Τι μπορεί να συμβεί αν ένα password δεν αλλάζει; Έχουμε δει ταινίες επιστημονικής φαντασίας, όπου για να περάσει κάποιος μια πόρτα θα πρέπει να γίνει σάρωση του αμφιβληστροειδούς ή των δακτυλικών του αποτυπωμάτων για έλεγχο ταυτότητας.
Όμως η βιομετρική ασφάλεια δεν είναι πλέον επιστημονική φαντασία. Είναι διαθέσιμη ήδη στη καθημερινή μας ζωή με τα smartphones μας.
Εκτός όμως από την χρήση στις κινητές συσκευές, οι βιομετρικοί έλεγχοι βρίσκουν εφαρμογές σε περισσότερα συστήματα που αναζητούν εναλλακτικούς τρόπους ασφάλειας που δεν στηρίζονται στους παραδοσιακούς κωδικούς πρόσβασης (passwords) ή PINs.
“Η ολοκλήρωση του συστήματος αναγνώρισης δακτυλικών αποτυπωμάτων απλοποιεί την εμπειρία του χρήστη, προσφέροντας μια άλλη επιλογή στους πελάτες μας που θέλουν να έχουν πρόσβαση στο Suncorp bank μέσω του Mobile Banking App γρήγορα και με ασφάλεια, χωρίς να χρειάζεται να θυμάστε κωδικούς πρόσβασης ή να πληκτρολογείτε συνεχώς,” δήλωσε στο ZDNet ο Simon Clarke της Αυστραλέζικης τράπεζας Suncorp.
Πόσο ασφαλής είναι όμως η συγκεκριμένη μέθοδος;
Μια πρόσφατη έρευνα της FireEye αναφέρει ότι hackers μπορούν να επιτεθούν από απόσταση σε smartphones μας και να υποκλέψουν τα δακτυλικά αποτυπώματα, χωρίς να το προσέξει κανείς. Οι ερευνητές υποστηρίζουν πως η απειλή περιορίζεται κυρίως στις συσκευές Android, όπως της Samsung, της Huawei και της HTC που διαθέτουν αισθητήρες δακτυλικών αποτυπωμάτων. Η έρευνα αναφέρει ότι ο λόγος είναι επειδή οι κατασκευαστές των συσκευών δεν έχουν κλειδώσει πλήρως τους αισθητήρες, καθιστώντας τους ευάλωτους σε επιθέσεις.
Ο ερευνητής της FireEye Yulong Ζανγκ που εξέτασε τον αισθητήρα δακτυλικών αποτυπωμάτων σε ορισμένες συσκευές αναφέρει ότι προστατεύεται από προνόμια “συστήματος” και όχι root, πράγμα που καθιστά ευκολότερη την στόχευση και την αθόρυβη συλλογή των δεδομένων των δακτυλικών αποτυπωμάτων που βρίσκονται στη συσκευή.
“Σε αυτήν την επίθεση, που τα δεδομένα είναι δακτυλικά αποτυπώματα, θα πρέπει να γνωρίζετε ότι για το υπόλοιπο της ζωής του θύματος, ο εισβολέας θα μπορεί να τα χρησιμοποιεί για να κάνει άλλα πράγματα κακόβουλα.”
Στις σημερινές επιθέσεις σε συμβατικά συστήματα που δεν χρησιμοποιούν βιομετρικά δεδομένα, η αλλαγή ενός password αρκεί να σας προστατέψει. Σε περίπτωση που η επίθεση γίνει σε Τράπεζα, θα χρειαστεί να αλλάξετε και την πιστωτική σας κάρτα, αλλά μέχρι εκεί. Όταν όμως τα δεδομένα που υποκλέπτονται περιέχουν βιομετρικά στοιχεία είναι αδύνατο να ανακληθούν.
Ο ερευνητής της FireEye, κ. Zhang ανέφερε ότι προς το παρόν η Apple έχει καταφέρει να κατασκευάσει έναν ασφαλή αισθητήρα δακτυλικών αποτυπωμάτων, καθώς κρυπτογραφεί τα δεδομένα δακτυλικών αποτυπωμάτων άμεσα από το σαρωτή.
“Ακόμα και αν ο εισβολέας καταφέρει να διαβάσει άμεσα από τον αισθητήρα, αν δεν έχει το κλειδί κρυπτογράφησης δεν μπορεί να πάρει την εικόνα του δακτυλικού αποτυπώματος.”
Ο Steve Wilson, αντιπρόεδρος και κύριος αναλυτής της Constellation Research, δήλωσε στο ZDNet, ότι τα βιομετρικά δεδομένα είναι ακόμη μια πολύ ανώριμη τεχνική ασφαλείας, και πιστεύει ότι ένα εθνικό πρότυπο πρέπει να ορίσει ορισμένα Standards για τη χρήση της βιομετρικής τεχνολογίας.
Τα περισσότερα βιομετρικά στοιχεία θα πρέπει να χρησιμοποιούνται μαζί με κάποιο δεύτερο παράγοντα ασφαλείας.
Η ασφάλεια δεν μπορεί να βασίζεται μόνο σε ένα στοιχείο, αλλά σε συνδυασμούς, όπως ένα PIN ή ένα password και ένα δακτυλικό αποτύπωμα.