Lata płyną, a biometria to wciąż efektowna wydmuszka

mm Maciej Olanicki Artykuły 2019-03-12

W trwającym boomie dostępności wysokiej techniki użytkowej nigdy nie przestanie mnie zadziwiać entuzjazm wobec biometrii. Wszystko zaczęło się od Motoroli Atrix, która jako pierwsza posiadła czynnik linii papilarnych, potem pojawił się iPhone 5s. Biometria w urządzeniach mobilnych jest więc z nami już niemal dekadę. Trudno nie oprzeć się wrażeniu, że nie tylko się ona nie rozwija, lecz z roku na rok staje się coraz gorsza.

Biometria łechce ego

Istnieje spore grono osób, deklarujących się – świadomie lub nie – jako determiniści techniczni. Jest to ciekawy pogląd, który zakłada, że technika jest samodzielnym żywiołem. Według deterministów to nie człowiek przyczynia się do jej rozwoju, lecz to technika sama pozwala się człowiekowi odkrywać. Determiniści nierzadko podpierają się jednoczesnym wynajdywaniem urządzeń o tych samych zastosowaniach w wielu miejscach na świecie w zbliżonym czasie. Wystarczy wspomnieć awantury ze skonstruowaniem pierwszego radia czy telefonu.

Ale nie sposób pozbyć się wrażenia, że istnieje także inny, wtórny determinizm techniczny. Ten dyktuje nam kultura, na przykład filmy czy literatura różnych odmian science fiction. Podoba nam się technika wymyślana przez scenarzystów Star Treka, więc dążymy do jej wynalezienia. Na dalszy plan schodzi, że skonstruowane w ten sposób urządzenie może i jest efektowne, ale pod względem funkcjonalności czy ergonomii znacząco ustępuje prostszym, lecz robiącym mniejsze wrażenie zamiennikom.

Moim skromnym zdaniem tak właśnie jest z biometrią, czego dobitnym przykładem są ostatnie rewelacje na temat „zabezpieczeń” w Samsungu Galaxy S10. Gdy do serii Galaxy S po raz pierwszy (było to przy okazji „ósemki”) trafiła autoryzacja biometryczna z wykorzystaniem twarzy, szybko okazało się, że do oszukania wystarczy zdjęcie prawowitego posiadacza. Po dwóch latach od tamtej wpadki dowiadujemy się, że w najnowszej odsłonie nie tylko nadal przechodzi numer ze zdjęciem. Możliwe jest nawet odblokowanie smartfonu przez krewnego o podobnych rysach twarzy.

Skuteczność nie wzrasta, entuzjazm nie spada

Lata mijają, skuteczność nie wzrasta, entuzjazm nie spada. Trudno wyjaśnić to inaczej niż wspomnianym wtórnym determinizmem. Chęcią posiadania efektownego (rodem z filmów) sposobu na odblokowanie smartfonu. Wszak o bezpieczeństwie nie może być mowy. Pomijam już podstawowe błędy we wdrażaniu biometrii – dowolny dowód biometryczny jest dziś loginem i hasłem, zamiast – jak przystało na jawny składnik – być wyłącznie loginem. Można oczywiście zauważyć, że owszem, biometria to tylko efektowny trik, ale Galaxy S10 to produkt konsumencki, wobec którego producenci nie muszą się aż tak troszczyć o skuteczność zabezpieczeń. Otóż nie. Kosztuje krocie i przez wielu będzie wykorzystywany w pracy.

Problem w tym, że na poziomie Enterprise skuteczność biometrii nie zwiększa się przez użycie wyższej jakości kamer czy czytników, lecz przez skuteczną implementację. Dane biometryczne są tam najczęściej składnikiem logowania, a nie przepustką otwierającą każde drzwi. Warto przy tej okazji wspomnieć jedną z moich ulubionych imprez w całorocznym harmonogramie branżowych wydarzeń – odbywający się co roku w różnych miastach Niemiec Chaos Communication Congress.

Od kilku lat niemal stałym elementem kongresu jest wystąpienie Jana Krisslera, członka Chaos Computer Club, znanego także jako starburg. Jan jest człowiekiem, który cały rok wsłuchuje się w zapewnienia producentów, że biometria to doskonałe i wygodne zabezpieczenie, po czym przychodzi na kongres i udowadnia producentom, że się mylą. Przykład? Jan na podstawie ogólnodostępnego zdjęcia odtworzył linie papilarne niemieckiej minister obrony i odblokował atrapą jej iPhone’a. Rok później Krissler złamał kolejną generację biometrii – identyfikację przez układ żył w dłoniach.

To se pan wyłącz

Na koniec anegdota z naszego podwórka, która dobrze pokazuje, na jakim etapie jest dziś konsumencka biomietria. Podczas konferencji prasowej jednego z banków, którego zresztą mam szczęście być klientem, ogłoszono aktualizację oficjalnej aplikacji. Dodano możliwość logowania się i autoryzowania transakcji za pomocą linii papilarnych. Oczywiście wyłącznie linii papilarnych. Gdy nadszedł czas na pytania z sali, zwróciłem uwagę, że zastępowanie niejawnych składników logowania jednym jawnym nie jest najlepszym pomysłem. W odpowiedzi usłyszałem, że przecież zawsze mogę sobie biometrię wyłączyć.

I wiecie co?
I wyłączam. Wam też radzę.



  • Adramel

    „że do oszukania wystarczy zdjęcie prawowitego posiadacza”
    Czy redakcja może przeprowadzić samodzielnie takie testy i je opisać? Dla różnych smartfonów z odblokowywaniem 2d? Bo na razie dużo ludzi o tym mówi a mało komu udało się do zrobić naprawdę.

  • $ROGAL$

    Drogi autorze, masz chyba małe obycie w świecie technologii mobilnej (góra kilka lat), prawda? Ale brak wiedzy nie zwalnia cię z wymogu przeprowadzenia rzetelnego researchu i weryfikacji przedstawianych informacji, bo mijając się z prawdą …najzwyczajniej okłamujesz ludzi (może nieświadomie, ale to dalej kłamstwo)! Motorola Atrix nie była wcale pierwszym telefonem z czytnikiem linii papilarnych, bo chociażby taka Toshiba G900 już 4 lata wcześniej posiadała możliwość skanowania odcisków palca. A co do odblokowania za pomocą twarzy to też nie za bardzo, bo taką funkcję wprowadził sam Android 4.1 (Jelly Bean) i mój pierwszy Nexus (Galaxy Nexus od Samsunga) miał właśnie taką funkcję …w 2011r.

  • stark2991

    Robisz z igły widły, autorze.
    Skan twarzą 2D, bo o nim tu mowa, to zabezpieczenie stworzone dla wygody, a nie dla zapewnienia bezpieczeństwa. Producenci ostrzegaja przed tym już na etapie konfiguracji. Odblokowanie twarzą jest opcjonalne, można tego nie używać, a zamiast tego używać skanera palca. W czym więc problem? Dlaczego nikt nie krzyczy, że wzór jako metoda zabezpieczenia jest równie niebezpieczna? PIN też łatwo podejrzeć. Ale to skan twarzą stał się nagle wszystkiemu winny.
    Co do czytnika – większość ludzi (w tym ja) używa go dla wygody. Większość ludzi zabezpiecza swój smartfon przed dostępem przez członków rodziny (wścibski brat, zazdrosna żona itp). Nie potrzeba do tego super zaawansowanych metod.

    • adam1709

      napisz proszę Twój ranking od najbezpieczniejszego do najmniej zabezpieczenia

      • stark2991

        Żadne zabezpieczenie nie jest w 100% bezpieczne. Złamano wszystkie metody biometryczne jakie istnieją. Najbezpieczniejszy w smartfonach wciąż jest poczciwy skan odcisku palca. Potem skan twarzy w wersji 3D. Potem można dać PIN, aczkolwiek to już poziom nizej. Na samym dole jest wzór i skan twarzy 2D

        • adam1709

          Strzelam, że w moim OP5 skan twarzy to 2D, więc go usunę

  • Kamień

    Biometria ma jedną szczególną zaletę. Nie pozwala na wyciek pinu/hasła. Odblokowując telefon w miejscu publicznym pinem, narażasz się na jego wyciek. Ile razy to np w kolejce w sklepie ludzie odblokowując telefon czy to pinem czy wzorem, robili to w taki sposób, że jakbym dostał ich telefony to mógłbym bez problemu je odblokować sam… Dodajmy do tego co raz więcej kamer w miejscach publicznych i bam, jak ktoś będzie chciał tobie wykraść pin albo wzór to i tak to zrobi….bo najsłabszym czynnikiem wszystkich zabezpieczeń jest człowiek.

    Biometria, mimo że mniej bezpieczna (choć należy zwrócić uwagę że są mniej i bardziej bezpieczne np face id jest chyba obecnie najbezpieczniejsza), to samo jej łamanie jest łatwe głównie w warunkach laboratoryjnych.

    Sama biometrie można wyłączyć w krytycznych sytuacjach albo np jakiś konkretnych miejscach jak lotniska.

    Dlatego daleko byłbym io wyłączania biometrii i powrotu do pinów/wzorów.

    • adam1709

      dlaczego na lotniskach ?

  • Mickey66

    Jak w tym świetle ocenić nieco bardziej zaawansowane rozpoznawanie facjaty – nowe iPhony, Mate 20 Pro od Huawei? No i generalnie nie wystarczy dysponować sfabrykowany odciskiem palca (jakby trudne nie było wejście w jego posiadanie) – trzeba jeszcze podprowadzić już skonfigurowane urządzenie. To nie jest tak, że dysponując odciskiem pani minister, można sobie kupić nowego ajfona i za pomocą tego odcisku dostać się do jakichkolwiek systemów zabezpieczonych tą biometrią. Trzeba podróbkę palca i już uprzednio skonfigurowane urządzenie. Też się zapewne da, ale jeszcze trudniej. Poza tym widząc, że ktoś zajumał telefon natychmiast zablokuję co wrażliwsze dane. Jeśli ktoś będzie w stanie zbliżyć się do ciebie na tyle, żeby ukraść ci telefon, to na cholerę ma się bawić w te cuda? Po prostu przyłoży ci klamkę do łba, każe natychmiast odblokować telefon i ma co chciał, więc wyłączenie biometrii raczej nie pomoże.



x