Z varnostnega vidika je najbolj zanimiv dodatek Appleovemu iPhone 5s vgrajen prstni odtis optični bralnik, imenovan Touch ID, ki vam omogoča, da telefon odklenete s pritiskom na prst in ne z geslo. Prav tako boste lahko kupovali v iTunesu s pregledom prstnih odtisov, namesto da bi morali vnesti geslo za Apple ID.
Toda kljub domnevni edinstvenosti prstnih odtisov uporaba skeniranja prstnih odtisov kot poverilnice za preverjanje pristnosti ni zdravilo za varnostne težave. Vredno si je vzeti nekaj časa, da razumete tehnologijo, kaj zmore in kako se bo vključila v vaše digitalno življenje.
Kako deluje bralnik prstnih odtisov?
Tehnologija prepoznavanja prstnih odtisov obstaja že desetletja. To je oblika preverjanja pristnosti, izraz, ki opisuje postopek dokazovanja, da ste tisti, za katerega trdite, da ste. V tem primeru tehnologija skenira priloženi prstni odtis, ga primerja z bazo podatkov in, če se ujema, dovoli dostop tako kot geslo ali geslo. Tehnologija za prepoznavanje prstnih odtisov lahko tehnično
prepoznati tudi ti kot overiti vi, večina sistemov še vedno zahteva uporabniško ime, da pospeši ujemanje prstnih odtisov in zmanjša napake. Ker pa iPhone shranjuje vaše uporabniško ime Apple ID, to za večino uporabnikov ne bo problem.Bralniki prstnih odtisov se lahko zanesejo na različne tehnologije skeniranja. Dva, ki jih je mogoče najbolje integrirati v mobilno napravo, sta optična bralnika in kapacitivna senzorja. Optični bralniki so konceptualno preprosti, saj s pomočjo digitalnega fotoaparata posnamejo površino prsta.
Senzorji kapacitivnosti so bolj zapleteni, namesto tega ustvarijo podobo vašega prstnega odtisa z merjenjem razlik v kapacitivnosti med grebeni in dolinami vašega prstnega odtisa. Uporabljajo električno prevodnost vaše podkožne plasti kože in električno izolacijo vaše kožne plasti (tiste, na kateri je vaš prstni odtis). Vaš prstni odtis je dejansko neprevodna plast med dvema prevodnima ploščama, kar je sama definicija kondenzatorja. Bralnik prstnih odtisov zazna električne razlike, ki nastanejo zaradi različne debeline vašega dermisa, in lahko iz teh odčitkov rekonstruira vaš prstni odtis.
Senzor Touch ID v iPhone 5s je kapacitivni bralnik, vgrajen v gumb za domov. Apple je bil to dobra izbira, saj so kapacitivni skenerji natančnejši in manj nagnjeni k madežem prstov, zato jih ni mogoče ponarediti s fotokopijo prstnega odtisa.
Torej bralec posname moj prst in ga poišče v bazi podatkov?
Ne čisto. Primerjava popolnih slik je kompleksna - in računalniško intenzivna - naloga, s katero se spopadajo celo močni računalniki. Namesto tega se slika iz bralnika izvede z algoritmom, ki potegne poudarke iz vašega prstnega odtisa in jih pretvori v digitalni povzetek - predlogo - s katero je lažje delati. Ta predloga predstavlja vaš prstni odtis in se razlikuje glede na uporabljeni algoritem.
Predloga se nato shrani v bazo podatkov, najbolje je, če jo izvedete s kriptografsko funkcijo zgoščevanja, tako kot vaša gesla. Gesla se nikoli ne shranijo; namesto tega se pretvorijo v enosmerni šifrirni algoritem, rezultat pa je shranjen v bazi podatkov. Če je geslo opravljeno pravilno, to pomeni, da vašega gesla nikoli ne bo mogoče obnoviti, tudi če bazo dobi slab človek.
Čeprav podrobnosti še niso znane, pričakujemo, da bo Apple uporabil edinstveno kodo naprave vsakega iPhonea kot del algoritma razprševanja. Ker je vgrajen v strojno opremo iPhone, je dejansko nemogoče napasti napravo z zmogljivejšimi računalniki; napadi na napravi so veliko počasnejši in težji.
Ko za prijavo v napravo uporabite prstni odtis, tehnologija posname vaš prstni odtis in sliko požene po svojem algoritmu. Nato primerja rezultat z vrednostjo, shranjeno v bazi podatkov. Če se oba ujemata, vas spustijo tako kot z geslom.
Apple je poudaril, da vaš prstni odtis nikoli ne bo naložen v iCloud ali kateri koli internetni strežnik. Namesto tega bo šifriran in shranjen v tistem, kar se imenuje Secure Enclave, v samem čipu A7.
Je prstni odtis varnejši od gesla ali gesla?
Ni nujno. V svetu varnosti obstajajo trije načini, s katerimi lahko dokažete, da ste tisti, za katerega govorite, da ste nekaj, kar veste, nekaj, kar imaš, in nekaj kar si. Nekaj, kar veste, je geslo ali geslo; nekaj, kar imate, je žeton, ključ ali celo vaš telefon; in nekaj, kar ste, je "biometrični identifikator", kot je vaš prstni odtis.
Uporaba katerega koli od teh identifikatorjev je znana kot preverjanje pristnosti z enim faktorjem in velja za močno preverjanje pristnosti, če združite dva ali več dejavnikov. Če pomislite (ali gledate dovolj televizije), si zlahka predstavljate načine, kako prevarati bralnik prstnih odtisov, od fotokopije do ponarejenega prsta iz želatine. Vsak bralnik prstnih odtisov se lahko zavede in za to ni nujno potrebna visoka tehnologija.
Poleg tega, če imate fizični dostop do baze podatkov, lahko z njo ustvarite in preizkusite ponarejene predloge, tako kot da vsebuje gesla. Vsi algoritmi in funkcije razprševanja niso enako dobri in zlahka se konča sistem, ki je šibkejši od dobro znanih načinov upravljanja gesel.
Skratka, nič ni popolno in sam prstni odtis ni nujno bolj varen kot geslo. Še huje, prstnega odtisa ne morete spremeniti. Zato super varni sistemi običajno zahtevajo prstni odtis in geslo ali pametno kartico.
Ali moj telefon ne šteje kot drugi dejavnik?
Nekako. Mnogi med vami lahko svoj telefon uporabite kot drugi dejavnik za prijavo v storitve, kot je Dropbox. V tem primeru se prijavite na spletno mesto z uporabniškim imenom in geslom, nato pa Dropbox pošlje enkratno kodo v telefon, ki jo ima v datoteki. Od tebe vedeti svoje geslo in imej svoj telefon, to šteje za dvofaktorsko preverjanje pristnosti.
Žal je odklepanje telefona drugačno, saj je tarča sam telefon. Tako je samo prstni odtis še vedno enofaktorska avtentikacija in v resnici ni bolj varen.
Vendar pa je veliko manj verjetno, da boste nekomu posodili vaš prstni odtis, in čeprav slab človek ugiba vašo geslo, verjetnost, da bo nekdo ukradel kopijo vašega prstnega odtisa v resničnem svetu, je zelo majhna, razen če ste visoko tvegani tarča.
Če ni varnejši, zakaj bi prešli na prstni odtis?
Praktično gledano je za večino potrošnikov prstni odtis varnejši od gesla na vašem iPhoneu. Vsekakor je bolj varno kot štirimestno geslo.
Toda pravi razlog je, da uporaba prstnih odtisov z boljšo uporabnostjo ustvarja večjo varnost. Večina ljudi, če sploh uporablja geslo, se drži preprostega štirimestnega gesla, ki ga napadalec zlahka zaobide s fizično posestjo vašega iPhone-a. Daljši gesli, na primer nejasen 16-mestni, ki ga uporabljam, so veliko bolj varni, vendar je resnična bolečina večkratni vnos. Bralnik prstnih odtisov, če je pravilno nameščen, zagotavlja varnost dolge gesla z več udobja kot celo kratko geslo.
As Pisal sem pri Macworldu, Appleov cilj je izboljšati varnost, hkrati pa jo narediti čim bolj nevidno.
Ali to pomeni smrt gesla na mojem iPhoneu
Sploh ne. Prvič, iOS se ne bo znebil podpore za geslo, saj bo le iPhone 5s imel bralnik prstnih odtisov.
Drugič, kot lahko vidite na tej sliki, boste imeli vedno možnost vnosa gesla namesto skeniranja prstnega odtisa.
Tretjič, medtem ko mnogi od nas delijo svoje telefone iPhone z zakoncema in otroki, Apple uradno podpira le enega uporabnika na napravo. Vendar pa Apple je rekel ta Touch ID vam bo omogočil nastavitev prstnih odtisov za zaupanja vredne prijatelje in družino, da bodo lahko preprosto dostopali do vaše naprave.
Če mi kdo ukrade telefon, ali to pomeni, da ima moj prstni odtis? - Skoraj zagotovo ne. Ni razloga, da bi obdržali sam prstni odtis, samo predlogo. Kot smo že omenili, so vaši prstni odtisi šifrirani na iPhoneu 5s (sumimo, da Apple res pomeni »razpršen«).
Ali lahko kdo pridobi dostop do mojega telefona s kopijo mojega prstnega odtisa? - Verjetno. Kot sem že omenil, razen če prstnega odtisa združite z drugim faktorjem preverjanja pristnosti, kot je geslo, napadalec potrebuje en kos, da se pretvarja, da ste vi.
Resnično, skoraj nikogar ni treba skrbeti glede tega, čeprav v celoti pričakujem, da bodo napisani številni članki o prizadevanjih amaterskih vohunov, da bi naredili lažne prste. Prav tako bom začel biti bolj previden, ko se bom udeležil določenih hekerskih konferenc, glede na prijatelje potegavce.
Ali se bom lahko namesto gesla prijavil v svojo banko s prstnim odtisom? - Uporaba prstnega odtisa za prijavo na spletna mesta in aplikacije, na primer tiste iz vaše banke, se lahko zgodi sčasoma, vendar ne takoj. Apple mora zanj najprej odpreti podporo za API, nato pa jo morajo razvijalci vključiti v svoje aplikacije in v podatkovne zbirke za preverjanje pristnosti. Apple je dejal, da lahko druge aplikacije uporabljajo bralnik prstnih odtisov, vendar da shranjeni prstni odtis ne bo na voljo tem aplikacijam. Zato sumimo, da bo začetna podpora uporabljala Touch ID za dostop do gesla, shranjenega v obesku za ključe iOS, z uporabo neke vrste podpore za API.
Ustvarjalci aplikacij in storitve v oblaku, ki želijo neposreden dostop do prstnih odtisov, če jih Apple celo podpira, bodo morali preoblikovati svoje sisteme, scenarijev, kot je ogrožanje prstnega odtisa nekoga ali uporabnik, ki se prijavi tudi iz računalnika s sistemom Windows, ki ima drugačen prstni odtis skener. Ne morejo preprosto preklopiti vseh na predloge prstnih odtisov samo za Apple. (In čeprav se lahko odprt standard za ustvarjanje predlog zdi dobra ideja - obstaja celo industrija, imenovana Zveza FIDO za spodbujanje takšne interoperabilnosti - kdo ve, ali bi jo Apple sčasoma podprl.)
Toda spet močno sumim, da se bo Apple vsaj za nekaj časa večinoma zanašal na zavarovanje poverilnic v telefonu z uporabo častitljiv Keychain, morda dodaja funkcijo ali podporo za API, ki potrjuje prstni odtis tega registriranega uporabnika overjeno.
Prav tako morajo banke po zakonu uporabljati dve obliki preverjanja pristnosti. Zato boste verjetno morali vnesti kodo PIN, ko se prijavljate iz druge naprave, ali pa morate plesati potrditveno e -poštno sporočilo, ko se prijavite iz novega računalnika. Tehnično pa bi vaš telefon lahko bil drugi dejavnik, banke pa bi lahko posodobile svoje sisteme in združile dejstvo, da imate telefon s prstnim odtisom za dostop.
Ali se bom lahko s prstnim odtisom prijavil v svoje delovno omrežje?
Ne takoj. Čeprav Apple dodaja podporo za enotno prijavo (SSO) na ravni podjetja v sistemu iOS 7, bo vaše delovno omrežje in aplikacije še vedno zahtevalo preverjanje pristnosti z obstoječim uporabniškim imenom in geslom. SSO samo pomeni, da vam teh poverilnic ni treba znova vnesti za vsak delovni sistem. Sčasoma pričakujem, da bodo prodajalci ponudili orodja, ki vam bodo omogočila dostop do vašega delovnega omrežja, potem ko boste potrdili pristnost s prstnim odtisom na svojem iPhone -u, če bo vaš oddelek za IT odobril.
Zakaj je to tako pomembno?
Apple ni prvo podjetje, ki je telefonu dodalo bralnik prstnih odtisov. Preizkusil sem prenosnike z bralniki prstnih odtisov in videl telefone z vgrajenimi bralniki. Resnično navdušenje je, da bo Apple to tehnologijo naredil dostopno za milijone potrošnikov.
To bo dramatično izboljšalo varnost in uporabnost iPhone 5s za povprečne uporabnike. Sovražim, da moram vnesti močno geslo na majhni tipkovnici, še posebej, ko hodim naokoli. Bralnik prstnih odtisov bo veliko bolj priročen in bo v bistvu odpravil manj varne štirimestne gesla, ki jih večina ljudi uporablja, če jih sploh uporabljajo.
Združite to z dejstvom, da mnogi uporabniki zdaj uporabljajo svoje telefone kot drugi dejavnik pri prijavi v različne storitve v oblaku, in vidite, da bi lahko izboljšanje varnosti iPhone 5s na splošno izboljšalo varnost pomembnih vidikov Internet. To se ne bo zgodilo čez noč, vendar izboljšanje varnosti na kateri koli dostopni točki izboljša varnost celotnega sistema.
Ko bomo videli, da je uporabnikom pristni prstni odtis široko dostopen, bo življenje povprečnega napadalca postalo veliko težje.
Avtor Rich Mogull dela v svetu varnosti že približno 17 let, računalnike (običajno po naključju) pa lomi še dlje. Po približno 10 letih fizičnega varovanja (večinoma vodenje velikih prireditev/koncertov) je naredil napako pijan v Silicijevi dolini in nekomu povedal, da je "delal na varovanju". Članek ponatisnjen z dovoljenjem od TidBITS.