Securitatea biometrică – domeniul în care corpul uman se transformă în cea mai importantă parolă
O parolă are o problemă care ține de utilizator: dacă-i prea scurtă și banală, e inutilă; dacă-i prea lungă și complicată, e greu de ținut minte chiar dacă e mult mai eficientă. Tocmai de aceea autentificarea biometrică e o soluție excelentă. De un deceniu a devenit mainstream, iar acum e în faza de rafinare.
Suntem în punctul în care telefonul a devenit cel mai folosit computer de către sute de milioane de oameni, iar în acesta poți intra cu scanarea amprentei sau feței. Accesezi aplicația de mobile banking la fel. Poate și câteva aplicații de mesagerie. Confirmi plăți printr-o scanare. Și toate acestea se învârt în jurul degetului tău sau feței tale. Ceea ce, în sine, e impresionant, mai ales dacă ții cont că până acum un deceniu și un pic părea o tehnologie limitată centrelor super securizate sau filmelor cu accente SciFi.
În lumea reală scannerul de amprente a ajuns la utilizatori obișnuiți prin Motorola Atrix, primul telefon cu scanner de amprente. Doi ani mai târziu a oferit și Apple așa ceva pe iPhone 5s, iar de atunci până acum a urmat perioada de rafinare și dezvoltare a tehnologiei. În prezent suntem în punctul în care aceste scannere pot fi direct sub ecran, pe telefoanele cu Android, iar Face ID pe iPhone a înlocuit deja amprenta. Și, independent de telefon, Mastercard a integrat un cititor de amprente direct în card.
Pe scurt, corpul nostru a devenit parola și rezolvă problema menționată la început: e simplă, dar eficientă.
Când Apple a introdus Face ID, a spus c-o face pentru că există o șansă de 1 la 50.000 ca o amprentă diferită să păcălească scannerul, dar pentru față e o șansă de 1 la 1 milion. Statistica nu-i definitivă, iar la acel moment Apple folosea scannerul optic. Între timp, Samsung împreună cu Qualcomm au dezvoltat și integrat în telefoane scannere ultrasonice care scanează 3D o amprentă, în timp ce alte scannere se raportează doar la o imagine 2D.
Sigur, sistemul poate fi complicat și mai mult, dacă e cazul, cum ar fi cu scanarea vaselor de sânge sau a irisului pentru scanarea facială. Totuși, vorbim de sisteme rapide pentru majoritatea utilizatorilor, așa că trebuie ținut cont și de gradul complexității.
Până în 2024, estimările sunt că vor fi circa 4,6 miliarde de telefoane cu o formă de autentificarea biometrică, iar piața aceasta va însemna circa 50 miliarde de dolari. Tehnologia există deja, se va dezvolta și mai mult, dar cum o integrezi în diverse produse și servicii?
Integrarea securității biometrice, în ciuda complexității sistemului, nu-i mai complicată decât folosirea altor componente din telefon
La nivel de hardware, atât pentru amprentă, cât și pentru față, telefonul are o enclavă separată de proces, criptată, unde sunt stocate datele pentru autentificare. Cel puțin pentru Face ID, Apple susține că folosește și componenta de rețea neurală din cipurile sale ca sistemul să fie cât mai greu de păcălit. La nivel de aplicație, să folosești această unealtă nu-i mai complicat decât să folosești accelerometrul sau locația, după cum explică Cristian Dinu, antreprenor și CTO Hypersay. Produsul la care lucrează acum se numește Hypersay Events, o platformă care schimbă fundamental experiența evenimentelor online prin adăugarea unei dimensiuni emoționale.
Cristian identifică două categorii mari de dispozitive care folosesc securitatea biometrică. Prima e reprezentată de telefon, computer, tabletă, în timp ce cea de-a doua este compusă din periferice, accesorii pentru computere sau instalații specializate, cum ar fi sistemul de acces în clădiri sau stick-uri USB cu cititor de amprentă.
“În cazul primei categorii, producători ca Google, Apple sau Microsoft oferă documentația necesară, astfel încât aplicațiile create pe sistemele lor de operare să poată folosi acea capabilitate pentru mai mult decât deblocare și autentificare pe dispozitiv. Programatorii pot apela funcții ale sistemului pentru a securiza accesul la anumite părți din aplicație, cum ar fi tranzacțiile în mobile banking, sau la toată aplicația. Cea de-a doua categorie este ceva mai dependentă de aplicația în sine și de ce accesorii sunt folosite”, adaugă acesta.
“Poți cumpăra, de exemplu, piese pentru a le integra într-un montaj propriu sau poți lua direct dispozitive pe USB, mai ales pentru citit amprente. Citirea amprentei este mult mai facilă tehnic decât recunoașterea feței. Și în acest caz este destul de simplu: pentru piesele cumpărate separat producătorul oferă biblioteci de programare și documentație, iar cele pe USB se pot baza pe sistemul de operare, ceea ce le reduce, de fapt, la prima categorie”, susține Cristian.
Firesc, totul pornește de la platforma pe care va fi folosită aplicația. În acest sens, dacă e pe telefon, Cristian susține că o idee bună poate fi folosirea unei biblioteci comună iOS și Android, cum ar fi Expo (modulul de Local Authentication) sau ceva similar. “Dacă trebuie să programez nativ, atunci consult documentația Apple de Local Authentication sau cea de la Android Biometric. Dacă trebuie să meargă și pe computere mai mari, atunci caut și la Windows UWP Security unde aflu despre Windows Hello și cititoare de amprente. Pe macOS e la fel ca pe iOS, deci mă duc în același loc ca pentru telefoane”, explică acesta. “Autentificarea biometrică este o interfață de programare (API) la fel ca celelalte (localizare, SMS, rețea etc.). Programatorii nu trebuie să se teamă să o folosească atunci când le aduce valoare.”
Îți poți face acasă un sistem de autentificare biometrică?
Momentul în care ne regăsim e acesta: producătorii dispozitivelor fizice au integrat, într-o formă sau alta, autentificarea biometrică. Totodată, există și componente terțe care pot fi cumpărate și integrate într-un anumit flux. Există furnizori atât de software pentru recunoaștere facială, cât și de hardware. Ce face Apple cu Face ID sau ce-a încercat Google cu Project Soli poate face oricine: hardware există, precedentul a fost făcut, iar costul nu-i chiar ridicat. Dar apar alte probleme, după cum detaliază Cristian.
“Dacă ar trebui să creez o soluție de scanare a feței, aș fi foarte precaut, pentru că tehnologia nu este încă în punctul în care, folosind camere video [într-o anumită locație], să poată să recunoască persoanele corect în toate condițiile. Pot fi alerte false, la fel cum alte alerte pot să lipsească cu desăvârșire. Lumina variază și oamenii sunt în asemenea poziții încât nu aș putea garanta mare lucru. Un exemplu cunoscut în lumea celor care vor să programeze computerele să recunoască imagini este o serie de imagini Chihuahua or muffin? — recunosc, acolo am și eu dificultate”, completează Cristian.
“Pentru aplicații unde ar trebui să fiu sigur că zonele delicate sunt protejate aș folosi bibliotecile standard oferite de producători. La fel aș proceda pentru a face o încuietoare de ușă care să se deschidă când apăs eu pe buton sau un ATM în care plătesc cu fața. Deși în ultimul caz provocările de confidențialitate și viață privată sunt mult mai serioase decât cele tehnice”, explică acesta.
În cazul scanării faciale pe telefon, ce-a funcționat cel mai bine până acum a fost adăugarea informațiilor 3D. A fost și o ironie la adresa Apple când a introdus opțiunea pe iPhone X: a luat un Xbox Kinect, i-a redus dimensiunile și l-a băgat într-un telefon. Da, în esență, cele două funcționează la fel. Doar că pe telefon tehnologia a fost completată de procesor și de ideea de securizare. A încercat și Huawei ceva similar, doar că sistemul poate fi mai ușor păcălit.
Face ID scanează adâncimea pentru imaginea 3D prin 30.000 de puncte. Creează an in-depth map a feței. Apoi, înregistrează o imagine în infraroșu, adică nu-i dependentă de lumină și funcționează și când e întuneric. Totodată, verifică dacă ai ochii deschiși, dacă te uiți la dispozitiv și dacă sunt ai unei persoane sau e o replică 3D (ochii și fața, oricât de fix ai crede că stai, au micro mișcări înregistrate de sistem).
Securitatea e mai dezvoltată, și mai importantă, ca niciodată. Dar mai ține și de utilizatori
Dacă tot e vorba de securitate și securizarea datelor, am vrut să aflu direct de la sursă ce să faci și să nu faci când folosești astfel de sisteme.
Când vine vorba de telefon, sunt două situații în care ți-ai putea face griji cu privire la securitatea lui. Întâi e vorba de furtul acestuia și cine o face nu are timpul, disponibilitatea sau resursele să-ți cloneze fața sau amprenta. Astfel, dacă folosești scanarea amprentei sau recunoașterea facială, datele de pe el sunt în siguranță și, eventual, îl poți șterge de la distanță, dacă ai activat o astfel de opțiuni.
A doua situație e ceva mai diferită. Implică o persoană sau o entitate care ar vrea să-ți acceseze datele și atunci ar putea recurge la diverse tactici pentru a reuși, inclusiv clonarea amprentei sau hardware specializat pentru trecerea de sistemele de siguranță. În acest sens, Alexandru Bălan, Chief Security Researcher, Bitdefender, susține că enclavele securizate în care sunt stocate datele biometrice și-au dovedit, până acum, eficiența.
Inclusiv când a fost vorba de-o vulnerabilitate a procesorului, cum a fost cazul cu un exploit pe procesoarele Qualcomm, dacă exploatai vulnerabilitățile respective nu ajungeai la enclavă. Au fost și vor mai fi atacuri asupra enclavelor. Chiar în august 2020 un grup de hackeri a susținut că a trecut de sistemul de securitate, dar pe procesoarele de dinainte de A12 (introdus în septembrie 2018) și A13 (2019). În 2017, a fost o problemă similară, dar atunci atacatorii nu au avut acces la cheile de protecție. Totuși, în fiecare caz e nevoie de acces fizic la hardware și, deocamdată, pe noile dispozitive nu au fost înregistrate vulnerabilități cel puțin în acest caz.
Alexandru atrage însă atenția asupra unei “vulnerabilități” mai mari: utilizatorul. “Multă lume are PIN pe telefon [și folosirea lui e necesară când amprenta sau fața nu pot fi scanate. Recomandarea mea către toți utilizatorii e să-și tasteze PIN-ul cât mai rar și cu mare atenție. Dacă se poate, să nu fie niciodată folosit în public. Cel mai ușor mod de-a accesa telefonul cuiva e să-i vezi PIN-ul. Dacă i-ai văzut două – trei cifre, poți spune că i-ai ghicit tot codul, pentru că multă lume își pune date de naștere, de exemplu, sau alte date care au legătură cu elemente personale din viața lor. PIN-ul poate fi văzut peste umăr, de cineva de lângă tine, dar și pe camere de supraveghere”, explică acesta.
Cristian conchide într-o notă optimistă pentru ce s-ar putea face în viitor. “Sper ca, în curând, majoritatea parolelor să dispară. M-ar face mult mai fericit să știu că nu sunt parole pe care să le țin minte, care să poată fi furate, ghicite sau folosite fără acordul meu. Sper însă ca tehnologiile biometrice să capete capabilități noi și să poată fi folosite în aplicații medicale. Există deja tehnologia pentru a măsura pulsul și numărul de respirații doar uitându-se la față. Sper ca inginerii să găsească alte aplicații istețe pentru aceste tehnologii, pentru accesibilitate, sănătate și, desigur, mai multă liniște (care vine din securitate).”
Deocamdată, securizarea prin elemente biometrice s-a dovedit mai utilă decât au fost parolele vreodată și a început să fie integrată în tot mai multe platforme și servicii importante. Alexandru cuplează securitatea acestor sisteme cu unul suplimentar: un password manager. Astfel, mai ții minte câteva parole complexe, importante, și restul le ai într-un singur loc care-ți și poate genera parole mai bune. Suntem, astfel, în punctul în care pe telefon a putut fi introdusă, cu succes, o tehnologie. Acum e importantă cum va fi dezvoltată în următorii ani și aici ține de fiecare dezvoltator și companie.