W świecie technologicznych gadżetów i spopularyzowanej cyfryzacji wymaga się od nas zakładania tysięcy wirtualnych kont. Każdy serwis informacyjny, na który wchodzimy, zachęca nas do zalogowania, przed przeczytaniem najświeższych nowinek z kraju i zagranicy. Subskrybowania. Połączenia z kontem na Facebooku czy Google+. A żeby uzyskać dostęp do wszystkich z tych usług, wymagane jest użycie… hasła.
I jest to rzecz naturalna i wydaje się dziś – niezbędna. Miliony gigabajtów danych, które krążą sobie po sieci, muszą być przecież odpowiednio zabezpieczone. Hasło do poczty mailowej, portalu społecznościowego, witryny sklepowej, ulubionego forum. Najczęściej niezbyt skomplikowane i przewidywalne – trzeba je wszystkie jakoś przecież spamiętać. Albo wybierać zawsze jeden wariant z tą samą kombinacją znaków.
Do czego zmierzam? System zabezpieczeń naszych danych uległ stopniowemu pogorszeniu. Sztandarowymi dzisiaj hasłami są: „haslo12345” „dupa123” albo „12345qwerty”. Tak niski poziom oryginalności powoduje bardzo poważne zagrożenia, którym, przynajmniej według deklarowanej ideologii, postarano się wyjść na przeciw. Tak (teoretycznie) narodził się pomysł spopularyzowania czytników linii papilarnych.
Zastosowanie w elektronice sensorów linii papilarnych nie jest nowe. Producenci sprzętu komputerowego stosowali go już wcześniej w wielu laptopach (na przykład HP Elitebook) – jednak bez większego powodzenia. Gadżet spopularyzowały dopiero telefony komórkowe, później Smartfony i na końcu iPhony, dzięki którym rozwiązanie faktycznie się przyjęło. Dziś co raz więcej urządzeń otrzymuje wbudowane czytniki, służące do autoryzacji, bądź identyfikacji właściciela przedmiotu.
W przyszłości spodziewam się, że większość, jeżeli nie prawie wszystkie smartfony, będą wyposażone w tę funkcję. Dużo łatwiej jest nam przesunąć palcem, w celu odblokowania ekranu, niż zapamiętywać hasło i za każdym razem je wpisywać. Jest to wygodne i bardzo przydatne, gdy chcemy zaoszczędzić czas. Naturalnym więc krokiem było wymyślić coś, co zwiększy zabezpieczenia, jednocześnie skracając długość operacji. Ale czy na pewno osiągnięto w tej kwestii sukces?
Jak to jest z tymi, tak zwanymi zabezpieczeniami biometrycznymi? Czy występuje realne zagrożenie korzystania z nich? I czy jeśli tak, to czy mamy w ogóle świadomość tego, jakie konsekwencje mogą za sobą nieść?
Przede wszystkim problem nie jest jednoznaczny. Przekonany jestem co do tego, że w przypadku tak personalnych i osobistych danych (unikatowych dla każdego człowieka!) realne zagrożenie istnieje zawsze. Przede wszystkim dlatego, że nieodpowiednie obchodzenie się z nimi może doprowadzić do katastrofy. Natomiast w kwestii świadomości – tu już nie mam wątpliwości – nie mamy jej wcale. O czym świadczy olbrzymi wzrost zainteresowania tą „nowością” na rynku urządzeń mobilnych.
Zastanawialiście się kiedyś jak działa skaner linii papilarnych? To urządzenie zawierające w sobie wiązkę światła zdolną do precyzyjnej rejestracji obrazu. Obrazu – powtórzę. Dopiero następnie program dane koduje. Żeby więc z ekranu blokady przejść do codziennych czynności na naszym smartfonie, urządzenie musi porównać przykładany odcisk palca z tym już zapisanym. W jaki sposób? Nakładając na siebie zapamiętany obraz z tym właśnie pobranym. Umożliwia to dwie rzeczy.
Pierwszą z nich jest fakt, że dane o naszych liniach papilarnych urządzenie gdzieś musi przetrzymywać. Najbezpieczniejszą formą wydaje się wtedy konto producenta systemu, bądź urządzenia. Zakładając, że to będzie smartfon na Androidzie – dane zakodowane zostaną w urządzeniu i na naszym koncie Google. Paradoksem byłoby więc logować się również na nie za pomocą czytnika. Więcej – w takim razie tradycyjnego hasła i tak się nie pozbędziemy. Pamiętajmy też, że Google na pewno dane o nas cierpliwie zbiera – i wkrótce będzie wiedzieć o nas dosłownie wszystko.
Drugą sprawą jest niebezpieczeństwo wynikające z działalności hakerów. Skoro czytnik zczytuje z naszego palca dane w sposób laserowy, konwertując tym samym w odpowiedni sposób obraz, to gdzieś, chociaż przez ułamek sekundy, musi pojawić się plik za to odpowiadający. Bywały już smartfony, które plik z odczytem zapisywały w formacie .bmp (bitmapa) wewnątrz systemu. Plik .bmp – który wystarczy skopiować i przekleić.
Jeżeli więc haker wykorzysta ten fakt i wykryje lukę – stanie się posiadaczem naszych najbardziej poufnych danych na świecie. Linie papilarne nie mogą wystąpić u dwóch ludzi na ziemi, są unikatowe i niepowtarzalne. Dlatego też wytworzyło się przekonanie, że poprawna weryfikacja linii papilarnych=obecność osoby upoważnionej. Aż chciałoby się rzec:
(…) ponieważ nie do końca jest to prawda. Już teraz mamy taki stopień zaawansowania technologicznego, że zdolni jesteśmy nałożyć specjalną warstwę na palec, na którym następnie odbijemy wybrane odciski palców. Operacja z całą pewnością kosztowna i trudna – ale możliwa. Jeżeli więc ktoś raz pozyska nasze odciski palców – korzystanie z czytnika linii papilarnych już nigdy nie będzie bezpieczne. Dlaczego?
Fachowo mówiąc – dermatoglifów, czyli tego charakterystycznego układu bruzd na skórze dłoni i stóp – zmienić nie możemy. Hasło owszem. Z tego względu stajemy się bezradni w przypadku ich kradzieży. Należy więc bardzo dokładnie dbać o odpowiednie ich zabezpieczenie.
Więcej – Grupa Chaos Computer Club, uważana za stowarzyszenie największych hakerów w Europie, udowodniła, że jest w stanie łatwo złamać sensor linii papilarnych. Jedyne co muszą mieć w posiadaniu to parę zdjęć dłoni. Za ich pomocą są w stanie odtworzyć cały układ i dostać się do naszych danych. A tych, za pomocą czytnika, chronimy coraz więcej.
W przyszłości z pewnością wykorzystamy omawiany gadżet do płatności, logowania, identyfikacji, czy autoryzacji. Dopóki więc ktoś bardzo mądry i obeznany w temacie nie udowodni mi, że moje dane są bezpieczne, wymieniając przy tym idące za tym przesłanki – dopóty odpuszczam sobie korzystanie z sensora linii papilarnych. W moim przekonaniu obecna polityka tego bezpieczeństwa mi nie zapewnia. Ma być szybko i efektownie. Ale czy efektywnie?
Pomijam już sytuację, w której chcemy pożyczyć na chwilę zaufanej osobie telefonu w ważnej sprawie – jeżeli ekran zgaśnie, smartfon stanie się dla niej bezużyteczny. To ryzyko, na które przystajemy. Nie będę też pisać, że ktoś, kiedyś, komuś bardzo bogatemu rękę odrąbie – bo to już niepotrzebne sianie fermentu i spora przesada. Niemniej, musimy mieć się na baczności, udostępniając gdziekolwiek nasze linie papilarne – to nie ulega wątpliwości.
Mało kto dziś już korzysta z płatności telefonem, zatem technologiczna nowinka służy nam głównie do odblokowania telefonu. Osobiście nie uważam więc, że obecnie mamy aż tak ważne rzeczy do ukrycia w telefonie, by zabezpieczać je liniami papilarnymi. Szanujmy je, ponieważ innych nie dostaniemy!