З точки зору безпеки, найцікавішим доповненням до iPhone 5s від Apple є його інтегрований відбиток пальця сканер під назвою Touch ID, який дозволяє розблокувати телефон одним дотиком пальця, а не код доступу. Ви також зможете робити покупки в iTunes за допомогою сканування відбитків пальців, а не вводити пароль Apple ID.
Але, незважаючи на унікальну унікальність відбитків пальців, використання сканування відбитків пальців як облікових даних для автентифікації не є панацеєю від проблем безпеки. Варто приділити трохи часу, щоб зрозуміти технологію, що вона може зробити та як вона інтегруватиметься у ваше цифрове життя.
Як працює сканер відбитків пальців?
Технологія розпізнавання відбитків пальців існує вже десятиліттями. Це форма автентифікації, термін, який використовується для опису процесу доведення того, хто ви є. У цьому випадку технологія сканує наданий відбиток пальця, порівнює його з базою даних і, якщо є відповідність, надає доступ так само, як і пароль або пароль. Хоча технологія розпізнавання відбитків пальців може технічно
ідентифікувати ти так само як автентифікувати Ви, більшість систем все ще вимагаєте ім'я користувача, щоб прискорити відповідність відбитків пальців і зменшити кількість помилок. Однак, оскільки iPhone зберігає ваше ім’я користувача Apple ID, для більшості користувачів це не буде проблемою.Сканери відбитків пальців можуть покладатися на різноманітні технології сканування. Найкраще інтегрувати в мобільний пристрій два оптичні зчитувачі та ємнісні датчики. Оптичні зчитувачі концептуально прості, використовуючи те, що по суті є цифровою камерою, щоб зробити знімок поверхні вашого пальця.
Датчики ємності є більш складними, замість цього створюють зображення вашого відбитка пальця, вимірюючи відмінності ємності між хребтами та долинами вашого відбитка пальця. Вони впливають на електропровідність вашого підшкірного шару шкіри та електричну ізоляцію вашого шкірного шару (ту, де є ваш відбиток пальця). Ваш відбиток пальця є фактично непровідним шаром між двома провідними пластинами, що є самим визначенням конденсатора. Зчитувач відбитків пальців відчуває електричні відмінності, викликані різною товщиною дерми, і може відновити ваш відбиток пальця за цими показаннями.
Датчик Touch ID в iPhone 5s є ємнісним зчитувачем, вбудованим у кнопку «Додому». Це був хороший вибір з боку Apple, оскільки ємнісні сканери більш точні і менш схильні до розмазування пальців, і їх неможливо підробити за допомогою ксерокопії відбитка пальця.
Отже, читач робить знімок мого пальця і шукає його в базі даних?
Не зовсім. Порівняння цілісних зображень - складна - і обчислювальна - задача, з якою борються навіть потужні комп’ютери. Натомість зображення з зчитувача виконується за допомогою алгоритму, який знімає виділені фрагменти з вашого відбитка пальця та перетворює їх у цифровий підсумок - шаблон - з яким легше працювати. Цей шаблон представляє ваш відбиток пальця і залежить від використовуваного алгоритму.
Після цього шаблон зберігається в базі даних, в ідеалі після того, як він пройде через криптографічну функцію хешування, так само, як і ваші паролі. Самі паролі ніколи не зберігаються; натомість вони перетворюються за допомогою одностороннього алгоритму шифрування, а результат зберігається в базі даних. Зроблено належним чином, це означає, що ваш пароль неможливо відновити, навіть якщо поганий хлопець отримає базу даних.
Хоча деталі ще не відомі, ми очікуємо, що Apple використовує унікальний код пристрою кожного iPhone як частину алгоритму хешування. Оскільки він вбудований в апаратне забезпечення iPhone, фактично неможливо атакувати пристрій за допомогою більш потужних комп’ютерів; атаки на пристрої відбуваються набагато повільніше і складніше.
Коли ви використовуєте відбиток пальця для входу на пристрій, технологія знімає ваш відбиток пальця і запускає зображення за його алгоритмом. Потім він порівнює результат зі значенням, що зберігається в базі даних. Якщо обидва збігаються, вас впускають так само, як і з паролем.
Apple звернула увагу на те, що ваш відбиток пальця ніколи не буде завантажено на iCloud або будь -який Інтернет -сервер. Замість цього він буде зашифрований і зберігатись у так званому безпечному анклаві всередині самого чіпа A7.
Чи відбиток пальця надійніше, ніж пароль або пароль?
Не обов'язково. У світі безпеки існує три способи довести, що ви є тим, за кого себе називаєте щось вам відомо, щось у вас є, і щось ти є. Те, що ви знаєте, - це пароль або пароль; щось у вас є жетон, ключ або навіть телефон; і те, що ви є, - це «біометричний ідентифікатор», як ваш відбиток пальця.
Використання будь-якого з цих ідентифікаторів відоме як однофакторна автентифікація, і воно вважається надійною автентифікацією, коли ви поєднуєте два чи більше факторів. Якщо ви подумаєте про це (або подивитесь достатньо телевізора), ви легко уявите собі способи обдурити зчитувач відбитків пальців, починаючи від ксерокопії і закінчуючи підробленим пальцем з желатину. Кожного читача відбитків пальців можна обдурити, і для цього не обов’язково потрібні високі технології.
Крім того, якщо у вас є фізичний доступ до бази даних, ви можете запускати атаки проти неї так само, якби вона містила паролі, шляхом створення та тестування підроблених шаблонів. Не всі алгоритми та функції хешування однаково хороші, і легко знайти систему, яка слабша за відомі способи управління паролями.
Одним словом, немає нічого ідеального, і тільки відбиток пальця не обов’язково є більш безпечним, ніж пароль. Що ще гірше, ви не можете змінити відбиток пальця. Ось чому надзахищені системи зазвичай вимагають відбитків пальців і пароля або смарт-карти.
Чи мій телефон не вважається другим фактором?
Різновид. Багато з вас можуть використовувати свій телефон як другий фактор для входу в такі служби, як Dropbox. У цьому випадку ви входите на сайт зі своїм ім’ям користувача та паролем, а потім Dropbox надсилає на ваш телефон одноразовий код, який він має у файлі. Відколи ти знати свій пароль та мати свій телефон, це вважається двофакторною автентифікацією.
На жаль, розблокування телефону відрізняється, оскільки він є ціллю. Таким чином, тільки відбиток пальця все ще є однофакторною автентифікацією, а насправді не більш безпечним у строгому сенсі.
Однак ви набагато рідше позичаєте комусь свій відбиток пальця, і хоча поганий хлопець може вгадати ваш пароль, ймовірність того, що хтось викраде копію вашого відбитка пальця в реальному світі дуже низька, якщо ви не ризикуєте ціль.
Якщо це не безпечніше, навіщо переходити на відбиток пальця?
Практично кажучи, для більшості споживачів відбиток пальця більш безпечний, ніж пароль на вашому iPhone. Це однозначно безпечніше, ніж чотиризначний пароль.
Але справжня причина в тому, що використання відбитків пальців створює кращу безпеку за рахунок поліпшення зручності використання. Більшість людей, якщо вони взагалі використовують код доступу, дотримуються простого чотиризначного пароля, який зловмисник легко обійде за допомогою фізичного володіння вашим iPhone. Більш довгі парольні фрази, як, наприклад, незрозумілий 16-значний, який я використовую, є набагато більш безпечними, але справжній біль повторювати повторно. Зчитувач відбитків пальців, якщо він належним чином реалізований, забезпечує безпеку довгої парольної фрази з більшою зручністю, ніж навіть короткий пароль.
Як Я писав у Macworld, Мета Apple - покращити безпеку, зробивши її максимально непомітною.
Чи означає це смерть паролів на моєму iPhone
Зовсім ні. По -перше, iOS не збирається позбуватися підтримки паролів, оскільки тільки iPhone 5s матиме сканер відбитків пальців.
По -друге, як ви можете бачити на цьому зображенні, у вас завжди буде можливість введення пароля замість сканування відбитка пальця.
По -третє, хоча багато хто з нас ділиться своїми iPhone зі своїми подружжям та дітьми, Apple офіційно підтримує лише одного користувача на кожен пристрій. Однак Apple сказав що Touch ID дозволить вам налаштувати відбитки пальців для надійних друзів і сім'ї, щоб вони могли легко отримати доступ до вашого пристрою.
Якщо хтось вкрав мій телефон, це означає, що у нього є мій відбиток пальця? - Майже напевно ні. Немає причин зберігати сам відбиток пальця, лише шаблон. І як згадувалося раніше, ваші відбитки пальців зашифровані на iPhone 5s (ми підозрюємо, що Apple насправді означає «хешований»).
Чи може хтось отримати доступ до мого телефону з копією мого відбитка пальця? - Ймовірно. Як я вже згадував раніше, якщо ви не поєднаєте свій відбиток пальця з іншим фактором автентифікації, наприклад паролем, зловмиснику потрібен один фрагмент, щоб видавати себе за вас.
Насправді, майже нікому не потрібно турбуватися з цього приводу, хоча я сподіваюся, що буде написано ряд статей про зусилля шпигунів -аматорів зробити фальшиві пальці. Я також почну бути більш обережним, коли буду відвідувати певні конференції хакерів, враховуючи моїх друзів -жартівників.
Чи зможу я увійти до свого банку за допомогою відбитка пальця, а не пароля? - Використання відбитка пальця для входу на веб -сайти та в програми, як -от із вашого банку, може статися з часом, але не одразу. Apple спочатку повинна відкрити для нього підтримку API, потім розробникам потрібно інтегрувати його як у свої програми, так і в серверні бази даних автентифікації. Apple заявила, що інші програми можуть використовувати зчитувач відбитків пальців, але що ваш збережений відбиток пальця буде недоступний для цих програм. Таким чином, ми підозрюємо, що початкова підтримка буде використовувати Touch ID для доступу до пароля, що зберігається в брелку iOS, за допомогою певної підтримки API.
Виробникам додатків та хмарним службам, які хочуть прямого доступу до відбитків пальців, навіть якщо Apple це підтримує, також доведеться переробляти свої системи, щоб мати справу з сценарії, такі як скомпрометований чийсь відбиток пальця, або користувач, який також входить у систему з комп’ютера під керуванням Windows, який має інший відбиток пальця сканер. Вони не можуть просто переключити всіх на шаблони відбитків пальців лише для Apple. (І хоча відкритий стандарт для створення шаблонів може здатися гарною ідеєю - існує навіть галузева організація під назвою Альянс FIDO для просування такої сумісності - хто знає, чи підтримає її Apple з часом.)
Але знову ж таки, я дуже підозрюю, що Apple, принаймні на деякий час, переважно буде покладатися на захист облікових даних на телефоні за допомогою поважний брелок, можливо, додавши функцію або підтримку API, яка підтверджує відбиток пальця для цього зареєстрованого користувача автентифіковані.
Крім того, банки за законом зобов’язані використовувати дві форми автентифікації. Ось чому вам, ймовірно, доведеться ввести PIN -код, коли ви входите з іншого пристрою, або вам потрібно танцювати підтвердження електронної пошти, коли ви входите з нового комп’ютера. Технічно, однак, ваш телефон може вважатися другим фактором, і банки могли оновити свої системи, щоб поєднати факт доступу до телефону з вашим відбитком пальця.
Чи зможу я використовувати свій відбиток пальця для входу до своєї робочої мережі?
Не одразу. Хоча Apple додає підтримку єдиного входу (SSO) на рівні підприємства в iOS 7, ваша робоча мережа та програми все одно потребуватимуть вас автентифікації за допомогою наявного імені користувача та пароля. Система єдиного входу означає, що вам не потрібно повторно вводити ці облікові дані для кожної робочої системи. З часом я очікую, що постачальники запропонують інструменти, які дозволять вам увійти у вашу робочу мережу після того, як ви аутентифікуєтесь за допомогою відбитка пальця на вашому iPhone, припускаючи, що ваш ІТ -відділ схвалює це.
Чому це так важливо?
Apple - не перша компанія, яка додала до телефону сканер відбитків пальців. Я тестував ноутбуки зі зчитувачами відбитків пальців і бачив телефони з вбудованими зчитувачами. Справжнє хвилювання полягає в тому, що Apple зробить цю технологію доступною для багатьох мільйонів споживачів.
Це значно покращить безпеку та зручність використання iPhone 5s для пересічних користувачів. Я ненавиджу потребу вводити сильну парольну фразу на крихітній клавіатурі, особливо коли я гуляю. Зчитувач відбитків пальців буде набагато зручнішим і, по суті, усуне менш безпечні чотиризначні паролі, якими користується більшість людей, якщо вони взагалі їх використовують.
Поєднайте це з тим, що багато користувачів тепер використовують свої телефони як другий фактор при вході в різні хмарні сервіси, і ви можете побачити, що покращення безпеки iPhone 5s може загалом покращити безпеку значних аспектів Інтернет. Це не станеться за одну ніч, але покращення безпеки в будь -якій точці доступу покращує безпеку всієї системи.
Як тільки ми побачимо, що автентифікація за відбитками пальців стане широко доступною для споживачів, життя середньостатистичного зловмисника стане набагато важчим.
Автор Річ Могулл працює у світі безпеки близько 17 років, а ламання комп’ютерів (зазвичай випадково) - ще довше. Після приблизно 10 років фізичної безпеки (переважно проведення великих заходів/концертів) він припустився помилки напитися в Кремнієвій долині і розповісти комусь, що «працював на охороні». Стаття передрукована з дозволу від TidBITS.
