Отпечатки пальцев легко подделать: почему сканеры не защищают смартфоны от хакеров

Любой желающий разблокировать свой смартфон биометрическим способом, поднеся лицо к камере или приложив палец к сканеру. Но что именно делает отпечатки пальцев такими уникальными? Как работают сканеры отпечатков пальцев и насколько надежно они могут отличать настоящие от поддельных пальцев? Фокус отвечает на эти вопросы.

Открытие, изменившее мир

Уникальность отпечатков пальцев была известна нашим предками давным-давно. Еще в бронзовом веке люди оставляли свои отпечатки пальцев на глине. В VII веке в Китае отпечатки пальцев использовались в качестве подписей для паспортов, векселей и других документов. К концу XIX века исследователи и криминологи обнаружили, что отпечатки пальцев можно использовать для абсолютной идентификации личности, что сделало их бесценными для раскрытия преступлений.

Английский натуралист Фрэнсис Гальтон заложил основы методов сравнения отпечатков пальцев к 1892 году, положив начало новой эре расследования преступлений с помощью метода, известного как дактилоскопия. А начале февраля 1906 года полиция Нью-Йорка официально применила этот метод.

"Отпечатки пальцев — это самая долго и тщательно изученная биометрическая характеристика человека", — говорит Борис Лейднер, руководитель отдела соответствия ИТ-требованиям и эксперт по биометрии в TÜVIT.

Отпечатки пальцев уникальны

За всю историю дактилоскопии не было обнаружено двух людей с одинаковыми отпечатками пальцев. Даже у однояйцевых близнецов, которых нельзя различить с помощью анализа ДНК, отпечатки пальцев отличаются. Ключ кроется в тонких деталях — так называемых минуциях — тонких окончаниях и разветвлениях гребней на кончиках пальцев.

Во время эмбрионального развития как генетические, так и экологические факторы формируют рисунок отпечатков пальцев, что приводит к различиям даже между однояйцевыми близнецами.

Как работают сканеры отпечатков пальцев

Прежде чем система сможет распознать отпечаток пальца, ей сначала нужно обучиться. Отпечаток сканируется и сохраняется в системе. Когда палец позже снова прикладывается к сканеру, сохраненный отпечаток служит эталоном для сравнения. Если система обнаруживает совпадение, смартфон, или другой гаджет, разблокируется.

Действительно ли сканеры надежны на 100%

"Нет, и никогда не смогут быть таковыми", — отвечает Лейднер.

В отличие от других методов аутентификации, таких как пароли, сканирование отпечатков пальцев — это не просто вопрос правильности или неправильности, поскольку аналоговый отпечаток пальца должен быть перенесен в цифровой мир, ошибки неизбежно возникают. Практически невозможно каждый раз располагать палец точно в одном и том же месте при разблокировке устройства. Чтобы избежать слишком частых ложных отказов, алгоритмы распознавания не могут быть слишком строгими. Однако они также не должны быть слишком мягкими, поскольку это увеличивает вероятность ложных срабатываний — случаев, когда неавторизованные лица с похожими отпечатками пальцев получают доступ. В итоге, биометрические системы балансируют между практичностью и безопасностью, в зависимости от приложения.

Как хранятся отпечатки пальцев

Отпечатки пальцев для национальных удостоверений личности хранятся исключительно на самой карте — зашифрованные на защищенном чипе. Аналогично, на смартфонах отпечатки пальцев обычно хранятся локально на защитном чипе, что гарантирует отсутствие доступа к ним у производителей, говорится в материале Talos Intelligence. Вместо сохранения изображения отпечатка пальца система хранит математическую модель его характеристик, которая используется для сравнения во время сканирования.

Хотя часть отпечатка пальца теоретически может быть восстановлена ​​из этого так называемого шаблона, полный отпечаток восстановить невозможно. Что еще важнее, как и в случае с отпечатками пальцев на удостоверениях личности, хакерам сначала потребуется получить физический доступ к смартфону. Даже если им удастся извлечь шаблон со значительными техническими усилиями, данные обычно зашифрованы, что делает практически невозможным для киберпреступников создание поддельного отпечатка пальца на его основе.

Как украсть отпечатки пальцев

Кража цифровой версии отпечатка пальца крайне маловероятна. В физическом мире ситуация иная, поскольку мы оставляем свои отпечатки пальцев повсюду. Киберпреступники могут собирать их для создания подделок, например, сняв отпечаток со стола липкой лентой, или даже сфотографировав его, если он оставлен на гладкой поверхности, вроде полированного дерева. Имея такую фотографию, ее можно обработать в Photoshop, чтобы получить вполне приличный негатив. Далее стоит просто распечатать изображение на ацетатной пленке с помощью лазерного принтера — тонер создаст трехмерную структуру отпечатка пальца на пленке, говорится в материале Кraken.com. Затем наносится на отпечаток немного клея, чтобы создать искусственный отпечаток пальца, который можно будет использовать на сканере.

Биометрические системы, используемые государствами, например, для регистрации отпечатков пальцев на удостоверениях личности, должны быть протестированы независимыми сертификационными органами, чтобы гарантировать их надежную защиту от атак с использованием поддельных отпечатков. Однако обязательных оценок безопасности для смартфонов и другой бытовой электроники не существует. Тем не менее, производители заинтересованы в поддержании высоких стандартов безопасности, и за эти годы они постоянно совершенствовали свои системы.

Насколько защищены различные типы датчиков

Оптические датчики, обычно встречающиеся в смартфонах начального и среднего уровня, захватывают двухмерное изображение отпечатка пальца, а это значит, что теоретически их можно обмануть при помощи высококачественного изображения, как было описано выше.

Некоторые смартфоны используют емкостные датчики, которые измеряют электрическое сопротивление сканируемого объекта и могут отличать настоящую кожу от силиконового отпечатка пальца. Однако их все еще можно обмануть, добавив в поддельный отпечаток пальца проводящие материалы, такие как графит.

В высокотехнологичных устройствах все чаще используются ультразвуковые датчики, которые дороги, но очень надежны. "Эти датчики, по сути, "заглядывают внутрь" пальца, обнаруживая слои кожи и даже потовые железы — детали, которые злоумышленникам крайне сложно воспроизвести", — объясняет эксперт Борис Лейднер.

Какие еще меры защищают сканеры отпечатков пальцев

Многие системы теперь используют ИИ для обнаружения незначительных отклонений от настоящего отпечатка пальца. Это помогает предотвратить хакерские атаки. Кроме того, большинство устройств ограничивают количество попыток аутентификации по отпечатку пальца пятью попытками, прежде чем потребуется пароль. Такие меры доказали свою высокую эффективность, поскольку у киберпреступников есть лишь несколько попыток использовать украденный или поддельный отпечаток пальца, соотношение затрат и выгод быстро становится не в их пользу.

Достаточно ли безопасны системы аутентификации по отпечаткам пальцев

Хотя аутентификация по отпечаткам пальцев не является абсолютно надежной, она значительно повысила безопасность персональных устройств. Поскольку биометрические данные гораздо удобнее паролей, они побудили многих пользователей изначально защитить свои смартфоны. Однако, поскольку отпечатки пальцев могут быть подделаны, поэтому они не должны быть единственным методом защиты. Для конфиденциальных приложений целесообразно сочетать отпечатки пальцев с другим фактором аутентификации. Например, для онлайн-банкинга стоит входить в систему на ПК или ноутбуке, используя имя пользователя и пароль, а подтверждение транзакций может быть проверено с помощью отпечатка пальца на смартфоне. Такое сочетание различных факторов повышает безопасность, рекомендует Лейднер.