W trwającym boomie dostępności wysokiej techniki użytkowej nigdy nie przestanie mnie zadziwiać entuzjazm wobec biometrii. Wszystko zaczęło się od Motoroli Atrix, która jako pierwsza posiadła czynnik linii papilarnych, potem pojawił się iPhone 5s. Biometria w urządzeniach mobilnych jest więc z nami już niemal dekadę. Trudno nie oprzeć się wrażeniu, że nie tylko się ona nie rozwija, lecz z roku na rok staje się coraz gorsza.
Biometria łechce ego
Istnieje spore grono osób, deklarujących się – świadomie lub nie – jako determiniści techniczni. Jest to ciekawy pogląd, który zakłada, że technika jest samodzielnym żywiołem. Według deterministów to nie człowiek przyczynia się do jej rozwoju, lecz to technika sama pozwala się człowiekowi odkrywać. Determiniści nierzadko podpierają się jednoczesnym wynajdywaniem urządzeń o tych samych zastosowaniach w wielu miejscach na świecie w zbliżonym czasie. Wystarczy wspomnieć awantury ze skonstruowaniem pierwszego radia czy telefonu.
Ale nie sposób pozbyć się wrażenia, że istnieje także inny, wtórny determinizm techniczny. Ten dyktuje nam kultura, na przykład filmy czy literatura różnych odmian science fiction. Podoba nam się technika wymyślana przez scenarzystów Star Treka, więc dążymy do jej wynalezienia. Na dalszy plan schodzi, że skonstruowane w ten sposób urządzenie może i jest efektowne, ale pod względem funkcjonalności czy ergonomii znacząco ustępuje prostszym, lecz robiącym mniejsze wrażenie zamiennikom.
I unlocked my brother’s Galaxy S10+ with my face
— Jane Manchun Wong (@wongmjane) 9 marca 2019
Moim skromnym zdaniem tak właśnie jest z biometrią, czego dobitnym przykładem są ostatnie rewelacje na temat „zabezpieczeń” w Samsungu Galaxy S10. Gdy do serii Galaxy S po raz pierwszy (było to przy okazji „ósemki”) trafiła autoryzacja biometryczna z wykorzystaniem twarzy, szybko okazało się, że do oszukania wystarczy zdjęcie prawowitego posiadacza. Po dwóch latach od tamtej wpadki dowiadujemy się, że w najnowszej odsłonie nie tylko nadal przechodzi numer ze zdjęciem. Możliwe jest nawet odblokowanie smartfonu przez krewnego o podobnych rysach twarzy.
Skuteczność nie wzrasta, entuzjazm nie spada
Lata mijają, skuteczność nie wzrasta, entuzjazm nie spada. Trudno wyjaśnić to inaczej niż wspomnianym wtórnym determinizmem. Chęcią posiadania efektownego (rodem z filmów) sposobu na odblokowanie smartfonu. Wszak o bezpieczeństwie nie może być mowy. Pomijam już podstawowe błędy we wdrażaniu biometrii – dowolny dowód biometryczny jest dziś loginem i hasłem, zamiast – jak przystało na jawny składnik – być wyłącznie loginem. Można oczywiście zauważyć, że owszem, biometria to tylko efektowny trik, ale Galaxy S10 to produkt konsumencki, wobec którego producenci nie muszą się aż tak troszczyć o skuteczność zabezpieczeń. Otóż nie. Kosztuje krocie i przez wielu będzie wykorzystywany w pracy.
Problem w tym, że na poziomie Enterprise skuteczność biometrii nie zwiększa się przez użycie wyższej jakości kamer czy czytników, lecz przez skuteczną implementację. Dane biometryczne są tam najczęściej składnikiem logowania, a nie przepustką otwierającą każde drzwi. Warto przy tej okazji wspomnieć jedną z moich ulubionych imprez w całorocznym harmonogramie branżowych wydarzeń – odbywający się co roku w różnych miastach Niemiec Chaos Communication Congress.
Od kilku lat niemal stałym elementem kongresu jest wystąpienie Jana Krisslera, członka Chaos Computer Club, znanego także jako starburg. Jan jest człowiekiem, który cały rok wsłuchuje się w zapewnienia producentów, że biometria to doskonałe i wygodne zabezpieczenie, po czym przychodzi na kongres i udowadnia producentom, że się mylą. Przykład? Jan na podstawie ogólnodostępnego zdjęcia odtworzył linie papilarne niemieckiej minister obrony i odblokował atrapą jej iPhone’a. Rok później Krissler złamał kolejną generację biometrii – identyfikację przez układ żył w dłoniach.
To se pan wyłącz
Na koniec anegdota z naszego podwórka, która dobrze pokazuje, na jakim etapie jest dziś konsumencka biomietria. Podczas konferencji prasowej jednego z banków, którego zresztą mam szczęście być klientem, ogłoszono aktualizację oficjalnej aplikacji. Dodano możliwość logowania się i autoryzowania transakcji za pomocą linii papilarnych. Oczywiście wyłącznie linii papilarnych. Gdy nadszedł czas na pytania z sali, zwróciłem uwagę, że zastępowanie niejawnych składników logowania jednym jawnym nie jest najlepszym pomysłem. W odpowiedzi usłyszałem, że przecież zawsze mogę sobie biometrię wyłączyć.
I wiecie co?
I wyłączam. Wam też radzę.