С развитието на технологиите нашите устройства стават все по-сигурни. В края на краищата непрекъснато купуваме най-новите устройства и получаваме редовни актуализации на софтуера, за които се предполага, че са „закърпили“ дупките в сигурността.
И все пак, понякога изпитваме чувство на несигурност и безнадеждност. Може би защото си мислим, че за хакерите става все по-лесно да откриват неизбежните дупки в сигурността. Без съмнение, всеки се интересува от начините за запазване поверителността на данните си, затова в наши дни възниква въпросът кой е най-добрият начин за заключване на мобилните ни устройства? От Android Authority ще се опитат да дадат отговор.
Биометричен или небиометричен метод – каква е разликата?
Биометричните методи за заключване използват вашите биометрични данни – пръстови отпечатъци, ирисът на очите или дори лицето ви. С две думи, при този начин за заключване вие сте паролата.
Това действа по следния начин – когато настройвате биометричната сигурност, първо предоставяте биологична проба, която е дигитализирана и съхранявана като read-only информация на устройството. Разбира се, файлът е само за четене, за да се избегне опасността информацията да бъде променена или компрометирана, което прави този метод достоверен и сигурен, въпреки уязвимостта на устройството, където информацията се съхранява. Когато искате да отключите устройството си, вие предоставяте нова проба, която се сравнява с вече съхраняваната. Ако двете съвпаднат, вие сте доказали самоличността си и получавате достъп до устройството.
Небиометричното удостоверяване включва парола, ПИН код или шаблон (pattern). Ние сме привикнали с използването на пароли. Дали ще ги използваме за профилите си в Facebook, Twitter, Gmail, Amazon, YouTube или дори за онлайн банкиране, паролите са част от нашето дигитално ежедневие. Поне на хартия, този начин за удостоверяване се смята за много по-малко сигурен от сензорите за биометрични данни, но доколко последните са непробиваеми?
Причината за разликата в степента на сигурност, която гарантират двата метода, е че съществува краен брой възможни алфанумерични комбинации, които могат да се използват за която и да е парола или ПИН код. Това означава, че всеки хакер с нужните време и упоритост, на теория, може да разбие паролата ви. Освен това всеки може да ви види да въвеждате паролата си и след като получи достъп до устройството ви да повтори видяното. Няма достатъчно добър начин да се предостави защита срещу това. Също така вероятността някой близък до вас човек да отгатне паролата ви, още повече, ако тя е свързана по някакъв начин с вас и живота ви, е твърде голяма.
Интересен факт е, че специалните символи и главните букви, които използвате за паролите си, не ги правят по-сигурни. Често срещано явление са паролите, които в своята основа крият някоя напълно обикновена дума, но изписана по специален начин. Пример за това е паролата Tr0ub4dor&3, която трябва да се чете като Troubadour &3. Това, което наблюдаваме тук, е главна начална буква, много популярните замествания на буквите „о“ и „а“ съответно с числата 0 и 4, пропускането на буквата “u” в съчетанието “ou”, и добавянето на специален символ и някаква поредица от числа след края на думата. Според изчисленията на Бил Бър от Националния институт за стандарти в технологията тази парола има 28 бита ентропия (ниво на произволност и предсказуемост), което означава, че на компютъра ще са му нужни едва 3 дена да разбие паролата при положение, че прави 1000 опита в секунда. От друга страна, ако паролата ви включва, да речем, четири напълно несвързани помежду си думи, като например “correct horse battery sun“ то при същите условия на хакера ще му трябват 550 години да я разбие.
Може би единственото предимство на паролите е двуфакторното удостоверяване, при което след като въведете паролата, ви се изпраща код (обикновено по текстово съобщение или телефонно обаждане), който трябва да въведете, за да получите достъп до данните си.
От друга страна разполагаме и с шаблони като метод за удостоверение. При него разполагаме с девет точки, които трябва да свържем по определен начин. Това е много по-удобно при ежедневната употреба на смартфон с една ръка, но е особено лесно някой да види движенията на пръстите ви и след това да ги повтори.
Биометрични данни – ти си паролата
Само до миналата година мнозинството от потребители използваха само сензорите за пръстови отпечатъци. Но сега има и нови възможности за използване на биометрични данни, като например скенерът на ириса на окото в устройства като Samsung Galaxy S8 и Note 8 или пък изцяло новата технология на Apple FaceId.
Въпреки всичко Кайл Лейди, инженер в Duo Security, твърди, че биометричната технология в смартфоните предоставя по-голяма достъпност от паролите, но само толкова. Тя не е нито по-добра, нито по-лоша от тях, просто е различна. Истината е, че предимството на скенерите за пръстови отпечатъци е в това, че те предоставят най-бързия начин за отключване на телефона.
Разбира се, този метод не е непробиваем. Учени от Оксфордския университет използвали гумени ръкавици с „гумени пръсти“, които заблудили сензорите в телефоните им. От друга страна винаги съществува опасността от това някой случаен човек да отключи телефона ви със своя пръстов отпечатък. Например когато настройвате телефона с този метод, той прави между 8 и 10 снимки на всеки пръст, който регистрирате. За да отключите телефона ви е нужно само едно съвпадение на сканирания отпечатък с която и да е от снимките. Това е същото като да имате 30 пароли и хакерът да има нужда да познае само една. Apple твърдят, че при един регистриран пръст, тази вероятност е 1:50 000. При регистрирането на всичките 10 пръста, тя става 1:5 000.
Така че, за да отговорим на въпроса кой от двата метода е по-сигурен, нека си представим, че сме хакер, който иска да отключи телефон с парола с 8 символа, които могат да включват големи и малки букви, числа и символи. С малко сметки ще достигнем до резултата от 3.026 х 1015 възможни комбинации. Е, кое е по-вероятно да се случи – сензорът за пръстов отпечатък да допусне грешка или хакерът да познае паролата? Дори и да разполагахме с неограничени опити за отгатване на паролата и с безкрайно много време, двете не могат да се съпоставят.
Но пръстовите отпечатъци не са единствените биометрични данни. От друга страна имаме и лицевото разпознаване. То обаче е далеч под класата на първия метод, тъй като може да бъде заблудено дори със снимка.
Все пак новата функция в iPhone X FaceId обещава да бъде най-сигурният метод за заключване. Според Apple вероятността някой случаен човек да заблуди сензорите е 1: 1 000 000. Скенерът прави разлика между снимка и 3D изображение, но дали използването на 3D маска на лицето ви ще успее да премине през защитата, все още не можем да кажем.
И накрая стигаме до скенера на ириса, който до този момент се смята за най-сигурен. Подобно на пръстовия отпечатък, ирисът – цветната част на окото ви – е уникален за всеки човек. Разбира се, дори и този сензор може да бъде заблуден чрез изкуствено направен макет на окото ви.
Опасността от използването на биометрични данни за удостоверение
Не е трудно да се досетите, че биометричните ви данни са достояние на целия свят. Вие оставяте пръстовите си отпечатъци на дръжките на вратите, на чаши, химикали, клавиатури и къде ли още не, а през социалните мрежи всеки може да получи висококачествени снимки на цялото ви лице и най-вече на ириса ви. Освен това, според проучване е възможно да се снемат отпечатъците ви дори и само от снимка, в която махате с ръка. Това означава, че показвате паролата си на всички. Не е особено безопасно, нали? И докато при използването на пароли можете да сменяте комбинациите си от символи всеки ден, за да затрудните хакерите, при биометричните данни ще е нужно да си направите пластична операция, за да ги промените.
Може би най-голямата опасност от използването на пръстовите отпечатъци за отключване на телефоните ни е опасността от това някой да получи достъп до тях от всяка точка на света, стига само да хакне устройството ни (което определено не е рядко срещано явление). Докато файлът, в който се съхранява информацията за вашия пръстов отпечатък, е read-only и не може да бъде променен от хакерите, това не означава, че той не може да бъде прочетен от всеки. Освен това самият сензор не е защитен, което означава, че хакерите могат да го използват, за да получават всеки пръстов отпечатък, който премине през него. И ако сензорът е вграден в Home-бутона или под екрана, функция, която се очаква да бъде налична при смартфоните в близкото бъдеще, всеки път щом вие или някой друг използвате съответния хардуер, хакерът ще краде информацията ви. Накратко, вашите данни са само толкова защитени, колкото е сигурно ядрото на операционната система. Което означава, че за максимална сигурност трябва да използвате последна версия на съответния софтуер.
И в този момент може би се питате „Какво толкова, ако някой вземе пръстовите ми отпечатъци?“. Само си помислете какво би могъл да направи той с тях. Какво оправдание бихте могли да измислите, ако, например, полицията ви покаже оръжие с вашите отпечатъци на него?
И не на последно място трябва да обърнем внимание и на влиянието на биометричните сензори върху здравето ни. Например скенерът на ириса при телефони като Galaxy Note е особено вреден за очите ви, тъй като използва инфрачервена светлина. Такова облъчване се използва и при FaceId в iPhone X, което му позволява да е ефективен дори и на тъмно. Научно доказано е обаче, че инфрачервената светлина, използвана при въпросния сензор, може да увреди протеина в очите ви и да доведе до болка или до сериозни дълготрайни проблеми при продължително облъчване. Така че се замислете, колко пъти отключвате телефона си всеки ден? Колко пъти инфрачервената светлина осветява очите ви? И дали си заслужава да използвате този метод в продължение на месеци или дори години?
Заключение
В заключение ще кажем, че преди да изберете начин за защита на информацията на телефона си, трябва да обмислите с кои минуси на съответните методи сте готови да се примирите и от кои плюсове да се възползвате? Помислете за това как е най-вероятно някой във вашето ежедневие да хакне телефона ви – дали ще ви види да пишете паролата си или ще проследи движенията ви при рисуването на шаблона за вход, или пък ще използва пръста ви докато спите? Изберете това, което работи най-добре лично за вас.
Вижте 9 лесни начина да гарантирате сигурността си в Android смартфон
Discussion about this post