Cât de securizate sunt identificatorul feței și ID-ul tactil?
Apple susține că ID-ul feței și ID-ul de atingere sunt sigure și, în cea mai mare parte, este adevărat. Este foarte puțin probabil ca o persoană aleatoare să vă poată debloca telefonul. Dar nu este singurul tip de atac care trebuie să vă faceți griji. Să săpăm puțin mai adânc.
Deși folosesc diferite metode de autentificare biometrice, ID-ul feței și ID-ul tactil sunt foarte asemănătoare sub capota. Când încercați să vă conectați la iPhone - fie că vă uitați camera pe față, fie că puneți degetul pe senzorul tactil - telefonul compară datele biometrice pe care le detectează cu datele salvate în Secure Enclave - un procesor separat care este întregul scop este menținerea telefonului în siguranță. Dacă se potrivește chipul sau amprenta, iPhone-ul dvs. se deblochează. Dacă nu, vi se solicită să introduceți codul de parolă. În timp ce toate acestea sună bine pe hârtie, este sigur?
ID-ul feței și ID-ul tactil sunt în general securizate
În general, ID-ul de atingere și ID-ul feței sunt sigure. Apple susține că există o șansă de 1 din 50.000 ca amprenta altcuiva să vă deblocheze în mod fals iPhone-ul și o șansă de 1 din 1.000.000 pe care o va face persoana altcuiva. Există 1 din 10.000 de persoane care ar putea să ghicească un cod de trecere de patru cifre și o șansă de 1 din 1.000.000 să ghicească codul dvs. de acces din șase cifre (și vor primi trei încercări înainte de a fi blocați). Asta ar trebui să pună lucrurile în perspectivă.
Șansa ca cineva să poată să-ți aleagă sau să fure aleator telefonul și să-l poată debloca utilizând amprenta, chipul sau chiar dacă ghicind codul de trecere este incredibil de subțire.
Ceea ce se referă la acest lucru este faptul că gemenii sau frații identici care arată foarte asemănători sunt mult mai probabil să creeze un fals pozitiv. În acest caz, este posibil ca fratele dvs. să poată debloca telefonul cu Face ID. Cu toate acestea, gemenii identici reprezintă doar 0,003% din populație, deci nu este un risc care se aplică multora. Dacă este vorba despre ceva despre care vă faceți griji, puteți dezactiva ID-ul de identificare a feței și puteți utiliza doar un cod securizat.
Dar păstrarea împotriva acestui tip de intruziune ocazională nu este singurul lucru care trebuie preocupat.
ID-ul feței și ID-ul tactil pot fi vulnerabile la atacurile direcționate
Deși este aproape sigur că niciun străin nu va putea intra în telefon, dacă sunteți victima unui atac vizat, lucrurile ar putea fi puțin diferite.
Atât ID-ul de atingere, cât și ID-ul feței sunt complet vulnerabile dacă cineva te poate forța să te autentifici, ținând degetul pe senzor (chiar și atunci când dormi) sau făcându-te să te uiți la telefon. Iar cele două tipuri de atacuri sunt mult mai ușor de tras decât să forțeze pe cineva să-și dea codul de trecere.
Deci, ce zici de falsificarea amprentelor digitale? ID-ul de atingere a fost hacked cu succes. Cercetătorii au reușit să utilizeze amprentele digitale false pentru a debloca dispozitivele securizate cu ID-ul tactil. Cu toate acestea, aceiași cercetători numesc tehnica "nimic altceva decât banal" și "încă un pic în domeniul romanului John le Carré".
Practic, ceea ce au nevoie de atacatori este o copie completă de înaltă rezoluție, o copie fără amprentă a amprentelor digitale, precum și echipamente de mii de dolari. Teoretic, cineva care a fost cu adevărat determinat ar putea intra probabil în telefonul tău în acest fel - posibil chiar și dintr-o fotografie a amprentei tale. Lucrul este că datele de pe iPhone ale marea majoritate a oamenilor de acolo pur și simplu nu merită costul și complicațiile acestui tip de atac.
În plus, dacă aveți date sensibile sau valoroase, probabil că veți lua pași suplimentari pentru a asigura aceste informații. Acest lucru nu este un lucru care se poate face rapid străinilor întâmplători.
ID-ul de identificare a feței nu a fost încă hacked, dar, în mod realist, probabil că va ajunge susceptibil la aceleași atacuri ca Touch ID. Wired a cheltuit câteva mii de dolari, încercând să o facă și nu a reușit, dar asta nu înseamnă că nu se poate face. Marc Rogers, un hacker care la sfatuit pe Wired despre piesa, este inca 90% sigur ca hackerii ar putea sa il pacaleasca. "IPhone-ul X nu a fost decat cateva luni, asa ca vom vedea cum este situatia intr-un an.
Ceea ce se întâmplă până la urmă este unul din truismurile securității. Nici o metodă de autentificare nu va rezista vreodată unui atacator suficient de hotărât. Există întotdeauna defecte care pot fi utilizate; este doar o chestiune cât de ușor este de a profita de ea.
Nimic nu te protejează de guvern
Nici o sumă de securitate nu te poate proteja vreodată de o agenție guvernamentală hotărâtă - SUA sau altfel - cu resurse esențiale nelimitate și dorința de a intra în telefonul tău. Nu numai că pot să vă oblige în mod legal să utilizați ID-ul de atingere sau ID-ul de identificare a feței pentru a vă debloca telefonul, dar ei au, de asemenea, acces la instrumente cum ar fi GreyKey. GreyKey se presupune că poate sparge orice cod de acces pentru dispozitivul iOS, ceea ce face inutil ID-ul de identificare și identificarea feței. Apple lucrează din greu pentru a închide dispozitivele de vulnerabilități cum ar fi acest exploit, dar oamenii care speră la o zi plătită muncesc la fel de greu să deschidă altele noi.
ID-ul de atingere și ID-ul de față sunt incredibil de convenabile și, dacă sunt susținute cu un cod de trecere puternic, sigur pentru utilizarea zilnică de aproape toată lumea. Dacă sunteți ținta unui hacker determinat sau a unei agenții guvernamentale, cu toate acestea, s-ar putea să nu vă protejeze mult timp.
Credite de imagine: XKCD.
