Az elmúlt egy-két évben drasztikusan megnőtt azon okostelefonok száma, amik már az ujjlenyomat-olvasóval történő azonosítást részesítik előnyben – szemben a hagyományos jelszavakkal. Kétségtelen, hogy az elkövetkező években is a biometrikus azonosítás lesz a sláger a piacon, de fel kell tennünk a kérdést: Mennyire biztonságos ez a védelmi megoldás?
Az informatikai biztonság területén közismert egy összefüggés, miszerint a kényelem fordított arányosságban áll a biztonsággal. Magyarán egy védelmi megoldás minél kényelmesebb, annál kevésbé biztonságos. Nagyon úgy tűnik, hogy ezt a szuperkényelmes ujjlenyomat-olvasókkal és retinaszkennerekkel sem sikerült megcáfolni.
A biometriát nem erre találták ki
Persze a filmekben minden modernebb katonai bázison ujjlenyomattal nyitják az ajtókat, a valóságban minden biztonságkritikus környezetben igyekeznek messziről elkerülni ezeket a technológiákat. Az ember biometrikus tulajdonságai ugyanis nem IT biztonsági szempontok szerint fejlődtek az evolúció során. Míg egy jelszó a fejünkben, az emlékeinkben szerepel, a biometrikus jellemzőinkkel szinte bombázzuk a környezetünket. Ujjlenyomatok, biztonsági felvételek és még sorolhatnánk – persze furcsa világ is lenne, ha mindenki símaszkban és kesztyűben mászkálna.
Az ujjlenyomat útján történő azonosítás gyengeségét a közismert hacker, Jan Krissler prezentálta a leglátványosabba, aki egy nagyfelbontású fotó alapján sikeresen rekonstruálta a német védelmi miniszter, Ursula von der Leyen ujjlenyomatát. Nem mellesleg ez az úriember sikeresen átverte az Apple TouchID-t is az iPhone kijelzőjén hagyott ujjlenyomatok alapján – a technológia bemutatásának másnapján.
Az ujjlenyomat-olvasási koncepciót ugyan próbálták megerősíteni az ujjban futó erek ellenőrzésével, de svájci kutatók még a abban az évben kijátszották a megoldást.
Túl jól azonosít minket
A biometrikus jellemzők másik nagy hátránya az, hogy túl jól azonosítanak minket, ami azt jelenti, hogy a támadó kezében már nemcsak egy lényegi információt nem hordozó azonosítókód van, hanem egy olyan jelszószerűség, ami minket is egyértelműen meghatároz. Mintha az lenne a jelszavunk, hogy KovacsJanos19840713Budapest – holott lassan már mindenki tudja, hogy a jelszóban nem tárolunk személyes adatot.
Az ujjlenyomatunkkal, az arcképünket és a retinánkkal is ez a helyzet. Egyértelműen meghatároznak minket. A probléma az, hogy ezek a tulajdonságok másolhatóak, tehát más is megszemélyesíthet minket. Ha ezt a támadók egy bűntény során kombinálják az azonosítókódként használt biometrikus jellemzőinkkel, sokáig magyarázkodhatunk a hatóságoknak arról, hogy hiába az azonos ujjlenyomat, retina és arckép, nem mi vagyunk az elkövetők.
Nem cserélhető, nem variálható, de legalább sérülékeny
Szinte minden héten beszámolunk nagyobb jelszószivárgásokról, az általános javaslatunk pedig mindig az, hogy a feltételezhetően érintett felhasználók haladéktalanul változtassanak jelszót az általuk használt online szolgáltatásoknál.
Ezt kicsit érdekes lenne ujjlenyomatokat tartalmazó adatbázisok kiszivárgásánál kérni, hiszen az emberre nem annyira jellemző az ujjlenyomat megváltoztatásának képessége – persze egy öngyújtó és némi kitartás csodákra képes.
Míg a jelszavak esetében annyifélét találunk ki, ahányra csak szükségünk van, a biometrikus rendszerekben meglehetősen korlátozottak a lehetőségeink. Nincs lehetőségünk újabb végtagokat növeszteni és nem választhatjuk meg a retinánkat sem – abból kell gazdálkodnunk, amink van, míg a hagyományos jelszavak esetében a lehetőségek szinte korlátlanok.
Az ember tipikusan az a lény, ami nagyon nem tud magára és az ő értékes, biometrikus jellemzőire vigyázni. Maradandó kézsérülés esetén az ujjlenyomat-olvasó már nem opció, a szemüvegesek és kontaktlencsések pedig a retinaszkennert sem használhatják – egyedül a jelszó az, amit mindenki egyenlő esélyekkel és magas hatékonysággal használhat.
Akkor nem ez lesz a jövő?
Ahogyan mindenütt, itt is a pénz dominál. Ha a felhasználók igénye az, hogy ne kelljen jelszavakat pötyögni, akkor megkapják a lehetőséget az egyszerűbb, de egyértelműen kevésbé biztonságos megoldások használatára. Az elkövetkező években is erről fog szólni a technológiai piac, minél modernebbnek és kényelmesebbnek tűnő szolgáltatásokkal kívánják eladni a termékeket.
Viszont mindenkinek tisztában kell lennie a következményekkel, hiszen a biometrikus azonosítás nem való mindenkinek. Kritikus környezetben, fontos adatokkal rendelkező személyek számára maximum jelszavas azonosítással kiegészítve ajánlott. Egy vállalati levelezést is tároló okostelefon esetében például erősen kerülendő az ujjlenyomat-olvasós és a retinaszkenneres beléptetés.
Forrás: Androbit technológiai magazin