Почему отпечатки пальцев не должны использоваться для безопасности [перевод]
Сканеры отпечатков пальцев уже давно повсеместно используются, но почему-то именно сейчас производители вроде Apple и HTC решили использовать их в своих смартфонах. На первый взгляд сканер отпечатков пальцев, который используется в качестве меры безопасности – отличная возможность защитить свои данные, ведь отпечатки у всех разные. Ну а с другой – использование любых биометрических данных – не самая лучшая идея.
Если говорить о безопасности, то тут сканеры проявили себя не с лучшей стороны. Chaos Computer Club (CCC) уже показали, что сканер не идеален и его довольно просто обмануть.
И хотя существует очень много преступлений, которые можно совершить вместо того, чтобы пытаться украсть чьи-то отпечатки пальцев для простого доступа к девайсу, недостатки сканеров могут привести к проблемам с документами (например, паспортами).
В далеком 2007 году CCC продемонстрировали как можно обмануть сканер отпечатков в супермаркете и, как результат, отправить чек об оплате на другой счет. В 2008 году группа заполучила и опубликовала отпечатки пальцев немецкого министра внутренних дел Вольфганга Шойбле. Его отпечатки также были доступны и на пленке, так что жители могли спокойно обманывать сканеры отпечатки пальцев.
Сайт группы, на котором описаны способы обмана сканеров в последний раз была обновлена в далеком 2004 году, но методы, которые там описаны, остаются актуальными и по сей день.
В отношении биометрических данных есть большие сомнения. Например, высокопоставленный американский сенатор написал в Apple письмо, в котором спрашивал, в каком виде отпечатки пальцев хранятся в iPhone 5S, отправляются ли данные в Apple и что указано в условиях использования – принадлежат ли биометрические данные Apple? А могут ли данные быть использованы в суде каким-либо образом?
Причина, по которой сенатор Эл Франкен задался этими вопросами, очень проста – после того, как ваши данные украдены, вы не можете их изменить. “Я скажу так: если хакерам удастся украсть ваши отпечатки, то они смогут до конца ваших дней притворяться вами”, – пишет сенатор. К слову, он также является председателем подкомитета сената по конфиденциальности, технологии и праву.
Сегодня, если кто-то взломает ваш аккаунт, вы просто смените пароль на новый. Если кто-то украдет вашу банковскую карту, вы просто ее заблокируете и получите новую. Но если ваши отпечатки попадут к злоумышленникам, то их уже не изменить. Нельзя изменить ни свою сетчатку, ни ДНК. Эти данные используются в криминалистике и очень помогают, но в качестве средств безопасности они являются очень и очень спорным решением.
Франк Ригер, официальный представитель CCC, заявил:
Довольно глупо использовать в качестве элемента безопасности то, что никак нельзя изменить и что мы оставляем повсюду. Нельзя вводить общественность в заблуждение ложными заявлениями о безопасности.
Если вести речь о телефоне, то тут все тоже не очень радует. Многие могут подумать что сканер – отличный способ оградить всех от использования вашего смартфона. Но что если в дальнейшем появится возможность привязать банковский аккаунт к телефону? Если можно будет совершать покупки в магазинах приложений? В таком случае уже ничто не помешает кому-нибудь снять отпечатки с моего стакана и опустошить мой аккаунт.
Кажется, нам нужна еще одна возможность обезопасить свои данные.
Можно использовать несколько способов защиты одновременно, отпечатки пальцев и обычный пароль например. Такое обойти будет намного сложнее чем по отдельности…
Использую сканер в своем ноутбуке и не вижу никаких проблем в использовании его или препятствий. Так и не понял в чем они и чем грозит использование оных мне и моему ноутбуку. Увидел только «А что если бы бабка, была дедом?» и только. Банковский аккаунт привязать к телефону? Пффф, что за чушь?
Между булок прикладывать и хранить свой шоколадный глаз как зеницу ока, извините за тавталогию. Во проблемы у поколения.
Со статьей полностью согласен, но не стоит драматизировать. Дело в том, что у вас 10 пальцев. Я бы предложил производителям для серьезных денежных операций сделать ввод не одного пальца а комбинации которую вы можете всегда изменить. Например 3 раза большой палец, один раз мизинец, и 2 раза указательный левой руки. Мало того что злоумышленникам нужны будут все ваши пальцы так еще и перебрать тысячи комбинаций. Так что в перспективе это весьма круто.
ПС и перебирать придется тактильно а не скоростным брутфорсом)
в первый же день на кеддре провели эксперимент – при использовании нескольких пальцев телефон можно разблокировать каждым из них. другое дело использовать для разблокировки мизинец, например, которым мы мало чего по жизни касаемся
КОММЕНТАРИЙ ОТРЕДАКТИРОВАН ПОСТОРОННИМ, ПРОШУ ОБРАТИТЬ ВНИМАНИЕ, ПРОБЛЕМА С БЛОГОМ.
Гдето читал – сосок завели. Но разве это не показывает идиотизм решения?
мне отчего-то кажется, что это идиотизм пользователя. можно и утюгом картошку жарить, это ж не означает, что утюги дурацкая вещь =))
Зато секьюрно. Отпечаток соска заполучить сложнее, чем отпечаток пальца.
Бегом в патентное бюро )
*Попытался представить брутфорс-станок с кучей отпечатков пальцев* :Е
Бугага, а что делать инвалидам? у кого пальцев меньше? намного меньше?
2й вопрос- смогут ли злоумышленники изъять отпечатки пальцев с украденого телефона? Apple, скорей всего, их зашифровала!
Стоит статью почитать прежде чем писать коменты
Lol, вот именно! Прочитай еще несколько раз место, где о сенаторе писали!
Ппц почему меня сегодня преследуют тупые люди…
Мой посл комментарий, не буду спорить с невоспитанным бараном/быдлом, по твоей фото сразу все видно! Если ты не понял о чем я писал, тогда не “сри” в коменты!
Всё дело в аватаре. Тянутся:)
суть статьи не в том как украсть отпечаток а в том, что будет если его уже смогли украсть/изъять.
Довольно глупо использовать в качестве элемента безопасности то, что никак нельзя изменить, – и этим все сказано
Абсолютно верно замечено. И это уже не паранойя из серии “ваши отпечатки Apple передает в хххх (вставить по вкусу)”. Просто, чтобы не провалиться окончательно, срочно понадобилась “киллер-фича”, бессмысленная и бестолковая, но которой не было у конкурентов. И – у Apple в очередной раз получилось :)