Czytnik linii papilarnych. Nie taki bezpieczny jakby się wydawało

Przeczytaj także: Utrata danych: najczęściej winny personel

To, na ile dane zabezpieczenie biometryczne jest skuteczne, jest ściśle uzależnione od jakości skanera oraz oprogramowania odpowiadającego za proces weryfikacji. Tak jak nie istnieją stuprocentowo pewne systemy komputerowe, tak też nie ma idealnych sposobów uwierzytelniania - każda z nich ma swoje mocne i słabe strony. Praktyka pokazuje, że czytnik linii papilarnych można oszukać i nie potrzeba do tego żadnych wymyślnych zabiegów. Wystarczy np. użycie repliki palca z silikonu czy żelatyny. Sam odcisk palca można z kolei pozyskać z praktycznie każdego przedmiotu, który trzymała w ręce dana osoba i nie jest to jedyna z możliwości.

Podczas jednej z konferencji CCC Jan Krissler przedstawił sposób, w jaki odcisk palca odtworzyć można za pomocą dostępnego w internecie zdjęcia wewnętrznej strony dłoni i wykorzystał tę technikę do odtworzenia linii papilarnych kciuka Ursuli von der Leyen, ministra obrony Niemiec.

Mit 1: Zabezpieczanie odciskiem palca jest bardziej skuteczne niż hasło

W przeciwieństwie do tego jak mogłoby się wydawać, biometryczne sposoby zabezpieczania nie są niezawodne, np. linie papilarne mogą zostać wykradzione z wykonanej wcześniej fotografii. Dodatkowym zagrożeniem jest możliwość wycieku odcisków palców gromadzonych np. przez organy państwowe i służby. Na przykład w Stanach Zjednoczonych standardową procedurą jest gromadzenie odcisków palców od obywateli innych państw w wieku od 14 do 79 lat w momencie wjazdu do kraju. A FBI przechowuje szacunkowo 100 milionów odcisków palców, z czego ponad 30 milionów to odciski zwykłych osób niezwiązanych z działalnością przestępczą.

- W przypadku wycieku naszego hasła możemy je zmienić na inne. Ale co w sytuacji, gdy wyciekną dane reprezentujące odcisk naszego palca? Jakiś czas temu badacze odnaleźli podatność występującą wówczas m.in. w telefonach Samsung Galaxy S5, za pomocą której byli w stanie przechwycić dane reprezentujące linie papilarne i wykorzystać je do autoryzacji. Jednak jak na razie to tylko przykład teoretycznego ataku, do którego może dojść wyłącznie, gdy nastąpi jednocześnie wiele określonych okoliczności, dlatego nie popadałbym w paranoję - komentuje Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Mit 2: Nie można skopiować odcisku palca

W roku 2013 firma Apple zapoczątkowała proces włączania zabezpieczeń biometrycznych do urządzeń mobilnych. Funkcja ta miała zapewniać ochronę podczas zakupów w iTunes i App Store – eliminując potrzebę używania hasła. Jednak jak zaprezentowano rok później podczas konferencji CCC, linie papilarne można odtworzyć ze zdjęcia i ta metoda zabezpieczania okazała się już nie być tak skuteczna, jak się początkowo wydawało. Na dodatek w 2016 r. firma biometryczna Vkansee pokazała kolejny sposób na skopiowanie odcisków palca. Tym razem do tego celu wykorzystano… ciastolinę Play-Doh, dzięki której można zmylić czytniki, aby identyfikowały ciastolinowy odcisk jako prawdziwy. Sama firma stwierdziła jednak, że proces ten jest dość skomplikowany i mało prawdopodobny. Niemniej jednak to kolejny dowód na potwierdzenie tezy, że odcisk palca można skopiować.

Mit 3: Odcisk palca zastąpi hasło w przyszłości

Biorąc pod uwagę, że odciski palców mogą zostać skradzione, skopiowane i wykorzystane, jeszcze długa droga do tego, by korzystać wyłącznie z czytników linii papilarnych i zrezygnować całkowicie z używania haseł. Eksperci z firmy ESET odradzają zabezpieczanie urządzeń wyłącznie jedną metodą – przy użyciu hasła, numeru PIN czy odcisku palca. Najlepiej połączyć hasło z dodatkowym zabezpieczeniem.