Z bezpečnostného hľadiska je najzaujímavejším doplnkom telefónu Apple iPhone 5s integrovaný odtlačok prsta skener s názvom Touch ID, ktorý vám umožní odomknúť telefón dotykom prsta, a nie prístupový kód. Budete tiež môcť nakupovať z iTunes pomocou skenovania odtlačkov prstov, namiesto toho, aby ste museli zadávať svoje heslo Apple ID.
Napriek presvedčenej jedinečnosti odtlačkov prstov nie je používanie skenovania odtlačkov prstov ako autentifikačného poverenia všeliekom na problémy s bezpečnosťou. Stojí za to venovať trochu času pochopeniu technológie, toho, čo dokáže a ako sa integruje do vášho digitálneho života.
Ako funguje čítačka odtlačkov prstov?
Technológia rozpoznávania odtlačkov prstov existuje už desaťročia. Je to forma autentifikácie, termín používaný na opis procesu dokazovania, že ste tým, kým sa hovoríte. V takom prípade technológia naskenuje poskytnutý odtlačok prsta, porovná ho s databázou a v prípade zhody umožní prístup rovnako ako heslo alebo prístupový kód. Zatiaľ čo technológia rozpoznávania odtlačkov prstov môže technicky
identifikovať ty rovnako ako overiť vy, väčšina systémov stále vyžaduje používateľské meno na urýchlenie párovania odtlačkov prstov a obmedzenie chýb. Pretože však iPhone ukladá vaše používateľské meno Apple ID, nebude to pre väčšinu používateľov problém.Čítačky odtlačkov prstov sa môžu spoľahnúť na rôzne technológie skenovania. Dva, ktoré je možné najlepšie integrovať do mobilného zariadenia, sú optické čítačky a kapacitné snímače. Optické čítačky sú koncepčne jednoduché a na zachytenie povrchu prstov používajú v podstate digitálny fotoaparát.
Kapacitné snímače sú komplexnejšie, namiesto toho vytvárajú obraz vášho odtlačku prsta meraním rozdielov v kapacite medzi hrebeňmi a údoliami vášho odtlačku prsta. Využívajú elektrickú vodivosť vašej podkožnej vrstvy pokožky a elektrickú izoláciu vašej dermálnej vrstvy (tej, kde je váš odtlačok prsta). Váš odtlačok prsta je v skutočnosti nevodivou vrstvou medzi dvoma vodivými doskami, čo je samotná definícia kondenzátora. Čítačka odtlačkov prstov vníma elektrické rozdiely spôsobené rôznou hrúbkou pokožky a dokáže z týchto údajov zrekonštruovať váš odtlačok prsta.
Senzor Touch ID v zariadení iPhone 5s je kapacitná čítačka, ktorá je integrovaná do tlačidla Domov. To bola zo strany spoločnosti Apple dobrá voľba, pretože kapacitné skenery sú presnejšie a menej náchylné na rozmazané prsty a nedajú sa falšovať pomocou fotokópie odtlačku prsta.
Takže čitateľ odfotí môj prst a vyhľadá ho v databáze?
Nie úplne. Porovnávanie úplných obrázkov je komplexná - a výpočtovo náročná - úloha, s ktorou zápasia aj výkonné počítače. Namiesto toho je obrázok z čítačky spustený algoritmom, ktorý z vášho odtlačku prsta vytiahne svetlé body a prevedie ich na digitálne zhrnutie - šablónu, s ktorou sa pracuje jednoduchšie. Táto šablóna predstavuje váš odtlačok prsta a líši sa v závislosti od použitého algoritmu.
Šablóna sa potom uloží do databázy, ideálne po spustení prostredníctvom funkcie kryptografickej hašovania, rovnako ako vaše heslá. Samotné heslá sa nikdy neukladajú; namiesto toho sú konvertované jednosmerným šifrovacím algoritmom, pričom výsledok je uložený v databáze. Ak ste to urobili správne, znamená to, že vaše heslo nemožno nikdy obnoviť, aj keď databázu dostane zlý človek.
Aj keď detaily ešte nie sú známe, očakávame, že spoločnosť Apple použije ako súčasť algoritmu hash jedinečný kód zariadenia každého iPhone. Pretože je zabudovaný do hardvéru zariadenia iPhone, je prakticky nemožné napadnúť zariadenie výkonnejšími počítačmi; útoky na zariadenie sú oveľa pomalšie a ťažšie.
Keď sa na prihlásenie do zariadenia použijete odtlačkom prsta, technológia nasníma váš odtlačok prsta a spustí ho podľa jeho algoritmu. Potom porovná výsledok s hodnotou uloženou v databáze. Ak sa tieto dve zhodujú, budete vpustení rovnako ako s heslom.
Spoločnosť Apple upozornila, že váš odtlačok prsta nebude nikdy nahraný na iCloud ani na žiadny internetový server. Namiesto toho bude šifrovaný a uložený v takzvanom Secure Enclave v samotnom čipe A7.
Je odtlačok prsta bezpečnejší ako heslo alebo prístupový kód?
Nie nevyhnutne. Vo svete bezpečnosti existujú tri spôsoby, ako dokázať, že ste tým, s kým sa hovoríte niečo, čo vieš, niečo, čo máša niečo, čím si. Niečo, čo poznáte, je prístupový kód alebo heslo; niečo, čo máte, je token, kľúč alebo dokonca váš telefón; niečo, čo ste, je „biometrický identifikátor“, ako je váš odtlačok prsta.
Použitie ktoréhokoľvek z týchto identifikátorov sa nazýva jednofaktorové overenie a považuje sa za silné overenie, keď skombinujete dva alebo viac faktorov. Ak sa nad tým zamyslíte (alebo sa dostatočne pozriete na televíziu), dokážete si ľahko predstaviť, ako oklamať čítačku odtlačkov prstov, od fotokópie po falošný prst vyrobený zo želatíny. Oklamať možno každú čítačku odtlačkov prstov, a to nevyhnutne nevyžaduje špičkové technológie.
Navyše, ak máte fyzický prístup k databáze, môžete proti nej vykonávať útoky, ako keby obsahovala heslá, generovaním a testovaním falošných šablón. Nie všetky algoritmy a hashovacie funkcie sú rovnako dobré a je ľahké skončiť so systémom, ktorý je slabší ako známe spôsoby správy hesiel.
Stručne povedané, nič nie je dokonalé a samotný odtlačok prsta nemusí byť bezpečnejšie ako heslo. Horšie je, že nemôžete zmeniť svoj odtlačok prsta. Preto super zabezpečené systémy zvyčajne vyžadujú odtlačok prsta a heslo alebo čipovú kartu.
Nepočíta sa môj telefón ako druhý faktor?
Druh. Mnoho z vás môže používať svoj telefón ako druhý faktor na prihlásenie sa do služieb, ako je Dropbox. V takom prípade sa prihlásite na web pomocou svojho používateľského mena a hesla a potom Dropbox odošle jednorazový kód do vášho telefónu, ktorý má v zázname. Odkedy ste poznať svoje heslo a mať svoj telefón, toto sa považuje za dvojfaktorové overenie.
Odomknutie telefónu je bohužiaľ iné, pretože cieľom je samotný telefón. Samotný odtlačok prsta je teda stále jednofaktorovou autentifikáciou a v skutočnom slova zmysle nie je bezpečnejší.
Je však oveľa menšia pravdepodobnosť, že by ste niekomu požičali odtlačok prsta, a hoci zlý človek môže váš prístupový kód uhádnuť, pravdepodobnosť, že vám niekto ukradne kópiu odtlačku prsta v reálnom svete, je veľmi nízka, pokiaľ nie ste vysoko rizikoví cieľ.
Ak nie je bezpečnejšie, prečo prepnúť na odtlačok prsta?
Prakticky povedané, pre väčšinu spotrebiteľov je odtlačok prsta bezpečnejší ako prístupový kód vo vašom iPhone. Je to určite bezpečnejšie ako štvorciferný prístupový kód.
Skutočným dôvodom však je, že používanie odtlačkov prstov vytvára lepšie zabezpečenie prostredníctvom zlepšenej použiteľnosti. Väčšina ľudí, ak vôbec používa prístupový kód, sa drží jednoduchého štvorciferného prístupového kódu, ktorý útočník ľahko obíde pri fyzickom vlastníctve vášho iPhone. Dlhšie prístupové frázy, ako napríklad obskúrna 16-znaková, ktorú používam, sú oveľa bezpečnejšie, ale opakovane zadávať skutočnú bolesť. Ak je čítačka odtlačkov prstov správne implementovaná, poskytuje bezpečie dlhej prístupovej frázy a je pohodlnejšie ako dokonca aj krátky prístupový kód.
As Písal som na MacWorld, Cieľom spoločnosti Apple je zlepšiť zabezpečenie a zároveň ho urobiť tak neviditeľným, ako je to možné.
Znamená to smrť hesiel na mojom iPhone
Vôbec nie. Po prvé, iOS sa nezbaví podpory prístupových kódov, pretože iba iPhone 5s bude mať čítačku odtlačkov prstov.
Za druhé, ako vidíte na tomto obrázku, vždy budete mať možnosť namiesto skenovania odtlačku prsta zadať prístupový kód.
Po tretie, zatiaľ čo mnohí z nás zdieľajú svoje telefóny iPhone s manželmi a deťmi, spoločnosť Apple oficiálne podporuje iba jedného používateľa na zariadenie. Avšak, Apple povedal že Touch ID vám umožní nastaviť odtlačky prstov pre dôveryhodných priateľov a rodinu, aby mali ľahký prístup k vášmu zariadeniu.
Ak mi niekto ukradne telefón, znamená to, že má môj odtlačok prsta? - Takmer určite nie. Nie je dôvod uchovávať samotný odtlačok prsta, iba šablónu. A ako už bolo spomenuté, vaše odtlačky prstov sú na zariadení iPhone 5s šifrované (máme podozrenie, že Apple skutočne znamená „hašované“).
Môže niekto získať prístup k môjmu telefónu pomocou kópie môjho odtlačku prsta? - Pravdepodobne. Ako som už spomenul, pokiaľ útočník nespojí svoj odtlačok prsta s iným autentifikačným faktorom, akým je napríklad prístupový kód, potrebuje jeden kus, aby predstieral, že ste vy.
Realisticky si tým nemusí robiť starosti nikto, aj keď plne očakávam, že bude napísaných množstvo článkov o úsilí amatérskych špiónov vyrobiť falošné prsty. Vzhľadom na svojich priateľov vtipkárov tiež začnem byť opatrnejší, keď sa zúčastním niektorých hackerských konferencií.
Budem sa môcť do svojej banky prihlásiť pomocou odtlačku prsta namiesto hesla? - Používanie odtlačku prsta na prihlásenie sa na webové stránky a aplikácie, napríklad z vašej banky, sa môže stať, ale nie hneď. Apple pre to musí najskôr otvoriť podporu API a potom ho vývojári musia integrovať do svojich aplikácií aj do back-end autentifikačných databáz. Spoločnosť Apple uviedla, že čítačku odtlačkov prstov môžu používať aj iné aplikácie, ale váš uložený odtlačok prsta nebude pre tieto aplikácie dostupný. Preto sa domnievame, že počiatočná podpora bude používať Touch ID na prístup k heslu uloženému v kľúčenke iOS pomocou určitej podpory API.
Tvorcovia aplikácií a cloudové služby, ktorí chcú priamy prístup k odtlačkom prsta, ak ho spoločnosť Apple dokonca podporuje, budú tiež musieť prepracovať svoje systémy tak, aby sa s nimi dokázali vyrovnať scenáre ako napríklad napadnutie niekoho odtlačkom prsta alebo používateľ, ktorý sa prihlási aj z počítača so systémom Windows, ktorý má iný odtlačok prsta skener. Nemôžu jednoducho prepnúť všetkých na šablóny odtlačkov prstov iba pre Apple. (A hoci by otvorený štandard na generovanie šablón mohol znieť ako dobrý nápad - existuje dokonca aj priemyselná organizácia s názvom Aliancia FIDO na podporu takejto interoperability - ktovie, či by ju Apple nakoniec podporil.)
Ale opäť mám veľké podozrenie, že sa Apple aspoň na nejaký čas bude väčšinou spoliehať na zabezpečenie poverení v telefóne pomocou úctyhodná kľúčenka, možno pridanie funkcie alebo podpory API, ktorá potvrdzuje, že odtlačok prsta pre tohto registrovaného používateľa bol overené.
Banky sú tiež zo zákona povinné používať dve formy autentifikácie. Preto pravdepodobne budete musieť zadať PIN pri prihlasovaní z iného zariadenia, alebo musíte pri prihlásení z nového počítača zatancovať potvrdzovací e -mail. Technicky by sa však váš telefón mohol považovať za druhý faktor a banky by mohli aktualizovať svoje systémy tak, aby kombinovali skutočnosť, že máte k dispozícii telefón a odtlačok prsta.
Budem sa môcť pomocou svojho odtlačku prsta prihlásiť do svojej pracovnej siete?
Nie hneď. Aj keď Apple v systéme iOS 7 pridáva podporu jednotného prihlásenia (SSO) na podnikovej úrovni, vaša pracovná sieť a aplikácie budú stále potrebovať, aby ste sa autentifikovali pomocou svojho existujúceho používateľského mena a hesla. SSO iba znamená, že tieto prihlasovacie údaje nemusíte zadávať znova pre každý pracovný systém. Postupom času očakávam, že predajcovia ponúknu nástroje, ktoré vám umožnia vstúpiť do vašej pracovnej siete potom, čo sa autentifikujete pomocou odtlačku prsta na svojom iPhone, za predpokladu, že to schváli vaše IT oddelenie.
Prečo je to také dôležité?
Apple nie je prvou spoločnosťou, ktorá do telefónu pridala čítačku odtlačkov prstov. Testoval som prenosné počítače so snímačmi odtlačkov prstov a videl som telefóny so vstavanými čítačkami. Skutočným vzrušením je, že Apple sprístupní túto technológiu mnohým miliónom spotrebiteľov.
Ak tak urobíte, dramaticky to zlepší bezpečnosť a použiteľnosť zariadenia iPhone 5s pre priemerných používateľov. Nenávidím potrebu zadávať silnú prístupovú frázu na malej klávesnici, najmä keď idem okolo. Čítačka odtlačkov prstov bude oveľa pohodlnejšia a v zásade odstráni menej bezpečné štvorciferné kódy, ktoré väčšina ľudí používa, ak ho vôbec používajú.
Skombinujte to so skutočnosťou, že mnoho používateľov teraz používa svoj telefón ako druhý faktor pri prihlasovaní do rôznych cloudových služieb, a vidíte, že zlepšenie zabezpečenia zariadenia iPhone 5s by vo všeobecnosti mohlo zlepšiť zabezpečenie dôležitých aspektov systému Internet. Nestane sa to zo dňa na deň, ale zlepšenie zabezpečenia v akomkoľvek prístupovom bode zvyšuje zabezpečenie celého systému.
Akonáhle uvidíme použiteľnú autentifikáciu odtlačkom prsta, ktorá je široko dostupná pre spotrebiteľov, život priemerného útočníka bude oveľa ťažší.
Autor Rich Mogull pracuje vo svete bezpečnosti zhruba 17 rokov a lámanie počítačov (spravidla náhodou) ešte dlhšie. Po asi 10 rokoch vo fyzickom zabezpečení (väčšinou beh veľkých akcií/koncertov) urobil chybu opiť sa v Silicon Valley a povedať niekomu, že „pracoval v oblasti bezpečnosti“. Článok vytlačený so súhlasom od TidBITS.