НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Насколько безопасна биометрическая идентификация Touch ID?

Сергей Свинарев
15.05.2015 12:59:24

Принято считать, что биометрическая идентификация более надежна и безопасна, чем традиционные способы. Этим, а также удобством для конечного пользователя, мотивировалась поддержка в новых гаджетах Apple технологии Touch ID - идентификации по отпечатку пальца. Недавно свои сомнения по этому поводу высказал на сайте TechRepublic эксперт в области ИТ-безопасности Пако Хоуп. Речь идет именно об устройствах под управлением iOS.

В них для доступа к устройству можно наряду с обычным цифровым паролем (passcode) использовать кнопку-считыватель отпечатка пальца. Перед этим обладатель аппарата, знающий правильный passcode, должен один раз зарегистрировать в системе отпечаток пальца, после чего может пользоваться им, не прибегая к passcode. Впрочем, для удобства iOS дает возможность зарегистрировать по одному passcode несколько отпечатков, причем не обязательно одного и того же человека. К примеру, это могут быть опечатки членов семьи или, в случае корпоративного применения, членов рабочей группы. Иными словами, отпечаток не всегда идентифицирует настоящего хозяина устройства или обладателя аккаунта iTunes.

А что если по отпечатку пальца будет санкционирована важная (допустим, денежная) транзакция? Пако Хоуп предупреждает разработчиков приложений для iOS не доверять слепо идентификации по отпечатку, поскольку в данном случае их может быть несколько и не все они соотносятся однозначно с одним конкретным пользователем. В отличие от снятия отпечатков на паспортном контроле или в посольстве, где оператор лично удостоверяет принадлежность отпечатка вполне определенному человеку.

С поддержкой отпечатков нескольких пальцев связана еще одна завуалированная засада. Если кто-то подсмотрел passcode и в тайне от хозяина устройства зарегистрировал на нем свой отпечаток, то хозяин не имеет никакой возможности проверить валидность введенных отпечатков. Если бы, как когда-то, идентификация ограничивалась только вводом passcode, и у хозяина были бы подозрения на утечку, он мог бы изменить свой passcode и закрыть доступ тем людям, которые подсмотрели старый passcode. В случае же с отпечатком все не так просто. При замене passcode регистрация уже введенных отпечатков не отменяется, и, если злоумышленник успел зарегистрировать свой отпечаток, ничто не помешает ему использовать его и после смены passcode.

Комментариев: 5

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

15.05.2015 13:49:36

Ничто не имеет 100% надежности. Можно говорить только об относительно более высокой надежности.
Наверное, биометрическая идентификация более надежна, чем авторизация по логину-паролю. Внешне это очевидно, хотя, конечно, нужны специальные исследования.

А для повышения уровня надежности нужно использовать иерархическую систему аутентификации - двухфакторную, может быть, трех и четырех.
Все зависит от значимости операций.
Если речь идет от блокировке клиентского устройства, то простой однофкторной более чем достаточно (я уже давно отказался от "запароливания" своих личных устройств).

Если речь идет о финансовых операций, скажем, до 1000 руб...

Мне кажется, ключевым фактором повышения надежности доступа является оперативный независимый контроль, например, через СМС и емейл оповещения об операциях.

15.05.2015 14:02:37

Согласен: двух-, трех-, четырехфакторная повышают надежность, но при этом в жертву приносится удобство. Мне кажется, в этом и состоит вызов - повысить безопасность, как минимум не снижая удобство пользования.

15.05.2015 14:08:42

Я же говорю о иерахической системе авторизации - число факторов в зависимости от значимости операций. Когда я выхожу из квартиры, чтобы вынести мусорное ведро (на улицу) я часто вообще не запираю дверь. Когда иду в магазин недалеко - на ключ, когда уезжаю на весь день - на два, в отпуск - на три.

15.05.2015 21:55:50

Да, конечно. Но и сложность при переходе на верхние уровни иерархии не должна чрезмерно повышаться.

Вот пример - сервис Сбербанк Онлайн. Там проведение операций нужно подтверждать разовыми паролями, приходящими на телефон по СМС. Безопасность повышается? Разумеется. Но и сложность вместе с ней: ручками нужно вбивать одноразовый пароль с риском допустить опечатку. Все это при работе на ПК.
Если же я использую приложение Сбербанк Онлайн на смартфоне, то там никакого одноразового пароля мне вводить не приходится. Это не значит, что его там нет. Просто он, по видимому, приходит на смартфон и автоматически вводится приложением в нужное поле незаметно для пользователя. Мне кажется, пример достойный подражания.

15.05.2015 22:46:04

Так это нормально - чем больше ответственность операций, тем больше нужно усились.

А что страшного, если ошиблись при вводе одноразового кода? Ввели повторно.
Так и пароль нужно вводить.

Я не пользуюсь мобильным банком, не знаю, как там. Но скорее всего там используется также двухфакторная авторизация: ваш телефон (это и есть одноразовый пароль) + логин-пароль.

Наверное, то же самое можно сделать при работе с ПК, если вы зарегистрируете свой ПК в систем (на уровне, скажем, номера сетевого адаптера). Кстати, такой вариант уже прорабатывается Центробанком.

Другой вариант - чтобы одноразовый пароль приходил к вам по почте. Тогда вы можете копировать одноразовый код в нужное поле. Кстати, вариант удобный, потому что не нужен смартфон (например, там кончились деньги).
Но, правда, есть вариант списка одноразовых паролей (в сбербанке их можно получить на чеке).

В общем, я, признаться, не вижу тут проблем...

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии