Журнал РАДИОЛОЦМАН, август 2017
Anthony Gioeli
Electronic Design
Что правда, а что нет, когда речь заходит о датчиках отпечатков пальцев и многофакторной аутентификации в мобильных устройствах?
Кажется, ни один день не может пройти без новостей о взломах. По мере того, как все больше и больше данных о нашей личной и деловой жизни передается онлайн, Интернет стал объектом атаки для многих преступников и других злодеев, пытающихся завладеть ценной персональной информацией или секретами компании. Это сделало смартфоны и персональные компьютеры весьма привлекательными целями киберпреступников, что в свою очередь, привело к использованию датчиков отпечатков пальцев как средства надежной идентификации легитимности пользователя устройства.
Однако с датчиками отпечатков пальцев связано огромное количество недостоверной информации. Поэтому пришло время изучить факты об этих датчиках и убедиться в ошибочности убеждений, что они могут быть легко взломаны.
1. Отпечаток пальца легко подделать.
Не правда. Несмотря на то, что вы видите в фильмах или демо роликах продавцов систем безопасности, подделка отпечатка пальца путем фотографирования с высоким разрешением или восстановления скрытого отпечатка чрезвычайно трудна. Этот метод называется «атака спуфинга» и представляет собой сложную техническую задачу. Очень немногие преступники использовали бы этот метод, а если бы использовали, то только ради доступа к особо важным данным, а не к компьютеру среднего пользователя.
Основной причиной существования этого Мифа №1 является то, что демонстрация спуфинга очень проста, если вы являетесь ее добровольным участником. Имея большую практику и много терпения, можно создать имитацию вашего отпечатка пальцев, тщательно изготавливая форму из различных материалов, таких как клей и глина. Но даже это совсем не просто, и делается еще более сложным из-за постоянного появления новых алгоритмов анти-спуфинга.
2. Оптические датчики менее безопасны, чем емкостные, поскольку хранят фактическое изображение отпечатка пальцев.
Не правда. Смартфон или ПК, соблюдающие основные принципы конфиденциальности и безопасности, никогда не хранят полный образ ваших биометрических данных. Они преобразуют данные в «шаблон», где некоторые параметры сохраняются, а остальные выбрасываются. Затем, при сохранении абстрагированных данных, шаблон шифруется.
Поскольку шаблон хранит лишь определенную информацию о сканированном изображении, а не само изображение, восстановление отпечатка из шаблона невозможно. Поэтому, даже если шаблон отпечатка будет каким-то образом извлечен, расшифрован и прочитан, для восстановления изображения оригинального отпечатка пальца эта информация окажется бесполезной. Этот основной принцип применяется как к оптической, так и к емкостной технологии распознавания.
3. Если злоумышленник завладеет отпечатком пальца с телефона или компьютера, он сможет использовать его для доступа к вашему телефону.
Не правда. Как указывалось в Мифе №2, изображение отпечатка пальца не будет сохранено в вашем ПК или смартфоне. А если отпечатки пальцев не сохраняются, то и быть украдены из вашего устройства они не могут.
4. Многофакторная биометрическая аутентификация в мобильных устройствах сложна и дорога.
Отчасти верно. Это легко, потому что многие мобильные устройства уже имеют дактилоскопические датчики и фронтальные камеры, так что в скором времени ожидайте увидеть стремительный рост использования многофакторной аутентификации на основе вашего отпечатка пальца или изображения лица (Рисунок 1). За этим, скорее всего, последуют другие комбинации, включая распознавание по сетчатке глаза и голосу.
 |
||
| Рисунок 1. | Этот смартфон поддерживает многофакторную аутентификацию на основе биометрических данных. |
|
Трудность состоит в том, что объединение нескольких биометрических параметров в единый критерий доверия представляет собой сложное сочетание науки и искусства, и алгоритмы для этого должны быть тщательно проверены. Однако можно ожидать, что в самое ближайшее время они уже будут доступны. В конечном итоге мы увидим надежную экосистему поддержки универсальной многофакторной аутентификации для разных платформ и приложений.
5. Контекстуальных факторов недостаточно для обеспечения безопасности мобильного устройства.
Верно, но… надо сказать, что одних лишь контекстуальных факторов для обеспечения безопасности мобильного устройства недостаточно. В сочетании с биометрической аутентификацией они могут быть частью общего очень сильного и удобного для пользователя решения. Например, современные «умные часы» могут оставаться разблокированными все время, пока вы их не снимаете. В будущем ваше устройство сможет использовать такие контекстуальные факторы, как местоположение, близость, состояние помещения и т.д., чтобы оставаться разблокированным до тех пор, пока вы находитесь в своем офисе, или авторизировать транзакции без дополнительной аутентификации.
6. Датчики отпечатков пальцев должны быть на кнопке «Домой» или на обратной стороне смартфона.
Не правда. Датчики отпечатков пальцев выпускаются в широком диапазоне конструктивных вариантов, включая тонкие сенсоры, которые можно разместить в кнопке выключателя питания на боковой стороне телефона. Кроме того, новые датчики могут детектировать отпечатки пальцев, работая под защитным стеклом экрана, позволяя убрать кнопку «Домой» и использовать под дисплей всю поверхность смартфона. А в будущем мы увидим решения, где эффективно сканировать отпечатки пальцев сможет любая область экрана. (Обратите внимание, что датчик отпечатков пальцев смартфона, показанного на Рисунке 2, находится за стеклом экрана).
 |
||
| Рисунок 2. | Поддержка многофакторной аутентификации может разблокировать смартфон в ситуациях, когда доступ к отпечаткам пальцев невозможен. |
|
7. Биометрическая аутентификация предназначена только для обеспечения безопасности.
Не правда. Есть множество способов, которыми можно эффективно использовать эту информацию после установления личности пользователя. Например, она может использоваться для настроек интерфейса пользователя или для учета его предпочтений. Вот пример: сканирование отпечатка пальца на кнопке запуска двигателя задает положения сиденья, зеркала и опции информационно-развлекательной системы, отвечающие требованиям пользователя (или даже могут использоваться страховой компанией, арендодателем автомобиля и т.д.). Сканирование вашего отпечатка пальца в Умном доме может отпирать двери, включать предпочтительное освещение и задающую настроение музыку, а также ограничивать доступ к определенным функциям или местам дома (при демонстрации покупателю).
8. Оптические датчики слишком велики и потребляют слишком много, чтобы использоваться для сканирования отпечатков пальцев в мобильных устройствах.
Не правда. В настоящее время технологические достижения сделали оптические датчики миниатюрными и достаточно эффективными, чтобы использовать их в мобильных устройствах, и в ближайшем будущем они будут поставляться в промышленных объемах. И, что еще лучше, некоторые оптические датчики формируют более глубокое изображение отпечатка пальца, позволяя получить более подробную информацию об отпечатке, которая будет использоваться в шаблоне.
9. Все решения для сканирования отпечатков пальцев одинаковы, так что решающим фактором является цена.
Не правда. Поставщики дактилоскопических датчиков предлагают совершенно разные решения, охватывающие разные технологии (например, емкостные и оптические), различные уровни безопасности, множество вариантов конструктивного исполнения, широкий диапазон характеристик энергопотребления и долговечности, и особенно, программных решений.
Это не просто аппаратный сенсор отпечатков пальцев. Это двуединое решение, когда программы и оборудование работают вместе, как одно целое, и оба элемента должны включать функции безопасности. Стремление к дешевизне может привести к тому, что производители телефонов или кто-то из экосистемы мобильных платежей окажутся за бортом рынка, если не будут соблюдены надлежащие меры безопасности.
10. Биометрия слишком сложна и дорога для использования в корпоративных средах.
Не правда. Решения на основе отпечатков пальцев в корпоративных средах более безопасны, чем типичные конфигурации с именем пользователя и паролем. Они также позволяют избавиться от обременительных смен паролей и вызовов поддержки ИТ, что упрощает их обслуживание и поддержку. В современном мире облачного бизнеса, где устройства могут подключаться к корпоративным сетям в любой точке мира, это очень важно. Кроме того, устаревшие персональные компьютеры без биометрической поддержки легко могут быть модернизированы с помощью одного из периферийных датчиков отпечатков пальцев на USB-ключе или мыши с встроенным дактилоскопическим датчиком.
11. Для защиты шаблона отпечатка пальцев достаточно шифрования.
Не правда. Цель шифрования заключается в защите файла шаблона во время его хранения, как правило, в энергонезависимой памяти небольшого объема. Тем не менее, возникает много случаев, когда шаблон должен быть расшифрован, прежде всего, в процессе проверки на соответствие. Во время таких операций шаблон тоже должен быть защищен.
В ряде случаев архитектура защиты будет компромиссом между безопасностью и ценой. К таким решениям относятся:
- Совпадение в хосте:
Для проверки совпадения отпечатков пальцев используется управляющий процессор.
- Защищенный элемент:
Проверка совпадения отпечатка пальца выполняется отдельной интегральной схемой, как правило, с собственной защищенной памятью.
- Совпадение в датчике:
Весь алгоритм совпадения и память встроены в сам датчик отпечатков пальцев. Необходимо отметить, что архитектура «совпадения в датчике» обеспечивает безопасный запуск персонального компьютера, не допуская загрузки системы прежде, чем будет подтверждена аутентификация по отпечатку пальца.
