Насколько надежно защищают ваши данные сканеры отпечатков пальцев? У специалистов по защите информации есть мнение, что пароль надежнее так как сканеры были повсеместно внедрены в современных смартфонах.
Казалось бы, идеал идентификации достигнут, так как считается, что нет двух людей, имеющих одинаковые отпечатки пальцев. Но практически сразу же хакеры и просто любопытствующие заинтересовались способами взлома или обхода такой системы, в числе которых подделка отпечатков пальцев или даже имитация самого пальца. Поэтому некоторые эксперты уверены, что подобный метод защиты, несмотря на кажущуюся надежность, на самом деле представляет немалую опасность для пользователей.
Подпишитесь на наш канал в Телеграме, чтобы читать только интересные новости высоких технологий
Исследователи из Нью–Йоркского университета (NewYork University) и Мичиганского государственного университета (Michigan State University) обнаружили, что частичное сходство между отпечатками достаточно распространено, и может быть достаточным для обмана биометрических систем безопасности в смартфонах и других электронных устройствах. Уязвимость заключается в том, что системы аутентификации на основе отпечатков пальцев имеют небольшие датчики, которые не фиксируют полный отпечаток пальца пользователя. Вместо этого они сканируют и хранят частичные отпечатки пальцев (partial fingerprints), и многие телефоны позволяют пользователям регистрировать несколько разных пальцев в своей системе аутентификации. Это делается для более быстрого и уверенного входа в систему. Идентификация подтверждается, когда отпечаток пальца пользователя совпадает с одним из сохраненных частичных отпечатков.
Исследователи выдвинули гипотезу, что между частичными отпечатками разных людей может быть достаточно много общего, чтобы можно было создать так называемый Мастер–Отпечаток (MasterPrint) — эталонный отпечаток пальца.
Насир Мемон (Nasir Memon), профессор Технической школы Тандона Нью–Йоркского университета и руководитель исследовательской группы, объяснил, что концепция Мастер–Отпечаток имеет некоторое сходство с хакером, который пытается взломать систему на основе PIN с помощью общепринятого пароля, такого как 1234. «Примерно в 4 процентах случаев пароль 1234 будет верным, что является относительно высокой вероятностью», — сказал Мемон. Исследовательская группа решила выяснить, смогут ли они найти Мастер–Отпечаток, который мог бы выявить подобный уровень уязвимости. И, действительно, они обнаружили, что определенные признаки в шаблонах отпечатков пальцев человека были достаточно распространенными, чтобы вызывать проблемы безопасности.
Мемон и его коллеги, аспирант Нью–Йоркского университета Адити Рой (Aditi Roy) и профессор Колледжа инженерного дела Мичиганского государственного университета Арун Росс (Arun Ross), используя коммерческое программное обеспечение, провели анализ с использованием 8200 частичных отпечатков пальцев. Они обнаружили в среднем 92 потенциальных Мастер–Отпечатка для каждой случайно отобранной партии из 800 частичных отпечатков. Они определили основной отпечаток как тот, который соответствует по крайней мере 4 процентам других отпечатков в случайно отобранной партии. При этом они обнаружили только один полный Мастер–Отпечаток в образце из 800 полных отпечатков. «Неудивительно, что вероятность ложного совпадения частичного отпечатка гораздо выше, чем полного, и большинство устройств полагаются только на частичные отпечатки для идентификации» — сказал Мемон.
Исследователи с помощью технологии машинного обучения проанализировали атрибуты Мастер–Отпечатка, взятые из реальных изображений отпечатков пальцев, а затем построили алгоритм для создания синтетических частичных Мастер–Отпечатков. Алгоритм объединил воедино наиболее распространенные характеристики отпечатков пальцев, создавая общий архетип, подобно ключу, который подходит ко всем дверям. Эксперименты показали, что синтетические частичные отпечатки имеют еще более широкий потенциал совпадения, что делает их более вероятными для обмана биометрические системы безопасности, чем реальные частичные отпечатки пальцев. При цифровом моделировании Мастер–Отпечатков исследователи сообщили об успешном совпадении между 26 и 65 процентами пользователей, в зависимости от того, сколько частичных отпечатков пальцев было сохранено для каждого пользователя, и предполагая максимальное число попыток проверки подлинности равным пяти. Чем больше частичных отпечатков пальцев хранит данный смартфон для каждого пользователя, тем более он уязвим.
Поражает и вызывает беспокойство то, что это было достигнуто без доступа к исходному отпечатку и без взлома софта или «железа». Ключом доступа к системе тут выступил просто фейковый отпечаток.
Рой подчеркнула, что их работа была выполнена в смоделированной среде. Вместе с тем она отметила, что улучшения в создании синтетических отпечатков и методов передачи цифровых Мастер–Отпечатков на физические устройства с целью подделки создают значительные проблемы в области безопасности. Высокая способность совпадения Мастер–Отпечатков указывает на проблемы разработки надежных систем аутентификации на основе отпечатков пальцев и усиливает необходимость в многофакторных схемах аутентификации. Она сказала, что эта работа может послужить основой для будущих проектов.
«Поскольку датчики отпечатков пальцев становятся меньше по размеру, необходимо значительно улучшить разрешение датчиков, чтобы они могли захватывать дополнительные функции отпечатков пальцев», — прокомментировал исследование Росс — «Если разрешение не улучшится, различимость отпечатка пальца пользователя будет неизбежно скомпрометирована. Эмпирический анализ, проведенный в этом исследовании, ясно подтверждает это».
Мемон отметил, что результаты исследования группы основаны на сопоставлении мелочей, которые может использовать или не использовать любой конкретный производитель. Тем не менее, пока для разблокировки устройств используются частичные отпечатки пальцев и сохраняется несколько частичных отпечатков для каждого пальца, вероятность обнаружения Мастер–Отпечатков значительно возрастает, пояснил он.
Хотя блокировка–разблокировка с помощью отпечатка пальца сейчас довольно популярна у многих пользователей, все же не стоит легкомысленно относиться к безопасности своих данных. Наиболее надежным на сегодня остается старый способ установки пароля на свое электронное устройство. Одним из решений потенциальной проблемы исследователи называет использование двухфакторной аутентификации, где главным ключом входа выступает пароль, но при этом вместе с ним авторизация производится и с помощью других способов: дополнительных одноразовых паролей, графического ключа или сканера сетчатки глаза.
Источник engineering.nyu.edu |