НовостиОбзорыСобытияIT@Work
Безопасность:

Блог

Насколько безопасна биометрическая идентификация Touch ID?

Принято считать, что биометрическая идентификация более надежна и безопасна, чем традиционные способы. Этим, а также удобством для конечного пользователя, мотивировалась поддержка в новых гаджетах Apple технологии Touch ID - идентификации по отпечатку пальца. Недавно свои сомнения по этому поводу высказал на сайте TechRepublic эксперт в области ИТ-безопасности Пако Хоуп. Речь идет именно об устройствах под управлением iOS.

В них для доступа к устройству можно наряду с обычным цифровым паролем (passcode) использовать кнопку-считыватель отпечатка пальца. Перед этим обладатель аппарата, знающий правильный passcode, должен один раз зарегистрировать в системе отпечаток пальца, после чего может пользоваться им, не прибегая к passcode. Впрочем, для удобства iOS дает возможность зарегистрировать по одному passcode несколько отпечатков, причем не обязательно одного и того же человека. К примеру, это могут быть опечатки членов семьи или, в случае корпоративного применения, членов рабочей группы. Иными словами, отпечаток не всегда идентифицирует настоящего хозяина устройства или обладателя аккаунта iTunes.

А что если по отпечатку пальца будет санкционирована важная (допустим, денежная) транзакция? Пако Хоуп предупреждает разработчиков приложений для iOS не доверять слепо идентификации по отпечатку, поскольку в данном случае их может быть несколько и не все они соотносятся однозначно с одним конкретным пользователем. В отличие от снятия отпечатков на паспортном контроле или в посольстве, где оператор лично удостоверяет принадлежность отпечатка вполне определенному человеку.

С поддержкой отпечатков нескольких пальцев связана еще одна завуалированная засада. Если кто-то подсмотрел passcode и в тайне от хозяина устройства зарегистрировал на нем свой отпечаток, то хозяин не имеет никакой возможности проверить валидность введенных отпечатков. Если бы, как когда-то, идентификация ограничивалась только вводом passcode, и у хозяина были бы подозрения на утечку, он мог бы изменить свой passcode и закрыть доступ тем людям, которые подсмотрели старый passcode. В случае же с отпечатком все не так просто. При замене passcode регистрация уже введенных отпечатков не отменяется, и, если злоумышленник успел зарегистрировать свой отпечаток, ничто не помешает ему использовать его и после смены passcode.
Колесов Андрей
Я же говорю о иерахической системе авторизации - число факторов в зависимости от значимости операций. Когда я выхожу из квартиры, чтобы вынести мусорное ведро (на улицу) я часто вообще не запираю дверь. Когда иду в магазин недалеко - на ключ, когда уезжаю на весь день - на два, в отпуск  - на три.
Свинарев Сергей
Да, конечно. Но и сложность при переходе на верхние уровни иерархии не должна чрезмерно повышаться.

Вот пример - сервис Сбербанк Онлайн. Там  проведение операций нужно подтверждать разовыми паролями, приходящими на телефон по СМС. Безопасность повышается? Разумеется. Но и сложность вместе с ней: ручками нужно вбивать одноразовый пароль с риском допустить опечатку. Все это при работе на ПК.
Если же я использую приложение Сбербанк Онлайн на смартфоне, то там никакого одноразового пароля мне вводить не приходится. Это не значит, что его там нет. Просто он, по видимому, приходит на смартфон и автоматически вводится приложением в нужное поле незаметно для пользователя. Мне кажется, пример достойный подражания.
Колесов Андрей
Так это нормально - чем больше ответственность операций, тем больше нужно усились.

А что страшного, если ошиблись при вводе одноразового кода? Ввели повторно.
Так и пароль нужно вводить.

Я не пользуюсь мобильным банком, не знаю, как там. Но скорее всего там используется также двухфакторная авторизация: ваш телефон (это и есть одноразовый пароль) + логин-пароль.

Наверное, то же самое можно сделать при работе с ПК, если вы зарегистрируете свой ПК в систем (на уровне, скажем, номера сетевого адаптера). Кстати, такой вариант уже прорабатывается Центробанком.

Другой вариант - чтобы одноразовый пароль приходил к вам по почте. Тогда вы можете копировать одноразовый код в нужное поле. Кстати, вариант удобный, потому что не нужен смартфон (например, там кончились деньги).
Но, правда, есть вариант списка одноразовых паролей (в сбербанке их можно получить на чеке).

В общем, я, признаться, не вижу тут проблем...