Статьи
Почему не стоит разблокировать телефон при помощи лица
Действительно ли технология FaceID безопасна для использования? Своими сомнениями и идеями поделился Куинси Ларсон из freeCodeCamp.
Действительно ли технология Face ID безопасна для использования? Своими сомнениями и идеями поделился Куинси Ларсон из freeCodeCamp.
На недавно прошедшей конференции Apple анонсировала свою новую технологию Face ID. Это новый способ разблокировки телефона при помощи распознавания лица. Всё, что вам нужно сделать — посмотреть на телефон, чтобы он вас распознал. На момент написания статьи никто, кроме представителей Apple, не тестировал безопасность Face ID. Поэтому статья посвящена безопасности распознавания лиц и другим формам биометрической идентификации.
Исторически биометрическая идентификация небезопасна. Камеры могут быть взломаны. Голоса могут быть записаны. Отпечатки пальцев могут быть украдены. И во многих странах полиция может заставить вас использовать свой отпечаток пальца для разблокировки смартфона. Они могут сделать это без вашего желания.
Если вы цените безопасность данных — почты, социальных сетей, семейных фотографий и истории всех мест, в которых вы когда-либо были с телефоном — я рекомендую не использовать биометрическую идентификацию. Для разблокирования экрана просто используйте пароль.
Вам будет сложнее изменить лицо, чем пароль
Вот отличная сцена из “Ультиматума Борна”, в которой герой Мэтта Деймона обманывает двухфакторную биометрическую идентификацию сейфа:
Несмотря на то, что это фильм десятилетней давности, он иллюстрирует проблемы, присущие биометрической идентификации. Сколько существует снимков вашего лица? Можно ли сшить эти изображения и создать модель, достаточно точную для обмана Face ID с его инфракрасным излучением и системой проектирования точек?
Вот полное демо FaceID, если вам интересно, как это работает:
Нужно лишь немного времени, чтобы появился метод для обмана Apple Face ID и других аналогичных систем. Почему я так уверен? Давайте поговорим о сканерах радужки глаза.
В человеческой радужке миллионы клеток, и у каждого человека она уникальна. Довольно хороший кандидат для биометрической идентификации, да?
Что ж, некоторые исследователи смогли взломать сканер радужки глаза в Samsung Galaxy 8 в мае этого года. Они использовали только принтер и контактную линзу.
Давайте сделаем шаг назад и рассмотрим главный биометрический идентификатор — вашу ДНК. Она является всего лишь длинной строкой данных. В человеческом геноме содержится 3 миллиарда базовых пар. Вся информация о геноме человека займет меньше гигабайта. И определение последовательности чьего-то генома стоит немного, и эта стоимость стремительно падает. Если последовательность вашей ДНК попадет в публичный доступ, вы не сможете изменить её. Как и ваш голос, отпечатки пальцев или структуру лица.
Поэтому не полагайтесь на биометрическую идентификацию. Существует более хороший способ. Он вам не понравится, потому что это менее удобно. Но это работает.
Пароли из цифр: трудно отгадать, легко изменить
В iPhone у вас есть десять попыток разблокировать телефон с помощью пароля. Учитывая, что ваш пароль состоит из десяти цифр, комбинаций существует 10 тысяч. Это значит, что у человека, желающего разблокировать ваш телефон, есть шанс 1 к 10,000 успешно это сделать.
Это может звучать не так безопасно, как “один на миллион”, число, которое Apple назвало вероятностью того, что похожий на вас человек разблокирует телефон. Но в случае пароля атакующему даже не с чего начать. Номер абсолютно случаен, поэтому более безопасен, чем Face ID.
Вот 20 самых используемых паролей из четырех цифр. Не используйте их, чтобы быть в безопасности.
+------+------+-----------+ | Rank | Code | Frequency | +------+------+-----------+ | #1 | 1234 | 10.713% | | #2 | 1111 | 6.016% | | #3 | 0000 | 1.881% | | #4 | 1212 | 1.197% | | #5 | 7777 | 0.745% | | #6 | 1004 | 0.616% | | #7 | 2000 | 0.613% | | #8 | 4444 | 0.526% | | #9 | 2222 | 0.516% | | #10 | 6969 | 0.512% | | #11 | 9999 | 0.451% | | #12 | 3333 | 0.419% | | #13 | 5555 | 0.395% | | #14 | 6666 | 0.391% | | #15 | 1122 | 0.366% | | #16 | 1313 | 0.304% | | #17 | 8888 | 0.303% | | #18 | 4321 | 0.293% | | #19 | 2001 | 0.290% | | #20 | 1010 | 0.285% | +------+------+-----------+
И если вы хотите действительно случайное число, вставьте эту строку в JavaScript-консоль своего браузера:
console.log(Math.floor(1000 + Math.random() * 9000));
Многие телефоны поддерживают использование большего количества цифр в пароле. Каждая новая цифра дает вам усиление безопасности. Но учтите, что вы будете вводить его множество раз в день, поэтому четыре цифры кажутся надежным выбором. И у суда нет права заставить вас огласить свой пароль. Это ваша собственность, и она не будет использована против вас, пока вы добровольно не скажете свой пароль.
Путь для биометрической идентификации
Вместо существующего подхода “все или ничего” производителям стоит принять другой подход, рассматривающий несколько уровней аутентификации для доступа к приложениям и данным. Это похоже на традиционный подход в программах, основанный на роли. И телефоны уже придерживаются его при помощи экранов блокировки.
Например, по умолчанию в iOS вы можете читать сообщения, не разблокируя телефон. А когда вы попытаетесь купить что-то в App Store, iOS потребует от вас ввода длинного пароля. Face ID можно использовать, чтобы получить разрешение на разблокировку “для чтения” и пользоваться менее чувствительными приложениями, например, с новостями. Но когда вы хотите разрешение “для написания”, чтобы отправить сообщение или твит, ваш телефон может попросить у вас пароль. Это решит проблему “Мне нужно разблокировать телефон 80 раз за день”, которая является главной причиной того, что 89% пользователей iPhone используют Touch ID. Это изменение в системе можно развернуть на все телефоны, и это сделает все намного безопаснее.
На шкале удобство-безопасность точно есть идеальное место. Но разблокировка всего телефона — социальных сетей, банковских аккаунтов и других данных — только вашим лицом? Нам ещё нужно подумать, как достичь этого идеального места. Пока я советую использовать сильные пароли.
-
Видео и подкасты для разработчиков1 месяц назад
Lua – идеальный встраиваемый язык
-
Новости1 месяц назад
Poolside, занимающийся ИИ-программированием, привлек $500 млн
-
Новости1 месяц назад
Видео и подкасты о мобильной разработке 2024.40
-
Новости1 месяц назад
Видео и подкасты о мобильной разработке 2024.41