Наскільки безпечним є ідентифікатор обличчя та ідентифікатор дотику?
Apple заявляє, що особа ID та Touch ID є безпечними, і здебільшого це правда. Навряд чи випадкова людина може розблокувати ваш телефон. Але це не єдиний тип нападу, щоб турбуватися про це. Давайте копаємо трохи глибше.
Хоча вони використовують різні способи біометричної аутентифікації, ідентифікатор обличчя та ідентифікатор Touch дуже схожі під капотом. Коли ви намагаєтесь увійти в свій iPhone - або переглянувши фотоапарат на передній панелі або поклавши палець на сенсорний сенсор, телефон порівнює біометричні дані, які він виявляє, з даними, збереженими в Secure Enclave-окремому процесорі вся мета полягає в тому, щоб захистити телефон. Якщо обличчя або відбитки пальців збігаються, ваш iPhone розблокується. Якщо ні, вам буде запропоновано ввести пароль. Хоча все це звучить добре на папері, це безпечно?
Ідентифікатор обличчя та ідентифікатор дотику зазвичай безпечні
Загалом, сенсорний ідентифікатор та ідентифікатор обличчя захищені. Apple стверджує, що є шанс 1 на 50 000, що хтось інший відбитків буде фальшиво розблокувати ваш iPhone і 1 в 1000000 шанс, що хтось інше особа буде робити це. Є 1 у 10.000 хтось міг тільки здогадатися чотиризначний пароль та 1 у 1.000.000 шанс вони могли здогадатися ваш шість-цифровий пароль (та вони отримують три спроби перед тим, як вони замикаються). Це повинно поставити перспективу.
Можливість випадкового підбору або викрадення телефону, а потім розблокування за допомогою відбитка пальця, обличчя або навіть вгадування, що ваш пароль є надзвичайно тонким.
Одне застереження до цього - ідентичні близнюки або братів і сестер, які виглядають дуже схожі, більш імовірно, створюють помилковий позитив. У цьому випадку існує ймовірність того, що ваш брат може розблокувати ваш телефон за допомогою ідентифікатора обличчя. Проте ідентичні близнюки становлять лише 0,003% населення, тому це не ризик, який стосується багатьох. Якщо ви турбуєтесь про це, ви можете вимкнути ідентифікатор особи і просто використати захищений пароль.
Але, охорона проти такого роду випадкових вторгнень не єдине, що потрібно турбувати.
Ідентифікатор обличчя та ідентифікатор дотику можуть бути вразливими до цільових атак
Хоча майже напевно, що жоден випадковий незнайомець не зможе потрапити у ваш телефон, якщо ви є жертвою цілеспрямованої атаки, все може бути дещо іншим.
І ідентифікатор Touch ID і Face ID повністю вразливі, якщо хтось може змусити вас увійти в систему, або, утримуючи палець проти сенсора (навіть якщо ви спите), або змушуєте вас дивитися на свій телефон. І ці два типи атаки набагато простіше зняти, ніж змусити когось передати свій пароль.
Отже, як щодо підроблених відбитків пальців? Добре, Touch ID успішно зламали. Дослідники змогли використовувати фальшиві відбитки пальців, щоб розблокувати пристрої, захищені Touch ID. Тим не менш, ті ж самі дослідники називають техніку "нічого не тривіальним" і "ще трохи в царстві роману Джона ле Карре".
В основному, нападникам потрібна повна висока роздільна здатність, нерозмазана копія відбитка пальця, а також обладнання на тисячі доларів. Теоретично, хтось, хто дійсно вирішив, міг би потрапити у ваш телефон таким чином, можливо, навіть з фотографії вашого відбитка пальця. Справа в тому, що дані на айфонах переважної більшості людей просто не коштують вартості та клопоту такого роду нападу.
Крім того, якщо у вас є дані, які є чутливими або цінними, ви, ймовірно, вживаєте додаткові кроки для забезпечення цієї інформації. Це не така річ, яку можна зробити швидким випадковим незнайомцям.
Ідентифікатор обличчя ще не був зламаний, але реально він, ймовірно, в кінцевому підсумку буде схильний до подібних атак, як Touch ID. Wired витратили декілька тисяч доларів намагаючись зробити це та не спромоглися, але це не означає це не може бути зроблене. Марк Роджерс, хакер, який радив на Wired, - «все ще на 90 відсотків впевнений, що хакери можуть обдурити це». IPhone X залишився поза межами декількох місяців, тому ми побачимо, якою є ситуація через рік.
До чого це все зводиться - це одна з принципів безпеки. Жоден метод аутентифікації ніколи не витримує достатньо визначеного нападника. Завжди можуть бути використані недоліки; це просто питання того, наскільки легко вони можуть скористатися.
Ніщо не захищає вас від уряду
Ніяка безпека ніколи не може захистити вас від визначеного урядового агентства - США чи іншим чином - з по суті необмеженими ресурсами і бажанням потрапити в телефон. Вони можуть не тільки юридично змусити вас використовувати Touch ID або Face ID для розблокування телефону, але вони також мають доступ до інструментів, таких як GreyKey. GreyKey може нібито зламати будь-який код доступу до пристрою iOS, що робить марку Touch ID і Face ID марною. Apple наполегливо працює над тим, щоб закрити такі уразливі пристрої, як цей експлуатувати, але люди, які сподіваються на день оплати, працюють однаково важко, щоб відкрити нові.
Сенсорний ідентифікатор і ідентифікатор обличчя неймовірно зручні і, якщо вони підтримуються захищеним паролем для щоденного використання практично всіма користувачами. Однак, якщо ви є об'єктом визначеного хакера або урядового агентства, вони, можливо, не захистять вас довго.
Кредити зображення: XKCD.