Je biometrická ochrana na spotrebnej elektronike len na okrasu?
Na prvý pohľad to znie ako skvelý nápad. Priložím prst na čítačku odtlačkov prstov zabudovanú v telefóne a len v prípade zhody, s ním môžem aj pracovať. Alternatívne sa pozriem na telefón, resp. telefón na mňa a len ak ma rozpozná ako oprávnenú osobu, pustí ma dnu. Ibaže prekliatie zabezpečenia, že pohodlnosť používania a úroveň bezpečnosti sú do značnej miery v protiklade, funguje aj tu pri biometrii. Ešte skôr než Apple vydal iPhone 5S - prvý naozaj masovo rozšírený telefón so snímačom odtlačkov prstov, rozprúdila sa debata ohľadom toho, či je to dobré, alebo zlé. Či je úroveň zabezpečenia lepšia než pri použití PIN alebo obrazca, kto všetko bude mať prístup k samotnému odtlačku a či sa takýto systém nebude dať okabátiť. V skutočnosti táto bitka začala ešte o viac než dekádu skôr, než bol na trh uvedený zmieňovaný iPhone - ešte v roku 2002 jeden šikovný Japonec oblafol 11 vtedy komerčne dostupných snímačov odtlačkov prstov s pomocou gumových medvedíkov a digitálneho fotoaparátu.
Technológie sa síce vyvíjajú, rovnako ale aj vynaliezavosť protivníkov, takže chlapcom z Chaos computer club trvalo iba niekoľko dní než našli prvý spôsob ako oklamať touch ID na, vtedy novučkom, iPhone. Po gumových medvedíkoch si svojich 15 minút slávy užila aj plastelína, či špeciálny atrament vytlačený z obyčajnej atramentovej tlačiarne. Začiatkom tohto roka prišla ďalšia správa z Japonska, tento raz tvrdí, že na vytvorenie kópie odtlačku prsta stačí aj obyčajná fotografia prsta zo vzdialenosti 3 metrov. No a tento týždeň vedci z USA vytvorili, veľmi zjednodušene podané, akýsi univerzálny odtlačok prsta. Zneužili to, že snímače na mobilných telefónoch sú pomerne malé, a teda nepracujú s komplexným, veľkým, odtlačkom, ale len so sériou viacerých menších - čiastkových.
Toľko zatiaľ k odtlačkom… ako je na tom ale rozpoznávanie tvárí? Ako istotne tušíte, o moc lepšie nie. Google nasadil túto technológiu ešte v roku 2011 a sám som mal tú česť odskúšať si, že naozaj stačila aj obyčajná fotka a zámok padol. Vylepšenia síce prichádzali, ale ešte ani dnes nemožno považovať túto technológiu za bezproblémovú, obzvlášť keď si uvedomíme, že urobiť si vašu fotku dokáže dnes už prakticky ktokoľvek.
Takže späť k otázke. Má vôbec zmysel tieto technológie, po tomto všetkom využívať? Skúsme chvíľu spoločne uvažovať:
- Absolútna bezpečnosť je chiméra, toto je skrátka holý fakt s ktorým musíme počítať
- Aspoň nejaké zabezpečenie je stále lepšie ako žiadne - viac ako štvrtina telefónov ostáva bez akéhokoľvek zabezpečenia
- Áno, biometrické vychytávky majú v spotrebnej elektronike množstvo, nielen detských, chýb. Ale ani ostatné spôsoby zabezpečenia nie sú ideálne - heslá sú krajne nepraktické, PIN kódy sú často predikovateľné alebo odpozorovateľné, resp. aktuálny výskum dokonca našiel spôsob ako ich odhaliť pomocou dát získaných zo zabudovaných senzorov pohybu, no a o uzamykaní obrazcom sa toho popísalo už tiež dosť. Takže týmto bodom sme si vlastne len potvrdili predchádzajúce dva, obzvlášť ten prvý.
- Skúsme sa však zamyslieť pred kým/čím sa vlastne chceme chrániť. Je to výzvedná služba nejakého štátu, alebo nejaká dobre organizovaná (zločinecká) skupina? Alebo je to váš všetečný kolega, dotieravý spolužiak, žiarlivá manželka, či najmä (vreckový) zlodej?
- V prvom prípade mám pre vás zlú správu - nepomôže vám takmer nič. Ak sa niekto dobre odhodlaný a vybavený zameria priamo na vás a váš telefón, je len malá pravdepodobnosť, že neuspeje. Môžete mať aj viacfaktorové zabezpečenie prístupu, ale v krajnom prípade útok metódou BPH (Bejzbalkou Po Hlave) v momente keď pracujete s odomknutým telefónom bude s vysokou pravdepodobnosťou stále účinný.
- V tom druhom prípade vám pravdepodobne postačí aj pohodlný snímač odtlačkov prstov so všetkými jeho dnešnými nedostatkami. Samozrejme týmto nechcem obhajovať, či zľahčovať nedostatky spomínaných technológií a ani nechcem aby ste podľahli falošnému pocitu “absolútneho” bezpečia. Treba si totiž uvedomiť aj to, že je rozdiel či danú ochranu ideme aplikovať na odblokovanie telefónu alebo ako prístup do aplikácie internet bankingu, kde by som už ja osobne preferoval iný, ďalší, spôsob ochrany.