Механизмы биометрической аутентификации призваны поднять безопасность пользователей при входе в систему на новый уровень.
В наши дни пароли часто критикуют за то, что они недостаточно эффективны, и тем не менее они продолжают оставаться основной альтернативой подходу, основанному на биометрии. Таким образом, сравнение этих двух методов проливает свет на их недостатки и слабые места. Вот так.
№1. Детали биометрической аутентификации нельзя аннулировать удаленно, если что-то пойдет не так
Серьезное предостережение относительно биометрической безопасности состоит в том, что такие данные аутентификации невозможно изменить удаленно. Однако, если вы используете пароль, вы можете легко прибегнуть к способу восстановления, если вы его забыли или ваша учетная запись была взломана.
Дополнительным преимуществом этого рабочего процесса является то, что вы сможете менять пароль в процессе или еще больше повысить свою безопасность, включив 2FA (двухфакторную аутентификацию).
С биометрической аутентификацией все обстоит совершенно иначе. Вы не можете изменить ранее настроенную настройку безопасности устройства, если у вас нет физического доступа к нему.
Следовательно, если ваш смартфон украден, мотивированный вор может использовать поддельный силиконовый палец или отпечатанный на 3D-принтере палец , чтобы обмануть считыватель отпечатков пальцев, разблокировать гаджет и украсть все ваши личные данные, хранящиеся в нем.
№2. MasterPrints, обманывающий популярные умные устройства
Если вы выберете аутентификацию на основе отпечатков пальцев на смартфоне, вам, скорее всего, потребуется несколько раз нажать на датчик одним пальцем, чтобы начать работу. Это связано с тем, что датчики, встроенные в такие устройства, имеют ограниченный размер и могут сканировать только относительно небольшой фрагмент вашего отпечатка пальца за раз.
Регистрируя частичные шаблоны отпечатков пальцев с разных сторон во время регистрации, гаджет может гарантировать, что хотя бы один из них будет соответствовать слепку, полученному от пользователя во время каждого последующего экземпляра аутентификации.
Согласно выводам аналитиков безопасности , определенный частичный отпечаток пальца, получивший название «MasterPrint» - искусственно созданный или настоящий - может вызвать успешный ответ аутентификации примерно на 65% устройств. Это наблюдение, сделанное в лабораторных условиях, и реальные цифры, вероятно, будут намного ниже.
Тем не менее, даже если эта теория верна для 10% всех смартфонов, это означает, что потенциальная область использования охватывает миллионы устройств.
№3. Биометрия неизменна
В то время как вы можете легко изменить свой пароль в случае его кражи, ваш отпечаток пальца, радужная оболочка глаза и другие биометрические характеристики остаются неизменными. Если у другого человека есть их копия, вы почти ничего не можете сделать, чтобы обезопасить себя, кроме как выбрать пароли или токены безопасности.
Сообщается, что в ходе массового взлома Управления кадров США хакеры украли отпечатки пальцев 5,6 миллиона человек. В результате затронутые государственные служащие и подрядчики не могут быть уверены, что их аутентификация на основе отпечатков пальцев когда-либо будет достаточно надежной.
№4: недостатки программного обеспечения.
Исследователи FireEye Labs обнаружили ряд критических уязвимостей в популярных смартфонах Android, которые потенциально могут позволить злоумышленнику удаленно получить отпечаток пальца пользователя и нарушить рабочие процессы мобильных платежей.
К счастью, поставщики с тех пор предоставили исправления для этих проблем, но факт остается фактом: программное обеспечение для биометрической аутентификации может оказаться малоизвестным.
Известные векторы взлома
Эксперты по безопасности раскрыли методы, которые могут быть использованы злоумышленниками для обмана систем биометрической аутентификации. Ниже представлен обзор этих методов.
Создание поддельного отпечатка пальца
Имея в распоряжении хакеров высококачественный отпечаток пальца целевого человека, он может воспроизвести этот узор с максимальной точностью на тонком листе силикона, резины или другого гибкого материала. Чтобы разблокировать устройство, злоумышленнику нужно будет нанести поддельный отпечаток на сканер и нажать на него пальцем, чтобы провести электричество и, таким образом, полностью имитировать сценарий аутентификации в реальном мире.
Управление сканером радужной оболочки глаза
Некоторые сканеры радужной оболочки глаза легко обмануть. Достаточно сфотографировать радужную оболочку обычной камерой в ночном режиме, распечатать изображение на бумаге и надеть на нее влажную контактную линзу, чтобы имитировать форму глаза.
Биометрические системы на нашем сайте смотрите здесь.