$91.31-0.3898.47-0.09
Войти в почту

Почему я считаю FaceID небезопасным

На момент написания статьи никто кроме сотрудников Apple не тестировал, насколько безопасна FaceID. Поэтому в этой статье я расскажу про надежность системы распознавания лица и другие методы биометрической идентификации. Так сложилось, что системы биометрической идентификации никогда не славились надежностью. Камеры можно обмануть. Голос можно записать. Отпечатки пальцев можно украсть. А во многих странах – например, в США – полицейские по закону могут заставить вас разблокировать телефон с помощью отпечатка. Так что направить телефон на вас и разблокировать его против вашей воли будет для них еще проще. Если вы цените сохранность ваших данных – электронной почты, социальных сетей, семейных фото, истории перемещений – тогда я не советую использовать биометрическую идентификацию. Вместо этого защищайте телефон с помощью пароля. Сменить пароль не так сложно, как сменить лицо Вот отличная сцена из фильма «Ультиматум Борна» 2007 года, где герой Мэтта Деймона взламывает двухфакторную систему биометрической идентификации у сейфа: Пусть это всего лишь голливудский фильм десятилетней давности, но он наглядно демонстрирует некоторые проблемы биометрической идентификации. Сколько фотографий вашего лица можно найти в интернете? Можно ли взять все эти фотографии и получить на их основе 3D-модель вашего лица достаточной точности, чтобы обмануть FaceID с ее инфракрасными датчиками и системой проекции точек? Вот фрагмент недавней презентации Apple с демонстрацией работы FaceID: Появление достаточно надежной системы, способной переиграть FaceID от Apple и подобные системы от других производителей – всего лишь вопрос времени. Почему я так в этом уверен? Давайте поговорим о сканерах сетчатки глаза. Сетчатка состоит из миллионов клеток и уникальна для каждого человека. Казалось бы, отличный вариант для биометрической идентификации? В этом видео эксперт по безопасности обходит систему проверки сетчатки глаза на телефоне Samsung Galaxy 8. Все, что для этого понадобилось – принтер и контактные линзы. Давайте сделаем шаг назад и вспомним о самом точном биометрическом идентификаторе – ДНК. Ваша ДНК – всего лишь длинная последовательность данных. Человеческий геном состоит из трех миллиардов базовых пар. Весь геном займет на диске не больше гигабайта – прямо как одна серия «Игры престолов». Расшифровка генома – дело недорогое. И стоимость падает куда быстрее, чем стоимость компьютерных вычислений в целом. Если ваша последовательность ДНК вдруг появится в открытом доступе, ее будет довольно сложно изменить. Как и голос, отпечатки пальцев или форму лица. Поэтому не стоит доверять биометрической идентификации. Есть вариант получше, правда он вам не понравится. Он не так удобен, зато работает. Цифровые пароли: сложно угадать, легко изменить и защищены законом На iPhone дается всего десять попыток разблокировать телефон с паролем. Для пароля из четырех цифр существует 104 возможных вариантов. Таким образом, если кто-то захочет подобрать пароль к вашему телефону, его шансы на успех будут равны одному к тысяче. Возможно, звучит это не так впечатляюще, как упомянутые Apple «один на миллион», что похожий на вас человек сможет разблокировать ваш телефон. Но в случае с паролем злоумышленнику не за что ухватиться. Он понятия не имеет, каким должен быть пароль. Если он по-настоящему случайный, то защитит телефон куда лучше FaceID. И поскольку ваш пароль будет резервным вариантом для FaceID, нужно постараться и придумать надежный пароль независимо от того, будете вы использовать FaceID или нет. Вот 20 самых популярных четырехзначных паролей по данным The Datagenics Blog. Не используйте их, если хотите быть уверенными в своей безопасности. А если вы хотите по-настоящему случайное число, скопируйте эту строку в JavaScript-консоль вашего браузера («Вид» -> «Инструменты разработчика» -> «Консоль JavaScript»): Большинство телефонов – включая iPhone – поддерживают пароли из большего количества цифр. Каждая цифра повышает уровень безопасности пароля на порядок. Но учитывая, что вводить этот пароль придется много раз каждый день, четыре символа – самый оптимальный вариант. И еще одно: суд в США, например, не вправе требовать от вас назвать пароль. Он существует только в вашем разуме и принадлежит только вам. Это ваша собственность, и его не используют для доступа к вашим данным, если вы сами того не захотите. Безопасность и спокойствие, которые принесет вам пароль, стоят тех пары секунд, что вы потратите на его ввод. Слово юристам: может ли суд в России обязать вас разблокировать айфон? Опрошенные Rusbase эксперты заверяют, что в России смартфон могут изъять как вещественное доказательство – по решению суда, однако заставить вас ввести пароль юридически не представляется возможным. Старший партнер Андрей Кузьмин адвокатского бюро «Титов, Кузьмин и партнеры» Андрей Кузьмин отмечает, что полиция может изъять телефон и отдать его на экспертизу, где уже могут быть предприняты попытки разблокировки, однако «обязать пользователя разблокировать смартфон нельзя: таких процедур не предусмотрено законом». С ним солидарен независимый юрист Сергей Сухочев, который добавляет, что «российский закон о полиции не обязывает граждан сообщать свои пароли к телефонам или компьютерам, также гражданин не обязан разблокировать свой телефон с помощью пальцев». Адвокат Сергей Головин отметил, что в его практике бывали случаи, когда владельцы смартфонов отказывались вводить пароль, находясь под следствием. Но с применением FaceID данные из айфона действительно могут оказаться в большей опасности: Сергей Головин Адвокат В практике возникают ситуации, когда к нам обращается подзащитные, у которых в ходе производства первоначальных следственных действий изымается смартфон с паролем. В ходе следственных действий следователь признает телефон вещественным доказательством и приобщает к делу. В дальнейшем он самостоятельно или совместно с техническим специалистом проводит осмотр и может пытаться разблокировать смартфон, если это технически возможно. В моей практике были дела, когда обвиняемый отказывался разблокировать iPhone – и этого не мог сделать следователь или специалист, поэтому телефон шел как вещественное доказательство без извлечения данных. Я считаю, что с использованием функции FaceID разблокировка смартфона правоохранительными органами станет проще, так как лицо у человека одно, а отпечатков (которые используются в TouchID. – прим. ред.) уже несколько. Но помните: если следователю нужны входящие и исходящие сигналы соединения телефона конкретного пользователя – без согласия владельца устройства следователь может получить такую информацию только по решению суда. Обязательность этого действия исходит из решений Конституционного Суда РФ. Работа над биометрической идентификацией Вместо нынешней позиции «все или ничего» – то есть вы либо прошли аутентификацию, либо нет – производители устройств должны идти постепенно и требовать разные уровни идентификации для доступа к разным приложениям и типам данных. Это похоже на традиционный контроль доступа в ПО на основе ролей. В смартфонах это уже реализовано на экранах разблокировки. К примеру, на iOS по умолчанию вы можете прочитать текст сообщения, не разблокируя телефон. А каждый раз, когда вы покупаете что-то в App Store, iOS по умолчанию требует ввести еще более длинный пароль для подтверждения покупки. Что-то вроде FaceID можно использовать для доступа к операциям чтения в менее конфиденциальных приложениях – например, новостных лентах. Но когда вам понадобится разрешение на «отправку» – например, написать SMS или отправить твит – телефон требовал бы цифровой пароль. Это помогло бы решить проблему «нужно разблокировать телефон по 80 раз в день», из-за которой, скорее всего, 89% владельцев iPhone пользуются TouchID. Это программное обновление, которое можно было бы провести на всех iPhone – в том числе тех, которыми уже пользуются. Сделайте это – и все станет намного безопаснее. Между защитой и удобством можно найти золотую середину. Но разблокировать все данные на телефоне – все файлы, соцсети и банковские счета – только своим лицом? До этой середины нам еще только предстоит добраться. Пока что я советую всем использовать пароли и позаботиться, чтобы они были надежными. Источник Материалы по теме: 11 самых главных вопросов о функции Face ID 5 особенностей iPhone X, которые должен знать каждый Функция распознавания лица не сработала на презентации нового iPhone X «Такие пользователи, как мы с вами, – сладкий кусок пирога для хакера» Фото на обложке: The Verge

Почему я считаю FaceID небезопасным
© RB.ru
Другое
Сергей Головин
Андрей Кузьмин
Мэтт Дэймон
Apple
МВД