Відбитки пальців легко підробити: чому сканери не захищають смартфони від хакерів

Будь-хто бажаючий може розблокувати свій смартфон біометричним способом, піднісши обличчя до камери або приклавши палець до сканера. Але що саме робить відбитки пальців такими унікальними? Як працюють сканери відбитків пальців і наскільки надійно вони можуть відрізняти справжні від підроблених пальців? Фокус відповідає на ці запитання.

Відкриття, що змінило світ

Унікальність відбитків пальців була відома нашим предкам давним-давно. Ще в бронзовому столітті люди залишали свої відбитки пальців на глині. У VII столітті в Китаї відбитки пальців використовували як підписи для паспортів, векселів та інших документів. До кінця XIX століття дослідники і кримінологи виявили, що відбитки пальців можна використовувати для абсолютної ідентифікації особистості, що зробило їх безцінними для розкриття злочинів.

Англійський натураліст Френсіс Гальтон заклав основи методів порівняння відбитків пальців до 1892 року, поклавши початок новій ері розслідування злочинів за допомогою методу, відомого як дактилоскопія. А на початку лютого 1906 року поліція Нью-Йорка офіційно застосувала цей метод.

"Відбитки пальців — це найдовше і найретельніше вивчена біометрична характеристика людини", — каже Борис Лейднер, керівник відділу відповідності ІТ-вимогам та експерт з біометрії в TÜVIT.

Відбитки пальців унікальні

За всю історію дактилоскопії не було виявлено двох людей з однаковими відбитками пальців. Навіть у однояйцевих близнюків, яких не можна розрізнити за допомогою аналізу ДНК, відбитки пальців відрізняються. Ключ криється в тонких деталях — так званих мінуціях — тонких закінченнях і розгалуженнях гребенів на кінчиках пальців.

Під час ембріонального розвитку як генетичні, так і екологічні чинники формують малюнок відбитків пальців, що призводить до відмінностей навіть між однояйцевими близнюками.

Як працюють сканери відбитків пальців

Перш ніж система зможе розпізнати відбиток пальця, їй спочатку потрібно навчитися. Відбиток сканується і зберігається в системі. Коли палець пізніше знову прикладається до сканера, збережений відбиток слугує еталоном для порівняння. Якщо система виявляє збіг, смартфон, або інший гаджет, розблокується.

Чи справді сканери надійні на 100%

"Ні, і ніколи не зможуть бути такими", — відповідає Лейднер.

На відміну від інших методів аутентифікації, як-от паролі, сканування відбитків пальців — це не просто питання правильності або неправильності, оскільки аналоговий відбиток пальця має бути перенесений у цифровий світ, помилки неминуче виникають. Практично неможливо щоразу розташовувати палець точно в одному й тому ж місці під час розблокування пристрою. Щоб уникнути занадто частих помилкових відмов, алгоритми розпізнавання не можуть бути занадто суворими. Однак вони також не повинні бути занадто м'якими, оскільки це збільшує ймовірність помилкових спрацьовувань — випадків, коли неавторизовані особи зі схожими відбитками пальців отримують доступ. У підсумку, біометричні системи балансують між практичністю та безпекою, залежно від програми.

Як зберігаються відбитки пальців

Відбитки пальців для національних посвідчень особи зберігаються виключно на самій картці — зашифровані на захищеному чипі. Аналогічно, на смартфонах відбитки пальців зазвичай зберігаються локально на захисному чипі, що гарантує відсутність доступу до них у виробників, йдеться в матеріалі Talos Intelligence. Замість збереження зображення відбитка пальця система зберігає математичну модель його характеристик, яка використовується для порівняння під час сканування.

Хоча частина відбитка пальця теоретично може бути відновлена з цього так званого шаблону, повний відбиток відновити неможливо. Що ще важливіше, як і у випадку з відбитками пальців на посвідченнях особи, хакерам спершу буде потрібно отримати фізичний доступ до смартфона. Навіть якщо їм вдасться витягти шаблон зі значними технічними зусиллями, дані зазвичай зашифровані, що робить практично неможливим для кіберзлочинців створення підробленого відбитка пальця на його основі.

Як вкрасти відбитки пальців

Крадіжка цифрової версії відбитка пальця вкрай малоймовірна. У фізичному світі ситуація інша, оскільки ми залишаємо свої відбитки пальців всюди. Кіберзлочинці можуть збирати їх для створення підробок, наприклад, знявши відбиток зі столу липкою стрічкою, або навіть сфотографувавши його, якщо його залишили на гладкій поверхні на кшталт полірованого дерева. Маючи таку фотографію, її можна обробити у Photoshop, щоб отримати цілком пристойний негатив. Далі варто просто роздрукувати зображення на ацетатній плівці за допомогою лазерного принтера — тонер створить тривимірну структуру відбитка пальця на плівці, ідеться в матеріалі Кraken.com. Потім наноситься на відбиток трохи клею, щоб створити штучний відбиток пальця, який можна буде використовувати на сканері.

Біометричні системи, що використовуються державами, наприклад, для реєстрації відбитків пальців на посвідченнях особи, мають бути протестовані незалежними сертифікаційними органами, щоб гарантувати їхній надійний захист від атак із використанням підроблених відбитків. Однак обов'язкових оцінок безпеки для смартфонів та іншої побутової електроніки не існує. Проте виробники зацікавлені в підтримці високих стандартів безпеки, і за ці роки вони постійно вдосконалювали свої системи.

Наскільки захищені різні типи датчиків

Оптичні датчики, які зазвичай зустрічаються в смартфонах початкового і середнього рівня, захоплюють двомірне зображення відбитка пальця, а це означає, що теоретично їх можна обдурити за допомогою високоякісного зображення, як було описано вище.

Деякі смартфони використовують ємнісні датчики, які вимірюють електричний опір сканованого об'єкта і можуть відрізняти справжню шкіру від силіконового відбитка пальця. Однак їх все ще можна обдурити, додавши в підроблений відбиток пальця провідні матеріали, такі як графіт.

У високотехнологічних пристроях дедалі частіше використовують ультразвукові датчики, які дорогі, але дуже надійні. "Ці датчики, по суті, "заглядають всередину" пальця, виявляючи шари шкіри і навіть потові залози — деталі, які зловмисникам вкрай складно відтворити", — пояснює експерт Борис Лейднер.

Які ще заходи захищають сканери відбитків пальців

Багато систем тепер використовують ШІ для виявлення незначних відхилень від справжнього відбитка пальця. Це допомагає запобігти хакерським атакам. Крім того, більшість пристроїв обмежують кількість спроб аутентифікації за відбитком пальця п'ятьма спробами, перш ніж знадобиться пароль. Такі заходи довели свою високу ефективність, оскільки у кіберзлочинців є лише кілька спроб використати вкрадений або підроблений відбиток пальця, співвідношення витрат і вигод швидко стає не на їхню користь.

Чи достатньо безпечні системи аутентифікації за відбитками пальців

Хоча аутентифікація за відбитками пальців не є абсолютно надійною, вона значно підвищила безпеку персональних пристроїв. Оскільки біометричні дані набагато зручніші за паролі, вони спонукали багатьох користувачів спочатку захистити свої смартфони. Однак, оскільки відбитки пальців можуть бути підроблені, тому вони не повинні бути єдиним методом захисту. Для конфіденційних додатків доцільно поєднувати відбитки пальців з іншим фактором автентифікації. Наприклад, для онлайн-банкінгу варто входити в систему на ПК або ноутбуці, використовуючи ім'я користувача та пароль, а підтвердження транзакцій може бути перевірено за допомогою відбитка пальця на смартфоні. Таке поєднання різних факторів підвищує безпеку, рекомендує Лейднер.