьям
Алексей Зеньков

Apple представила технологию FaceID – новый способ разблокировать смартфон с помощью распознавания лица. Однако он не так надежен, как говорят в компании. Журналист и разработчик Куинси Ларсон (Quincy Larson) объяснил, в чем недостатки существующих систем биометрической идентификации.

На момент написания статьи никто кроме сотрудников Apple не тестировал, насколько безопасна FaceID. Поэтому в этой статье я расскажу про надежность системы распознавания лица и другие методы биометрической идентификации.

Так сложилось, что системы биометрической идентификации никогда не славились надежностью.

Камеры можно обмануть.

Голос можно записать.

Отпечатки пальцев можно украсть.

А во многих странах – например, в США – полицейские по закону могут заставить вас разблокировать телефон с помощью отпечатка. Так что направить телефон на вас и разблокировать его против вашей воли будет для них еще проще.

Если вы цените сохранность ваших данных – электронной почты, социальных сетей, семейных фото, истории перемещений – тогда я не советую использовать биометрическую идентификацию.

Вместо этого защищайте телефон с помощью пароля.

Сменить пароль не так сложно, как сменить лицо

Вот отличная сцена из фильма «Ультиматум Борна» 2007 года, где герой Мэтта Деймона взламывает двухфакторную систему биометрической идентификации у сейфа:

Пусть это всего лишь голливудский фильм десятилетней давности, но он наглядно демонстрирует некоторые проблемы биометрической идентификации.

Сколько фотографий вашего лица можно найти в интернете? Можно ли взять все эти фотографии и получить на их основе 3D-модель вашего лица достаточной точности, чтобы обмануть FaceID с ее инфракрасными датчиками и системой проекции точек?

Вот фрагмент недавней презентации Apple с демонстрацией работы FaceID:

Появление достаточно надежной системы, способной переиграть FaceID от Apple и подобные системы от других производителей – всего лишь вопрос времени.

Почему я так в этом уверен? Давайте поговорим о сканерах сетчатки глаза.

Сетчатка состоит из миллионов клеток и уникальна для каждого человека. Казалось бы, отличный вариант для биометрической идентификации?

В этом видео эксперт по безопасности обходит систему проверки сетчатки глаза на телефоне Samsung Galaxy 8. Все, что для этого понадобилось – принтер и контактные линзы.

Давайте сделаем шаг назад и вспомним о самом точном биометрическом идентификаторе – ДНК.

Ваша ДНК – всего лишь длинная последовательность данных. Человеческий геном состоит из трех миллиардов базовых пар. Весь геном займет на диске не больше гигабайта – прямо как одна серия «Игры престолов».

Расшифровка генома – дело недорогое. И стоимость падает куда быстрее, чем стоимость компьютерных вычислений в целом.

Если ваша последовательность ДНК вдруг появится в открытом доступе, ее будет довольно сложно изменить. Как и голос, отпечатки пальцев или форму лица.

Поэтому не стоит доверять биометрической идентификации. Есть вариант получше, правда он вам не понравится. Он не так удобен, зато работает.

Цифровые пароли: сложно угадать, легко изменить и защищены законом

На iPhone дается всего десять попыток разблокировать телефон с паролем. Для пароля из четырех цифр существует 104 возможных вариантов. Таким образом, если кто-то захочет подобрать пароль к вашему телефону, его шансы на успех будут равны одному к тысяче.

Возможно, звучит это не так впечатляюще, как упомянутые Apple «один на миллион», что похожий на вас человек сможет разблокировать ваш телефон. Но в случае с паролем злоумышленнику не за что ухватиться. Он понятия не имеет, каким должен быть пароль. Если он по-настоящему случайный, то защитит телефон куда лучше FaceID.

И поскольку ваш пароль будет резервным вариантом для FaceID, нужно постараться и придумать надежный пароль независимо от того, будете вы использовать FaceID или нет.

Вот 20 самых популярных четырехзначных паролей по данным The Datagenics Blog. Не используйте их, если хотите быть уверенными в своей безопасности.

А если вы хотите по-настоящему случайное число, скопируйте эту строку в JavaScript-консоль вашего браузера («Вид» -> «Инструменты разработчика» -> «Консоль JavaScript»):

Большинство телефонов – включая iPhone – поддерживают пароли из большего количества цифр. Каждая цифра повышает уровень безопасности пароля на порядок. Но учитывая, что вводить этот пароль придется много раз каждый день, четыре символа – самый оптимальный вариант.

И еще одно: суд в США, например, не вправе требовать от вас назвать пароль. Он существует только в вашем разуме и принадлежит только вам. Это ваша собственность, и его не используют для доступа к вашим данным, если вы сами того не захотите.

Безопасность и спокойствие, которые принесет вам пароль, стоят тех пары секунд, что вы потратите на его ввод.




Слово юристам: может ли суд в России обязать вас разблокировать айфон?

Опрошенные Rusbase эксперты заверяют, что в России смартфон могут изъять как вещественное доказательство – по решению суда, однако заставить вас ввести пароль юридически не представляется возможным. 

Старший партнер Андрей Кузьмин адвокатского бюро «Титов, Кузьмин и партнеры» Андрей Кузьмин отмечает, что полиция может изъять телефон и отдать его на экспертизу, где уже могут быть предприняты попытки разблокировки, однако «обязать пользователя разблокировать смартфон нельзя: таких процедур не предусмотрено законом». С ним солидарен независимый юрист Сергей Сухочев, который добавляет, что «российский закон о полиции не обязывает граждан сообщать свои пароли к телефонам или компьютерам, также гражданин не обязан разблокировать свой телефон с помощью пальцев».

Адвокат Сергей Головин отметил, что в его практике бывали случаи, когда владельцы смартфонов отказывались вводить пароль, находясь под следствием. Но с применением FaceID данные из айфона действительно могут оказаться в большей опасности:

Сергей Головин
Адвокат

В практике возникают ситуации, когда к нам обращаются подзащитные, у которых в ходе производства первоначальных следственных действий изымается смартфон с паролем. В ходе следственных действий следователь признает телефон вещественным доказательством и приобщает к делу. В дальнейшем он самостоятельно или совместно с техническим специалистом проводит осмотр и может пытаться разблокировать смартфон, если это технически возможно.

В моей практике были дела, когда обвиняемый отказывался разблокировать iPhone – и этого не мог сделать следователь или специалист, поэтому телефон шел как вещественное доказательство без извлечения данных.

Я считаю, что с использованием функции FaceID разблокировка смартфона правоохранительными органами станет проще, так как лицо у человека одно, а отпечатков (которые используются в TouchID. – прим. ред.) уже несколько.




Работа над биометрической идентификацией

Вместо нынешней позиции «все или ничего» – то есть вы либо прошли аутентификацию, либо нет – производители устройств должны идти постепенно и требовать разные уровни идентификации для доступа к разным приложениям и типам данных.

Это похоже на традиционный контроль доступа в ПО на основе ролей. В смартфонах это уже реализовано на экранах разблокировки.

К примеру, на iOS по умолчанию вы можете прочитать текст сообщения, не разблокируя телефон. А каждый раз, когда вы покупаете что-то в App Store, iOS по умолчанию требует ввести еще более длинный пароль для подтверждения покупки.

Что-то вроде FaceID можно использовать для доступа к операциям чтения в менее конфиденциальных приложениях – например, новостных лентах. Но когда вам понадобится разрешение на «отправку» – например, написать SMS или отправить твит – телефон требовал бы цифровой пароль. Это помогло бы решить проблему «нужно разблокировать телефон по 80 раз в день», из-за которой, скорее всего, 89% владельцев iPhone пользуются TouchID.

Это программное обновление, которое можно было бы провести на всех iPhone – в том числе тех, которыми уже пользуются. Сделайте это – и все станет намного безопаснее. Между защитой и удобством можно найти золотую середину. Но разблокировать все данные на телефоне – все файлы, соцсети и банковские счета – только своим лицом? До этой середины нам еще только предстоит добраться.

Пока что я советую всем использовать пароли и позаботиться, чтобы они были надежными.

Источник

Чтобы вы не ошиблись при выборе, Rusbase рекомендует своим читателям надежных юристов и адвокатов.


Материалы по теме:

11 самых главных вопросов о функции Face ID

5 особенностей iPhone X, которые должен знать каждый

Функция распознавания лица не сработала на презентации нового iPhone X

«Такие пользователи, как мы с вами, – сладкий кусок пирога для хакера»

Фото на обложке: The Verge


Самые актуальные новости - в Telegram-канале Rusbase


Комментарии

Комментарии могут оставлять только авторизованные пользователи.
FinCon
25 октября 2017
Ещё события


Telegram канал @rusbase