Biometria: A megváltoztathatatlan jelszó

Az egyik leggyakoribb hiba, amire a biztonságszakértők felhívják figyelmünket, hogy ne használjuk ugyanazt a jelszót mindenhol. Miért lenne ez alól kivétel a biometria?


A biometrikus azonosítás ma már egyre elterjedtebb biztonsági megoldásnak számít, de vajon mennyire mondható biztonságosnak?

Az ujjlenyomatokat egyre több ország tette kötelezővé az útlevél és vízumigényléshez, és mint tudjuk, az Apple és androidos telefonok legtöbbjén is elérhető ez a fajta védelem. Sőt, bizonyos vízumtípusokhoz akár a DNS mintavételt is előírhatják.

A személyes iratok és mobiltelefonok mellett a bankok is kezdik bevezetni az ujjlenyomatos azonosítást. Az ausztrál Suncorp és Commonwealth bankok például az Apple biometrikus funkcióit kihasználva vezették be ezt a lehetőséget mobil alkalmazásaikban, így az iPhone és iPad tulajdonosok egyetlen érintéssel bejelentkezhetnek fiókjukba.

Isabelle Moeller, a Biometrics Institute elnök-vezérigazgatója szerint a biometrikus azonosítást a legtöbb esetben a biztonsági funkciók egyszerűsítésére vezetik be, de vajon tényleg biztonságosnak mondható ez a védelem?

A FireFly által végzett kutatás szerint a hekkerek viszonylag egyszerűen képesek feltörni a mobilokat és ellopni a felhasználók ujjlenyomatát, mégpedig tömegesen és anélkül, hogy ezt bárki észrevenné. A kutatás azt találta, hogy leginkább az Android rendszerű készülékek vannak veszélyben, mert azokon a szenzorok csak rendszer szinten, nem pedig a forrásban védettek.
„Az ilyen támadások esetében a támadó megszerzi az áldozat digitális ujjlenyomatát, és azt az illető életének hátralévő részében bármire fel tudja használni,”
mondja Yulong Zhang, a FireFly kutatója.

A hagyományos jelszavak elleni támadások esetében a felhasználónak legalább megvan a lehetősége, hogy a jelszó megváltoztatásával vagy új bankkártya igénylésével visszaállítsa fiókja vagy készüléke védelmét.

A biometrikus azonosítók ellopása esetén azonban az azonosítót nem lehet visszavonni vagy megváltoztatni, ez pedig nagyon rossz hír a biztonság szempontjából.
„Bármikor beszerezhetek egy új bankkártyát, de ujjlenyomatot nem,”
mondja James Turner biztonságtechnikai elemző.
„Az ujjlenyomatos azonosítással egyetlen jelszót használunk, amit ráadásul mindenki számára egyértelmű helyen tárolunk és egy egész sor szolgáltatáshoz vesszük igénybe. Ez őrültség! Mindenki azt mondja, hogy ne használjuk mindenhol ugyanazt a jelszót. Akkor miért vezetnénk be egy biometrikus rendszert, ami éppen ezt teszi?”

A szakértők szerint az ujjlenyomatos titkosításban élenjáró Apple iPhone „viszonylag” biztonságos1, mert az ujjlenyomat adatokat titkosítva tárolja. Erről nem mindenkinek egyezik a véleménye, figyelembe véve, hogy a Chaos Computer Club az iPhone 5s megjelenése után szinte azonnal bejelentette a Touch ID feltörését, mégpedig rendkívül egyszerű, hétköznapi eszközök segítségével. Egyszerűen lefényképezték a felhasználó ujjlenyomatát, amit egy üveg felületen hagyott, ami elegendő volt a telefon feltöréséhez.

„Csupán javítanunk kellett a korábbi feltöréshez használt kép felbontásán,” írta a Starbug néven tevékenykedő hekker. „Több mint egy éve mondjuk, és az újabb kísérlet is bizonyítja, hogy az ujjlenyomatot nem szabad titkosításhoz használni.”
Vajon milyen megoldást kínálnak majd erre a „dilemmára”, mert úgy tűnik, hogy az ilyenfajta azonosítás mellőzését nem tekintik annak?



A cikkhez használt források: zdnet.com, szifon.com



  1. Az ujjlenyomat megadásakor az iPhone sosem tárolja el magának az ujjlenyomat a képét, hanem megkeresi a képen az úgynevezett „minutiae” pontokat, majd ezek helyét jegyzi fel, és ebből egy úgynevezett „one-wayhash-t készít.

  2. A one-way hash használata azt jelenti, hogy a végeredményt a kiindulási adatokból könnyű előállítani, de a végeredményből nem lehet visszaállítani a kiindulási adatokat. Természetesen mivel ezeket a rendszereket emberek készítik, így mindenütt lehetségesek a hibák, tehát semmi ilyen nem lehet 100%-ig biztonságos.


2015. augusztus 26.
forrás: idokjelei.hu/2015/08/biometria-a-megvaltoztathatatlan-jelszo/#identifier_0_19834