Apple представила технологию FaceID – новый способ разблокировать смартфон с помощью распознавания лица. Однако он не так надежен, как говорят в компании. Журналист и разработчик Куинси Ларсон (Quincy Larson) объяснил, в чем недостатки существующих систем биометрической идентификации.
На момент написания статьи никто кроме сотрудников Apple не тестировал, насколько безопасна FaceID. Поэтому в этой статье я расскажу про надежность системы распознавания лица и другие методы биометрической идентификации.
Так сложилось, что системы биометрической идентификации никогда не славились надежностью.
Камеры можно обмануть.
Голос можно записать.
Отпечатки пальцев можно украсть.
А во многих странах – например, в США – полицейские по закону могут заставить вас разблокировать телефон с помощью отпечатка. Так что направить телефон на вас и разблокировать его против вашей воли будет для них еще проще.
Если вы цените сохранность ваших данных – электронной почты, социальных сетей, семейных фото, истории перемещений – тогда я не советую использовать биометрическую идентификацию.
Вместо этого защищайте телефон с помощью пароля.
Сменить пароль не так сложно, как сменить лицо
Вот отличная сцена из фильма «Ультиматум Борна» 2007 года, где герой Мэтта Деймона взламывает двухфакторную систему биометрической идентификации у сейфа:
Пусть это всего лишь голливудский фильм десятилетней давности, но он наглядно демонстрирует некоторые проблемы биометрической идентификации.
Сколько фотографий вашего лица можно найти в интернете? Можно ли взять все эти фотографии и получить на их основе 3D-модель вашего лица достаточной точности, чтобы обмануть FaceID с ее инфракрасными датчиками и системой проекции точек?
Вот фрагмент недавней презентации Apple с демонстрацией работы FaceID:
Появление достаточно надежной системы, способной переиграть FaceID от Apple и подобные системы от других производителей – всего лишь вопрос времени.
Почему я так в этом уверен? Давайте поговорим о сканерах сетчатки глаза.
Сетчатка состоит из миллионов клеток и уникальна для каждого человека. Казалось бы, отличный вариант для биометрической идентификации?
В этом видео эксперт по безопасности обходит систему проверки сетчатки глаза на телефоне Samsung Galaxy 8. Все, что для этого понадобилось – принтер и контактные линзы.
Давайте сделаем шаг назад и вспомним о самом точном биометрическом идентификаторе – ДНК.
Ваша ДНК – всего лишь длинная последовательность данных. Человеческий геном состоит из трех миллиардов базовых пар. Весь геном займет на диске не больше гигабайта – прямо как одна серия «Игры престолов».
Расшифровка генома – дело недорогое. И стоимость падает куда быстрее, чем стоимость компьютерных вычислений в целом.
Если ваша последовательность ДНК вдруг появится в открытом доступе, ее будет довольно сложно изменить. Как и голос, отпечатки пальцев или форму лица.
Поэтому не стоит доверять биометрической идентификации. Есть вариант получше, правда он вам не понравится. Он не так удобен, зато работает.
Цифровые пароли: сложно угадать, легко изменить и защищены законом
На iPhone дается всего десять попыток разблокировать телефон с паролем. Для пароля из четырех цифр существует 104 возможных вариантов. Таким образом, если кто-то захочет подобрать пароль к вашему телефону, его шансы на успех будут равны одному к тысяче.
Возможно, звучит это не так впечатляюще, как упомянутые Apple «один на миллион», что похожий на вас человек сможет разблокировать ваш телефон. Но в случае с паролем злоумышленнику не за что ухватиться. Он понятия не имеет, каким должен быть пароль. Если он по-настоящему случайный, то защитит телефон куда лучше FaceID.
И поскольку ваш пароль будет резервным вариантом для FaceID, нужно постараться и придумать надежный пароль независимо от того, будете вы использовать FaceID или нет.
Вот 20 самых популярных четырехзначных паролей по данным The Datagenics Blog. Не используйте их, если хотите быть уверенными в своей безопасности.
А если вы хотите по-настоящему случайное число, скопируйте эту строку в JavaScript-консоль вашего браузера («Вид» -> «Инструменты разработчика» -> «Консоль JavaScript»):
Большинство телефонов – включая iPhone – поддерживают пароли из большего количества цифр. Каждая цифра повышает уровень безопасности пароля на порядок. Но учитывая, что вводить этот пароль придется много раз каждый день, четыре символа – самый оптимальный вариант.
И еще одно: суд в США, например, не вправе требовать от вас назвать пароль. Он существует только в вашем разуме и принадлежит только вам. Это ваша собственность, и его не используют для доступа к вашим данным, если вы сами того не захотите.
Безопасность и спокойствие, которые принесет вам пароль, стоят тех пары секунд, что вы потратите на его ввод.
Слово юристам: может ли суд в России обязать вас разблокировать айфон?
Опрошенные Rusbase эксперты заверяют, что в России смартфон могут изъять как вещественное доказательство – по решению суда, однако заставить вас ввести пароль юридически не представляется возможным.
Старший партнер Андрей Кузьмин адвокатского бюро «Титов, Кузьмин и партнеры» Андрей Кузьмин отмечает, что полиция может изъять телефон и отдать его на экспертизу, где уже могут быть предприняты попытки разблокировки, однако «обязать пользователя разблокировать смартфон нельзя: таких процедур не предусмотрено законом». С ним солидарен независимый юрист Сергей Сухочев, который добавляет, что «российский закон о полиции не обязывает граждан сообщать свои пароли к телефонам или компьютерам, также гражданин не обязан разблокировать свой телефон с помощью пальцев».
Адвокат Сергей Головин отметил, что в его практике бывали случаи, когда владельцы смартфонов отказывались вводить пароль, находясь под следствием. Но с применением FaceID данные из айфона действительно могут оказаться в большей опасности:
В практике возникают ситуации, когда к нам обращаются подзащитные, у которых в ходе производства первоначальных следственных действий изымается смартфон с паролем. В ходе следственных действий следователь признает телефон вещественным доказательством и приобщает к делу. В дальнейшем он самостоятельно или совместно с техническим специалистом проводит осмотр и может пытаться разблокировать смартфон, если это технически возможно. В моей практике были дела, когда обвиняемый отказывался разблокировать iPhone – и этого не мог сделать следователь или специалист, поэтому телефон шел как вещественное доказательство без извлечения данных. Я считаю, что с использованием функции FaceID разблокировка смартфона правоохранительными органами станет проще, так как лицо у человека одно, а отпечатков (которые используются в TouchID. – прим. ред.) уже несколько.
Работа над биометрической идентификацией
Вместо нынешней позиции «все или ничего» – то есть вы либо прошли аутентификацию, либо нет – производители устройств должны идти постепенно и требовать разные уровни идентификации для доступа к разным приложениям и типам данных.
Это похоже на традиционный контроль доступа в ПО на основе ролей. В смартфонах это уже реализовано на экранах разблокировки.
К примеру, на iOS по умолчанию вы можете прочитать текст сообщения, не разблокируя телефон. А каждый раз, когда вы покупаете что-то в App Store, iOS по умолчанию требует ввести еще более длинный пароль для подтверждения покупки.
Что-то вроде FaceID можно использовать для доступа к операциям чтения в менее конфиденциальных приложениях – например, новостных лентах. Но когда вам понадобится разрешение на «отправку» – например, написать SMS или отправить твит – телефон требовал бы цифровой пароль. Это помогло бы решить проблему «нужно разблокировать телефон по 80 раз в день», из-за которой, скорее всего, 89% владельцев iPhone пользуются TouchID.
Это программное обновление, которое можно было бы провести на всех iPhone – в том числе тех, которыми уже пользуются. Сделайте это – и все станет намного безопаснее. Между защитой и удобством можно найти золотую середину. Но разблокировать все данные на телефоне – все файлы, соцсети и банковские счета – только своим лицом? До этой середины нам еще только предстоит добраться.
Пока что я советую всем использовать пароли и позаботиться, чтобы они были надежными.
Материалы по теме:
11 самых главных вопросов о функции Face ID
5 особенностей iPhone X, которые должен знать каждый
Функция распознавания лица не сработала на презентации нового iPhone X
«Такие пользователи, как мы с вами, – сладкий кусок пирога для хакера»
Фото на обложке: The Verge
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Как попасть в топ поисковой выдачи Ozon»
- 1 Что подарить любителю технологий: обзор необычных подарков
- 2 Nike представила первые кроссовки, напечатанные на 3D-принтере
- 3 «Росатом» установит на ядерном объекте деталь, напечатанную на 3D-принтере
- 4 В Техасе появится первый в мире отель, напечатанный на 3D-принтере
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025