Z hlediska zabezpečení je nejzajímavějším doplňkem Apple iPhone 5s integrovaný otisk prstu skener s názvem Touch ID, který vám umožní odemknout telefon pouhým dotykem prstu, a nikoli přístupový kód. Budete také moci nakupovat z iTunes pomocí skenování otisku prstu, místo abyste museli zadávat heslo k Apple ID.
Navzdory věrohodné jedinečnosti otisků prstů není skenování otisku prstu jako ověřovací pověření všelékem bezpečnostních problémů. Stojí za to věnovat trochu času pochopení technologie, toho, co dokáže a jak se bude integrovat do vašeho digitálního života.
Jak čtečka otisků prstů funguje?
Technologie rozpoznávání otisků prstů existuje už desítky let. Je to forma autentizace, termín používaný k popisu procesu prokazování, že jste tím, kým se říkáte. V tomto případě technologie naskenuje poskytnutý otisk prstu, porovná jej s databází a v případě shody umožní přístup stejně jako heslo nebo přístupový kód. Zatímco technologie rozpoznávání otisků prstů může technicky identifikovat ty stejně jako
ověřit vy, většina systémů stále vyžaduje uživatelské jméno pro zrychlení shody otisků prstů a snížení chyb. Protože však iPhone ukládá vaše uživatelské jméno Apple ID, nebude to pro většinu uživatelů problém.Čtečky otisků prstů se mohou spolehnout na celou řadu skenovacích technologií. Dva, které lze nejlépe integrovat do mobilního zařízení, jsou optické čtečky a kapacitní senzory. Optické čtečky jsou koncepčně jednoduché a k pořízení povrchu prstu používají v podstatě digitální fotoaparát.
Kapacitní senzory jsou složitější, místo toho vytvářejí obraz vašeho otisku prstu měřením rozdílů v kapacitě mezi hřebeny a údolími vašeho otisku prstu. Využívají elektrickou vodivost vaší podkožní vrstvy pokožky a elektrickou izolaci vaší dermální vrstvy (té, kde je váš otisk prstu). Váš otisk prstu je ve skutečnosti nevodivá vrstva mezi dvěma vodivými deskami, což je samotná definice kondenzátoru. Čtečka otisků prstů snímá elektrické rozdíly způsobené různou tloušťkou vaší dermis a dokáže z těchto údajů rekonstruovat váš otisk prstu.
Senzor Touch ID v iPhonu 5s je kapacitní čtečka, integrovaná do domovského tlačítka. To byla ze strany Apple dobrá volba, protože kapacitní skenery jsou přesnější a méně náchylné k rozmazaným prstům a nelze je zfalšovat fotokopií otisku prstu.
Čtečka tedy vyfotí můj prst a vyhledá ho v databázi?
Ne tak docela. Porovnání kompletních obrázků je složitý - a výpočetně náročný - úkol, se kterým se potýkají i výkonné počítače. Místo toho je obraz ze čtečky spuštěn pomocí algoritmu, který z vašeho otisku prstu vytáhne zvýraznění a převede je na digitální shrnutí - šablonu - se kterou se snáze pracuje. Tato šablona představuje váš otisk prstu a liší se podle použitého algoritmu.
Šablona je poté uložena v databázi, ideálně po spuštění pomocí funkce kryptografické hash, stejně jako vaše hesla. Samotná hesla se nikdy neukládají; místo toho jsou převedeny jednosměrným šifrovacím algoritmem, přičemž výsledek je uložen v databázi. Správně provedeno, to znamená, že vaše heslo nelze nikdy obnovit, i když databázi získá špatný člověk.
Ačkoli podrobnosti ještě nejsou známy, očekáváme, že Apple použije jedinečný kód zařízení každého iPhonu jako součást hashovacího algoritmu. Jelikož je integrován v hardwaru iPhonu, je prakticky nemožné zaútočit na zařízení pomocí výkonnějších počítačů; útoky na zařízení jsou mnohem pomalejší a obtížnější.
Když se k zařízení přihlásíte otiskem prstu, technologie si váš otisk prstu nasnímá a obrázek spustí pomocí svého algoritmu. Poté porovná výsledek s hodnotou uloženou v databázi. Pokud se oba shodují, budete vpuštěni stejně jako s heslem.
Apple poukázal na to, že váš otisk prstu nebude nikdy nahrán na iCloud ani na žádný internetový server. Místo toho bude šifrován a uložen v takzvaném Secure Enclave v samotném čipu A7.
Je otisk prstu bezpečnější než heslo nebo přístupový kód?
Ne nutně. Ve světě bezpečnosti existují tři způsoby, jak dokázat, že jste tím, kým o sobě říkáte, že jste něco, co víš, něco, co máš, a něco, čím jsi. Něco, co znáte, je přístupový kód nebo heslo; něco, co máte, je token, klíč nebo dokonce váš telefon; a něco, co jste, je „biometrický identifikátor“, jako je váš otisk prstu.
Použití kteréhokoli z těchto identifikátorů se nazývá jednofaktorové ověřování a je považováno za silné ověřování, když zkombinujete dva nebo více faktorů. Pokud o tom přemýšlíte (nebo se díváte dostatečně na televizi), můžete si snadno představit způsoby, jak oklamat čtečku otisků prstů, od fotokopie po falešný prst vyrobený ze želatiny. Klamat lze každou čtečku otisků prstů, a to nutně nevyžaduje špičkové technologie.
Navíc, pokud máte fyzický přístup k databázi, můžete proti ní spouštět útoky, jako by obsahovala hesla, generováním a testováním falešných šablon. Ne všechny algoritmy a hashovací funkce jsou stejně dobré a je snadné skončit se systémem, který je slabší než známé způsoby, jak spravujeme hesla.
Stručně řečeno, nic není dokonalé a samotný otisk prstu nemusí být nutně bezpečnější než heslo. Ještě horší je, že nemůžete změnit svůj otisk prstu. Proto super zabezpečené systémy obvykle vyžadují otisk prstu a heslo nebo čipovou kartu.
Nepočítá se můj telefon jako druhý faktor?
Tak nějak. Mnoho z vás může používat svůj telefon jako druhý faktor pro přihlášení ke službám, jako je Dropbox. V takovém případě se přihlásíte na web pomocí svého uživatelského jména a hesla a poté Dropbox odešle do vašeho telefonu jednorázový kód, který má v souboru. Od tebe znáte své heslo a mít svůj telefon, to se počítá jako dvoufaktorové ověřování.
Odemknutí telefonu je bohužel jiné, protože cílem je samotný telefon. Samotný otisk prstu je tedy stále jednofaktorovou autentizací a ve skutečnosti není v přísném smyslu bezpečnější.
Je však mnohem méně pravděpodobné, že někomu půjčíte svůj otisk prstu, a zatímco padouch by mohl uhodnout váš přístupový kód, pravděpodobnost, že někdo ukradne kopii vašeho otisku prstu v reálném světě, je velmi nízká, pokud nejste vysoce rizikoví cílová.
Pokud to není bezpečnější, proč přejít na otisk prstu?
Prakticky řečeno, pro většinu spotřebitelů je otisk prstu bezpečnější než přístupový kód na vašem iPhone. Je to rozhodně bezpečnější než čtyřmístný přístupový kód.
Skutečným důvodem ale je, že používání otisků prstů vytváří lepší zabezpečení díky vylepšené použitelnosti. Většina lidí, pokud vůbec používají přístupový kód, se drží jednoduchého čtyřmístného přístupového kódu, který útočník snadno obejde fyzickým držením vašeho iPhonu. Delší přístupové fráze, jako obskurní 16místný, který používám, jsou mnohem bezpečnější, ale je opravdu bolestné je opakovaně zadávat. Pokud je čtečka otisků prstů správně implementována, poskytuje bezpečnost dlouhého přístupového fráze a je pohodlnější než krátký přístupový kód.
Tak jako Psal jsem na MacWorld„Cílem společnosti Apple je zlepšit zabezpečení a zároveň ho učinit co nejméně viditelným.
Znamená to smrt hesel na mém iPhone
Vůbec ne. Za prvé, iOS se nezbaví podpory přístupových kódů, protože pouze iPhone 5s bude mít čtečku otisků prstů.
Za druhé, jak vidíte na tomto obrázku, vždy budete mít možnost místo skenování otisku prstu zadat přístupový kód.
Za třetí, zatímco mnozí z nás sdílejí své iPhony se svými manželi a dětmi, Apple oficiálně podporuje pouze jednoho uživatele na zařízení. Nicméně, Apple řekl že Touch ID vám umožní nastavit otisky prstů pro důvěryhodné přátele a rodinu, aby mohli snadno přistupovat k vašemu zařízení.
Pokud mi někdo ukradne telefon, znamená to, že má můj otisk prstu? - Téměř určitě ne. Není důvod uchovávat samotný otisk prstu, pouze šablonu. A jak již bylo zmíněno dříve, vaše otisky prstů jsou na iPhonu 5s šifrovány (máme podezření, že Apple skutečně znamená „hašované“).
Může někdo získat přístup k mému telefonu pomocí kopie mého otisku prstu? - Pravděpodobně. Jak jsem již zmínil, pokud nekombinujete svůj otisk prstu s jiným faktorem autentizace, jako je přístupový kód, útočník potřebuje jeden kus, aby předstíral, že jste vy.
Realisticky si s tím nemusí dělat téměř nikdo starosti, i když plně očekávám, že bude napsáno několik článků o snaze amatérských špionů vyrobit falešné prsty. Začnu být také opatrnější, když se zúčastním určitých hackerských konferencí, vzhledem k mým vtipálkovým přátelům.
Budu se moci do své banky přihlásit pomocí otisku prstu místo hesla? - Použití otisku prstu k přihlášení k webům a aplikacím, jako jsou ty z vaší banky, se může nakonec stát, ale ne hned. Apple pro to musí nejprve otevřít podporu API a poté ji vývojáři musí integrovat jak do svých aplikací, tak do back-end autentizačních databází. Apple uvedl, že čtečku otisků prstů mohou používat i jiné aplikace, ale váš uložený otisk prstu pro tyto aplikace nebude k dispozici. Máme tedy podezření, že počáteční podpora bude pomocí Touch ID přistupovat k heslu uloženému v klíčence iOS pomocí nějaké podpory API.
Tvůrci aplikací a cloudové služby, kteří chtějí přímý přístup k otiskům prstů, pokud to Apple dokonce podporuje, budou také muset přepracovat své systémy tak, aby se s nimi vypořádaly scénáře, jako je kompromitace něčího otisku prstu nebo uživatel, který se také přihlásí z počítače se systémem Windows, který má jiný otisk prstu skener. Nemohou jednoduše přepnout všechny na šablony otisků prstů pouze pro Apple. (A stejně jako otevřený standard pro generování šablon může znít jako dobrý nápad - existuje dokonce průmyslová organizace s názvem Aliance FIDO podporovat takovou interoperabilitu - kdo ví, jestli by ji Apple nakonec podpořil.)
Ale opět mám velké podezření, že se Apple alespoň na chvíli bude většinou spoléhat na zabezpečení přihlašovacích údajů v telefonu pomocí úctyhodná klíčenka, možná přidání funkce nebo podpory API, která potvrzuje otisk prstu pro toho registrovaného uživatele ověřeno.
Banky jsou také ze zákona povinny používat dvě formy autentizace. Proto pravděpodobně budete muset zadat PIN při přihlášení z jiného zařízení, nebo musíte při přihlášení z nového počítače zatančit potvrzovací e -mail. Technicky by se však váš telefon mohl považovat za druhý faktor a banky by mohly aktualizovat své systémy tak, aby kombinovaly skutečnost, že máte telefon s otiskem prstu pro přístup.
Budu moci používat svůj otisk prstu k přihlášení do své pracovní sítě?
Ne hned. Přestože Apple v systému iOS 7 přidává podporu jednotného přihlášení (SSO) na podnikové úrovni, vaše pracovní síť a aplikace budou stále potřebovat, abyste se ověřovali pomocí svého stávajícího uživatelského jména a hesla. SSO pouze znamená, že tyto přihlašovací údaje nemusíte znovu zadávat pro každý pracovní systém. Časem očekávám, že prodejci nabídnou nástroje, které vám umožní přístup do vaší pracovní sítě poté, co se autentizujete pomocí otisku prstu na vašem iPhone, za předpokladu, že to schválí vaše IT oddělení.
Proč je to tak důležité?
Apple není první společností, která do telefonu přidala čtečku otisků prstů. Otestoval jsem notebooky se čtečkami otisků prstů a viděl jsem telefony s integrovanými čtečkami. Skutečným vzrušením je, že Apple tuto technologii zpřístupní mnoha milionům spotřebitelů.
Pokud tak učiníte, dramaticky to zlepší zabezpečení a použitelnost zařízení iPhone 5s pro průměrné uživatele. Nesnáším potřebu zadávat silné heslo na malé klávesnici, zvláště když jdu kolem. Čtečka otisků prstů bude mnohem pohodlnější a v podstatě odstraní méně bezpečné čtyřciferné přístupové kódy, které většina lidí používá, pokud je vůbec používají.
Zkombinujte to se skutečností, že mnoho uživatelů nyní používá své telefony jako druhý faktor při přihlašování do různých cloudových služeb, a vidíte, že zlepšení zabezpečení zařízení iPhone 5s by obecně mohlo zlepšit zabezpečení důležitých aspektů Internet. Nestane se to přes noc, ale zlepšení zabezpečení v jakémkoli přístupovém bodu zvyšuje zabezpečení celého systému.
Jakmile uvidíme použitelné ověřování otisků prstů široce dostupné pro spotřebitele, život průměrného útočníka bude mnohem těžší.
Autor Rich Mogull pracuje v bezpečnostním světě zhruba 17 let a lámání počítačů (obvykle náhodou) ještě déle. Asi po 10 letech ve fyzickém zabezpečení (většinou pořádání velkých akcí/koncertů) udělal chybu opít se v Silicon Valley a někomu říct, že „pracoval v ostraze“. Článek přetištěn se svolením z TidBITS.
