Доступная безопасность. К чему привело внедрение биометрии на смартфонах
Распознавание лица и сканер отпечатка пальца — важные элементы мобильной электроники. На биометрию все чаще опираются и банковские приложения. Эксперты рассказали, насколько безопасно доверяться этим методам идентификации.
Пальцы, глаза и лица
Сканеры отпечатка пальцев и распознавание лица за какие-то несколько лет из фантастики превратились в привычный атрибут гаджетов. Потребителям пока оставляют альтернативу: например, банковскими приложениями можно пользоваться и по паролю.
Но общий тренд понятен: передовой рубеж защиты персональных данных в гаджетах — именно наши биометрические данные.Начали со сканеров отпечатка пальца — в десятых годах.
Интересно, что патент на разблокировку с помощью дактилоскопического датчика подала Apple в 2008-м, но в «железе» это реализовала Motorola в 2011 году. Первые же iPhone с Touch ID появились в 2013-м.
Фактически речь идет о своеобразной камере, способной еще и запоминать уникальный рельеф рисунка пальца. Подобные решения применяют и в компьютерах, ноутбуках, клавиатурах.Более поздние подэкранные сканеры дактилоскопии отличаются не только размещением, но и меньшей скоростью считывания.
Попробовали внедрить ультразвуковые датчики. В теории они гораздо безопаснее оптических, но особой популярности не снискали — на разблокировку уходит больше времени.Параллельно развивалась и технология распознавания лиц.
Пионером выступила компания из Купертино, заменившая в 2017-м дактилоскопию системой Face ID. Технология Apple считается самой продвинутой — сенсор True Depth Camera с инфракрасной подсветкой делает трехмерный «слепок» лица. Face ID глубоко интегрирована в iOS: с ее помощью можно не только разблокировать смартфон, но и оплачивать покупки.
В мире Android полноценный аналог пока не создали — экспериментировали с инфракрасными камерами, а в Samsung пытались внедрять распознавание радужной оболочки глаза.
В итоге все пришло к довольно простой и поэтому вызывающей вопросы системе, основанной на фронтальной камере и машинном обучении: грубо говоря, современные Android-смартфоны используют для разблокировки по лицу несколько фотографий, сделанных на селфи-камеру.
Есть ли проблемы
Системы биометрии в гаджетах и сейчас вызывают настороженность у части пользователей: одно дело хранить в памяти смартфона файлы и информацию, другое — уникальные данные о себе.
Одно из наиболее распространенных опасений — снимки «пальчиков» и лица могут попасть не в те руки, ведь хранятся-то они на серверах производителя гаджета. Это заблуждение.
«С точки зрения уязвимости — не существует полностью надежных систем, условия для проникновения есть всегда. Но биометрия это очень сильно усложняет. Злоумышленникам необходимо модифицировать программное или аппаратное состояние устройства для проникновения к персональным данным, а потом еще и расшифровать эти данные, так как они хранятся локально в защищенном виде на самом гаджете. Однако всегда надо помнить, что покупая noname-телефон или иное устройство, вы рискуете отправить информацию о себе непонятно куда», — предупреждает Денис Царев, генеральный директор компании веб-интегратора «Моризо Диджитал», применяющего биометрию для авторизации пользователей.»
Работоспособность биометрии обеспечивают алгоритмы шифрования, хранения и разграничения доступа к данным. Есть разные подходы, но биометрические данные физически всегда хранятся на отдельном защищенном участке чипсета устройства и приложения получают доступ к ним только в момент аутентификации — и то это выглядит как обмен ключами, а не как отправка образца отпечатка в приложение.
То есть системы биометрической аутентификации по отпечатку на большинстве реализуемых в рознице устройств могут считаться достаточно безопасными.
«Системы распознавания лица здесь немного уступают, но прогресс не стоит на месте», — добавляет Назир Наурзоков, инженер по проектным решениям Acer в России.
И да, к безопасности систем распознавания лиц действительно есть вопросы (если это не Face ID).
Так, в 2017-м разгорелся скандал вокруг флагманского смартфона Galaxy S8, взломанного простым селфи-снимком. Проблему устранили, но и после этого энтузиастам удалось обмануть трубку с помощью распечатанной фотографии глаз с контактными линзами.
Теперь производители Android-смартфонов честно предупреждают, что этот способ не такой безопасный, как отпечаток пальца, и устройство может разблокировать человек со схожей внешностью.
С неожиданной трудностью столкнулись и пользователи Face ID, когда началась пандемия. Надежная и быстрая система отказывалась разблокировать iPhone по лицу в маске. Приходилось стягивать средство индивидуальной защиты либо использовать пароль — это делало процедуру бесконтактных платежей Apple Pay неудобной.
Частично проблему решили: разблокировка возможна, если на руке — верифицированные Watch. Потом допустили и биометрическую модель пользователя в маске. О надежности последнего способа остается только догадываться.
Жизнь со сканером
В общем, расслабляться не стоит. Например, известны случаи, когда злоумышленники создавали копии нужного пальца с фотографии фаланги в высоком качестве. Снимки брали, например, в соцсетях жертвы.Эксперты считают, что безопасность биометрии в электронике можно повысить за счет двухфакторной аутентификации.
«Самые надежные — мультимодальные биометрические системы, в которых используется, например, одновременно распознавание лица и голоса человека. Такие решения перспективны в банковских приложениях», — отмечает Дмитрий Макаров, руководитель практики «Digital T1 Консалтинг».
И конечно, если вы совсем не хотите доверять биометрические данные умному устройству, всегда есть альтернатива в виде пароля или графического ключа. Их можно назначить при первом включении нового смартфона, а шаги со сканированием лица или пальцев — пропустить.
Источник: РИА