एक सुरक्षा विशेषज्ञ टच आईडी के साथ हाथ मिलाता है

सुरक्षा के दृष्टिकोण से, Apple के iPhone 5s का सबसे दिलचस्प जोड़ इसका एकीकृत फिंगरप्रिंट है स्कैनर, जिसे टच आईडी कहा जाता है, जो आपको a. के बजाय उंगली के स्पर्श से फ़ोन को अनलॉक करने में सक्षम बनाता है पासकोड। आप अपना ऐप्पल आईडी पासवर्ड दर्ज करने के बजाय आईट्यून्स से फ़िंगरप्रिंट स्कैन के साथ खरीदारी करने में सक्षम होंगे।

लेकिन उंगलियों के निशान की विशिष्ट विशिष्टता के बावजूद, एक प्रमाणीकरण क्रेडेंशियल के रूप में एक फिंगरप्रिंट स्कैन का उपयोग करना सुरक्षा समस्याओं के लिए रामबाण नहीं है। तकनीक को समझने में थोड़ा समय लगता है कि यह क्या कर सकती है, और यह आपके डिजिटल जीवन के साथ कैसे एकीकृत होगी।

फिंगरप्रिंट रीडर कैसे काम करता है?

फ़िंगरप्रिंट पहचान तकनीक दशकों से है। यह प्रमाणीकरण का एक रूप है, यह साबित करने की प्रक्रिया का वर्णन करने के लिए इस्तेमाल किया जाने वाला शब्द है कि आप कौन हैं जो आप कहते हैं कि आप हैं। इस मामले में, तकनीक प्रदान किए गए फिंगरप्रिंट को स्कैन करती है, इसकी तुलना डेटाबेस से करती है, और, यदि कोई मेल है, तो पासवर्ड या पासकोड के रूप में एक्सेस की अनुमति देता है। जबकि फिंगरप्रिंट पहचान तकनीक तकनीकी रूप से हो सकती है

पहचानना आप भी प्रमाणित आप, अधिकांश प्रणालियों को फ़िंगरप्रिंट मिलान को तेज़ करने और त्रुटियों को कम करने के लिए अभी भी उपयोगकर्ता नाम की आवश्यकता होती है। हालाँकि, चूंकि iPhone आपके Apple ID उपयोगकर्ता नाम को संग्रहीत करता है, इसलिए अधिकांश उपयोगकर्ताओं के लिए यह कोई समस्या नहीं होगी।

फ़िंगरप्रिंट पाठक विभिन्न प्रकार की स्कैनिंग तकनीकों पर भरोसा कर सकते हैं। मोबाइल डिवाइस में सबसे अच्छी तरह से एकीकृत किए जा सकने वाले दो ऑप्टिकल रीडर और कैपेसिटेंस सेंसर हैं। आपकी उंगली की सतह की एक छवि लेने के लिए अनिवार्य रूप से एक डिजिटल कैमरा का उपयोग करते हुए, ऑप्टिकल पाठक अवधारणात्मक रूप से सरल हैं।

कैपेसिटेंस सेंसर अधिक जटिल होते हैं, इसके बजाय आपके फ़िंगरप्रिंट की लकीरें और घाटियों के बीच समाई में अंतर को मापकर आपके फ़िंगरप्रिंट की एक छवि बनाते हैं। वे आपकी उप-त्वचीय त्वचा परत की विद्युत चालकता, और आपकी त्वचीय परत के विद्युत इन्सुलेशन (जहां आपका फिंगरप्रिंट है) का लाभ उठाते हैं। आपका फ़िंगरप्रिंट प्रभावी रूप से दो प्रवाहकीय प्लेटों के बीच एक गैर-प्रवाहकीय परत है, जो एक संधारित्र की बहुत परिभाषा है। फ़िंगरप्रिंट रीडर आपके डर्मिस की विभिन्न मोटाई के कारण होने वाले विद्युत अंतर को महसूस करता है, और उन रीडिंग से आपके फ़िंगरप्रिंट का पुनर्निर्माण कर सकता है।

IPhone 5s में टच आईडी सेंसर एक कैपेसिटिव रीडर है, जो होम बटन में एम्बेडेड है। ऐप्पल के हिस्से पर यह एक अच्छा विकल्प था, क्योंकि कैपेसिटिव स्कैनर अधिक सटीक होते हैं और धुंधली उंगलियों से कम प्रवण होते हैं, और एक फिंगरप्रिंट की फोटोकॉपी के साथ नकली नहीं किया जा सकता है।

तो पाठक मेरी उंगली की एक तस्वीर लेता है और उसे डेटाबेस में देखता है?

काफी नहीं। पूर्ण छवियों की तुलना करना एक जटिल - और कम्प्यूटेशनल रूप से गहन - कार्य है जिसमें शक्तिशाली कंप्यूटर भी संघर्ष करते हैं। इसके बजाय, पाठक की छवि एक एल्गोरिथ्म के माध्यम से चलती है जो आपके फिंगरप्रिंट से हाइलाइट खींचती है और उन्हें एक डिजिटल सारांश में परिवर्तित करती है - एक टेम्पलेट - जिसके साथ काम करना आसान है। यह टेम्प्लेट आपके फ़िंगरप्रिंट का प्रतिनिधित्व करता है, और उपयोग किए गए एल्गोरिथम के आधार पर भिन्न होता है।

टेम्पलेट को तब डेटाबेस में संग्रहीत किया जाता है, आदर्श रूप से क्रिप्टोग्राफ़िक हैशिंग फ़ंक्शन के माध्यम से चलाने के बाद, ठीक आपके पासवर्ड की तरह। पासवर्ड स्वयं कभी संग्रहीत नहीं होते हैं; इसके बजाय वे एक तरफ़ा एन्क्रिप्शन एल्गोरिथम द्वारा परिवर्तित होते हैं, जिसके परिणामस्वरूप डेटाबेस में संग्रहीत किया जाता है। ठीक से किया, इसका मतलब है कि आपका पासवर्ड कभी भी पुनर्प्राप्त नहीं किया जा सकता है, भले ही किसी बुरे व्यक्ति को डेटाबेस मिल जाए।

हालांकि विवरण अभी तक ज्ञात नहीं हैं, हम उम्मीद करते हैं कि ऐप्पल हैशिंग एल्गोरिदम के हिस्से के रूप में प्रत्येक आईफोन के अद्वितीय डिवाइस कोड का उपयोग करता है। चूंकि यह आईफोन के हार्डवेयर में एम्बेडेड है, इसलिए अधिक शक्तिशाली कंप्यूटरों के साथ डिवाइस पर हमला करना प्रभावी रूप से असंभव है; ऑन-डिवाइस हमले बहुत धीमे और अधिक कठिन होते हैं।

जब आप किसी डिवाइस में लॉग इन करने के लिए अपने फ़िंगरप्रिंट का उपयोग करते हैं, तो तकनीक आपके फ़िंगरप्रिंट की छवि बनाती है और छवि को उसके एल्गोरिथम के माध्यम से चलाती है। फिर यह परिणाम की तुलना डेटाबेस में संग्रहीत मान से करता है। यदि दोनों मेल खाते हैं, तो आपको पासवर्ड की तरह ही अंदर जाने दिया जाता है।

Apple ने इस बात पर ध्यान दिया कि आपका फ़िंगरप्रिंट कभी भी iCloud या किसी इंटरनेट सर्वर पर अपलोड नहीं किया जाएगा। इसके बजाय, इसे एन्क्रिप्ट किया जाएगा और ए 7 चिप के भीतर ही सिक्योर एन्क्लेव कहा जाता है।

क्या फिंगरप्रिंट पासवर्ड या पासकोड से ज्यादा सुरक्षित है?

जरूरी नही। सुरक्षा की दुनिया में, यह साबित करने के तीन तरीके हैं कि आप वही हैं जो आप कहते हैं कि आप हैं, के साथ कुछ तुम जानते हो, आपके पास कुछ है, तथा कुछ तुम हो. आप जो कुछ जानते हैं वह पासकोड या पासवर्ड है; आपके पास एक टोकन, चाबी, या यहां तक ​​कि आपका फोन भी है; और आप जो कुछ हैं वह आपके फिंगरप्रिंट की तरह "बायोमेट्रिक पहचानकर्ता" है।

उन पहचानकर्ताओं में से किसी एक का उपयोग करना एकल-कारक प्रमाणीकरण के रूप में जाना जाता है, और जब आप दो या अधिक कारकों को जोड़ते हैं तो इसे मजबूत प्रमाणीकरण माना जाता है। यदि आप इसके बारे में सोचते हैं (या पर्याप्त टीवी देखते हैं), तो आप आसानी से एक फिंगरप्रिंट रीडर को बेवकूफ बनाने के तरीकों की कल्पना कर सकते हैं, फोटोकॉपी से लेकर जिलेटिन से बनी नकली उंगली तक। प्रत्येक फिंगरप्रिंट रीडर को धोखा दिया जा सकता है, और ऐसा करने के लिए उच्च तकनीक की आवश्यकता नहीं है।

साथ ही, यदि आपके पास डेटाबेस तक भौतिक पहुंच है, तो आप नकली टेम्प्लेट बनाने और परीक्षण करके, इसके खिलाफ हमलों को वैसे ही चला सकते हैं जैसे कि इसमें पासवर्ड थे। सभी एल्गोरिदम और हैशिंग फ़ंक्शन समान रूप से अच्छे नहीं होते हैं, और एक ऐसी प्रणाली के साथ समाप्त करना आसान है जो हमारे द्वारा पासवर्ड प्रबंधित करने के प्रसिद्ध तरीकों से कमजोर है।

संक्षेप में, कुछ भी सही नहीं है, और केवल एक फिंगरप्रिंट पासवर्ड से अधिक सुरक्षित नहीं है। इससे भी बदतर, आप अपना फ़िंगरप्रिंट नहीं बदल सकते। इसलिए सुपर-सिक्योर सिस्टम को आमतौर पर फिंगरप्रिंट और पासवर्ड या स्मार्ट कार्ड की आवश्यकता होती है।

क्या मेरा फ़ोन दूसरे कारक के रूप में नहीं गिना जाता है?

की तरह। आप में से कई लोग ड्रॉपबॉक्स जैसी सेवाओं में लॉग इन करने के लिए दूसरे कारक के रूप में अपने फोन का उपयोग कर सकते हैं। उस परिदृश्य में, आप अपने उपयोगकर्ता नाम और पासवर्ड के साथ साइट पर लॉग इन करते हैं, और फिर ड्रॉपबॉक्स आपके फोन पर एक बार का कोड भेजता है, जो इसकी फाइल में होता है। जब से तुम अपना पासवर्ड जानें तथा आपका फोन है, यह दो-कारक प्रमाणीकरण के रूप में गिना जाता है।

दुर्भाग्य से, आपके फ़ोन को अनलॉक करना अलग है, क्योंकि फ़ोन ही लक्ष्य है। इस प्रकार, केवल एक फ़िंगरप्रिंट अभी भी एकल-कारक प्रमाणीकरण है, और वास्तव में सख्त अर्थों में अधिक सुरक्षित नहीं है।

हालाँकि, आप किसी को अपना फ़िंगरप्रिंट ऋण देने की बहुत कम संभावना रखते हैं, और जबकि एक बुरा आदमी आपके पासकोड का अनुमान लगा सकता है, वास्तविक दुनिया में किसी के द्वारा आपके फ़िंगरप्रिंट की कॉपी चुराने की संभावना बहुत कम है, जब तक कि आप उच्च जोखिम वाले न हों लक्ष्य

यदि यह अधिक सुरक्षित नहीं है, तो फ़िंगरप्रिंट पर स्विच क्यों करें?

व्यावहारिक रूप से, अधिकांश उपभोक्ताओं के लिए, आपके iPhone पर पासकोड की तुलना में फ़िंगरप्रिंट अधिक सुरक्षित है। यह निश्चित रूप से चार अंकों के पासकोड से अधिक सुरक्षित है।

लेकिन असली कारण यह है कि उंगलियों के निशान का उपयोग बेहतर उपयोगिता के माध्यम से बेहतर सुरक्षा बनाता है। अधिकांश लोग, यदि वे पासकोड का बिल्कुल भी उपयोग करते हैं, तो एक साधारण चार-अंकीय पासकोड के साथ चिपके रहते हैं, जो एक हमलावर के लिए आपके iPhone के भौतिक कब्जे से बचने के लिए आसान है। मेरे द्वारा उपयोग किए जाने वाले अस्पष्ट 16-वर्णों की तरह लंबे पासफ़्रेज़ कहीं अधिक सुरक्षित हैं, लेकिन बार-बार प्रवेश करने के लिए एक वास्तविक दर्द है। एक फ़िंगरप्रिंट रीडर, यदि ठीक से कार्यान्वित किया जाता है, तो एक छोटे पासकोड की तुलना में अधिक सुविधा के साथ, एक लंबे पासफ़्रेज़ की सुरक्षा प्रदान करता है।

जैसा मैंने मैकवर्ल्ड में लिखा, Apple का लक्ष्य इसे यथासंभव अदृश्य बनाते हुए सुरक्षा में सुधार करना है।

क्या इसका मतलब मेरे iPhone पर पासकोड की मौत है

बिल्कुल नहीं। सबसे पहले, आईओएस पासकोड समर्थन से छुटकारा पाने वाला नहीं है क्योंकि केवल आईफोन 5 एस में फिंगरप्रिंट रीडर होगा।

दूसरा, जैसा कि आप इस छवि में देख सकते हैं, आपके पास फिंगरप्रिंट स्कैन करने के बजाय हमेशा पासकोड डालने का विकल्प होगा।

तीसरा, जबकि हम में से कई लोग अपने आईफ़ोन को अपने जीवनसाथी और बच्चों के साथ साझा करते हैं, Apple आधिकारिक तौर पर प्रति डिवाइस केवल एक उपयोगकर्ता का समर्थन करता है। हालांकि, सेब कहा है वह टच आईडी आपको विश्वसनीय मित्रों और परिवार के लिए फ़िंगरप्रिंट सेट करने की अनुमति देगा, ताकि वे आपके डिवाइस को आसानी से एक्सेस कर सकें।

अगर कोई मेरा फोन चुरा लेता है, तो क्या इसका मतलब यह है कि उसके पास मेरा फिंगरप्रिंट है? - लगभग निश्चित रूप से नहीं। फ़िंगरप्रिंट को स्वयं रखने का कोई कारण नहीं है, केवल टेम्प्लेट। और जैसा कि पहले उल्लेख किया गया है, आपकी उंगलियों के निशान iPhone 5s पर एन्क्रिप्ट किए गए हैं (हमें संदेह है कि Apple का वास्तव में "हैशेड" है)।

क्या कोई मेरे फ़िंगरप्रिंट की प्रति के साथ मेरे फ़ोन तक पहुँच प्राप्त कर सकता है? - शायद। जैसा कि मैंने पहले उल्लेख किया है, जब तक आप अपने फिंगरप्रिंट को किसी अन्य प्रमाणीकरण कारक के साथ नहीं जोड़ते हैं, जैसे पासकोड, एक हमलावर को आपके होने का दिखावा करने के लिए एक टुकड़े की आवश्यकता होती है।

वास्तव में, लगभग किसी को भी इस बारे में चिंता करने की आवश्यकता नहीं है, हालांकि मैं पूरी तरह से उम्मीद करता हूं कि नकली उंगलियां बनाने के लिए शौकिया जासूसों के प्रयासों के बारे में कई लेख लिखे जाएंगे। जब मैं अपने मसखरा दोस्तों को देखते हुए कुछ हैकर सम्मेलनों में भाग लेता हूं तो मैं और अधिक सावधान रहना शुरू कर दूंगा।

क्या मैं पासवर्ड के बजाय अपने फिंगरप्रिंट से अपने बैंक में लॉग इन कर पाऊंगा? - वेब साइटों और ऐप्स में लॉग इन करने के लिए अपने फिंगरप्रिंट का उपयोग करना, जैसे कि आपके बैंक से, अंततः हो सकता है, लेकिन तुरंत नहीं। ऐप्पल को पहले इसके लिए एपीआई सपोर्ट खोलना होगा, फिर डेवलपर्स को इसे अपने ऐप और बैक-एंड ऑथेंटिकेशन डेटाबेस दोनों में एकीकृत करना होगा। ऐप्पल ने कहा कि अन्य ऐप्स फ़िंगरप्रिंट रीडर का उपयोग कर सकते हैं, लेकिन आपका संग्रहीत फ़िंगरप्रिंट उन ऐप्स के लिए उपलब्ध नहीं होगा। इस प्रकार हमें संदेह है कि प्रारंभिक समर्थन किसी प्रकार के एपीआई समर्थन का उपयोग करके, आईओएस किचेन में संग्रहीत पासवर्ड तक पहुंचने के लिए टच आईडी का उपयोग करेगा।

ऐप निर्माता और क्लाउड सेवाएं जो सीधे फिंगरप्रिंट एक्सेस चाहते हैं, अगर ऐप्पल भी इसका समर्थन करता है, तो इससे निपटने के लिए अपने सिस्टम को फिर से डिज़ाइन करना होगा परिदृश्य जैसे कि किसी के फ़िंगरप्रिंट से छेड़छाड़ की जा रही है, या एक उपयोगकर्ता जो एक अलग फ़िंगरप्रिंट वाले विंडोज-आधारित कंप्यूटर से लॉग इन करता है चित्रान्वीक्षक। वे सभी को केवल Apple-केवल फ़िंगरप्रिंट टेम्प्लेट पर स्विच नहीं कर सकते। (और टेम्प्लेट बनाने के लिए एक खुला मानक होना एक अच्छे विचार की तरह लग सकता है - यहां तक ​​​​कि एक उद्योग संगठन भी है जिसे कहा जाता है FIDO एलायंस इस तरह की इंटरऑपरेबिलिटी को बढ़ावा देने के लिए - कौन जानता है कि ऐप्पल अंततः इसका समर्थन करेगा।)

लेकिन फिर से, मुझे अत्यधिक संदेह है कि Apple, कम से कम कुछ समय के लिए, ज्यादातर फोन पर क्रेडेंशियल हासिल करने पर निर्भर करेगा आदरणीय चाबी का गुच्छा, शायद एक सुविधा या एपीआई समर्थन जोड़ना जो उस पंजीकृत उपयोगकर्ता के लिए फिंगरप्रिंट का दावा करता है प्रमाणित।

साथ ही, बैंकों को कानूनी रूप से प्रमाणीकरण के दो रूपों का उपयोग करने की आवश्यकता होती है। इसलिए जब आप किसी अन्य डिवाइस से लॉग इन करते हैं तो आपको पिन दर्ज करने की संभावना होती है, या जब आप किसी नए कंप्यूटर से लॉग इन करते हैं तो आपको ईमेल पुष्टिकरण नृत्य करना चाहिए। तकनीकी रूप से, हालांकि, आपका फ़ोन दूसरे कारक के रूप में गिना जा सकता है, और बैंक आपके फ़ोन को आपके फ़िंगरप्रिंट के साथ एक्सेस करने के तथ्य को संयोजित करने के लिए अपने सिस्टम को अपडेट कर सकते हैं।

क्या मैं अपने कार्य नेटवर्क में लॉग इन करने के लिए अपने फ़िंगरप्रिंट का उपयोग कर पाऊंगा?

तुरंत नहीं। हालाँकि Apple iOS 7 में एंटरप्राइज़-स्तरीय सिंगल साइन-ऑन (SSO) समर्थन जोड़ रहा है, फिर भी आपके कार्य नेटवर्क और एप्लिकेशन को आपको अपने मौजूदा उपयोगकर्ता नाम और पासवर्ड का उपयोग करके प्रमाणित करने की आवश्यकता होगी। SSO का सीधा सा मतलब है कि आपको प्रत्येक कार्य प्रणाली के लिए उन क्रेडेंशियल्स को फिर से दर्ज करने की आवश्यकता नहीं है। समय के साथ मुझे उम्मीद है कि विक्रेता आपके आईफोन पर अपने फिंगरप्रिंट का उपयोग करके प्रमाणित करने के बाद आपको अपने कार्य नेटवर्क पर अनुमति देने के लिए उपकरण प्रदान करेंगे, यह मानते हुए कि आपका आईटी विभाग स्वीकृत है।

यह क्यों इतना महत्वपूर्ण है?

Apple फोन में फिंगरप्रिंट रीडर जोड़ने वाली पहली कंपनी नहीं है। मैंने फ़िंगरप्रिंट रीडर वाले लैपटॉप और एम्बेडेड रीडर वाले फ़ोन देखे हैं। वास्तविक उत्साह यह है कि Apple इस तकनीक को लाखों उपभोक्ताओं के लिए सुलभ बनाएगा।

ऐसा करने से औसत उपयोगकर्ताओं के लिए iPhone 5s की सुरक्षा और उपयोगिता में नाटकीय रूप से सुधार होगा। मुझे छोटे कीबोर्ड पर एक मजबूत पासफ़्रेज़ दर्ज करने की आवश्यकता से नफरत है, खासकर जब मैं घूम रहा होता हूं। एक फ़िंगरप्रिंट रीडर कहीं अधिक सुविधाजनक होगा, और अनिवार्य रूप से कम सुरक्षित चार-अंकीय पासकोड को समाप्त कर देगा, जिसका अधिकांश लोग उपयोग करते हैं, यदि वे एक का उपयोग करते हैं।

इसे इस तथ्य के साथ मिलाएं कि कई उपयोगकर्ता अब अपने फोन का उपयोग दूसरे कारक के रूप में करते हैं, जब विभिन्न प्रकार की क्लाउड सेवाओं में लॉग इन किया जाता है, और आप देख सकते हैं कि iPhone 5s की सुरक्षा में सुधार आम तौर पर महत्वपूर्ण पहलुओं की सुरक्षा में सुधार कर सकता है इंटरनेट। यह रातोंरात नहीं होगा, लेकिन किसी भी पहुंच बिंदु पर सुरक्षा में सुधार पूरे सिस्टम के लिए सुरक्षा में सुधार करता है।

एक बार जब हम उपभोक्ताओं के लिए प्रयोग करने योग्य फिंगरप्रिंट प्रमाणीकरण को व्यापक रूप से उपलब्ध होते देखते हैं, तो औसत हमलावर के लिए जीवन बहुत कठिन हो जाएगा।

लेखक रिच मोगल 17 या इतने वर्षों से सुरक्षा की दुनिया में काम कर रहे हैं, और कंप्यूटर को तोड़ रहे हैं (आमतौर पर दुर्घटना से) और भी लंबे समय तक। शारीरिक सुरक्षा में लगभग 10 वर्षों के बाद (ज्यादातर बड़े कार्यक्रम / संगीत कार्यक्रम चलाना), उन्होंने गलती की सिलिकॉन वैली में नशे में होना और किसी को बताना कि वह "सुरक्षा में काम करता है।" अनुमति के साथ पुनर्मुद्रित लेख से छोटी-मोटी बातें.