Верхнее

Только тронь меня!

Компания Apple славится своим умением давать новую жизнь казалось бы давно известным технологиям. Так получилось и с биометрическим сканером отпечатков пальцев.

Touch ID в новых iPhone 5s в отличие от множества самых разных сканеров отпечатков, встраиваемых в ноутбуки вот уже много лет, просто работает, чтобы там ни говорили скептики.

Критики Touch ID в Интернете найти можно предостаточно, в том числе активно критикуются вопросы, связанные с безопасностью новой технологии. Но давайте попробуем взглянуть на вопросы безопасности Touch ID под другим углом: я утверждаю, что Touch ID — это отличное решение с точки зрения безопасности. Попробую это продемонстировать.

Наши смартфоны по мере становления всё более смарт— и всё менее просто —фонами накопили такое количество личной информации о нас (SMS, фотографии, почта, пароли от соцсетей и для доступа к банковским счетам, электронные билеты и т.п.), что, казалось бы, только абсолютно беспечные пользователи могут не беспокоиться о попадании всей этой информации к посторонним в случае утери или кражи смартфона. Но, как это ни странно, и как мы все это прекрасно знаем, таких пользователей очень много.

Простейшая блокировка телефона с помощью четырёхсимвольного цифрового PIN-кода (в терминологии Apple — простой пароль) и та используется далеко не всеми, что уж говорить о более длинных алфавитных паролях. Причина тому вполне понятна: в посте Парольная скорость я уже рассуждал на тему важности такого аспекта процесса аутентификации как скорость (и простота) его прохождения для пользователя. При любой возможности пользователь стремится упростить аутентификацию, а уж если и соглашается на какие-то усложнения, то только если они адекватны его собственным представлениям о размере потенциального личного ущерба в случае негативных последствий. В этом плане использование, например, в случае iPhone простого пароля доступа, интервала перед его запросом в 15 минут и автоматического удаления информации после 10 неудачных попыток представляются оптимальными по соотношению безопасность / удобство.

15-mindelete-after-10-attempts

Алфавитный пароль вводить очень неудобно, как и использовать меньший, чем 15 минут, временной интервал: ведь согласно свежим исследованиям, среднестатистический пользователь разблокирует экран телефона 110 (!) раз в день. Суммарные временные затраты при коротких интервалах и/или длинне пароля даже в 8 символов будут значительными.

Выставлять запрос пароля только через час на мой взгляд слишком небезопасно — за это время может произойти слишком многое и оставленный без присмотра телефон может быть кем-то использован. Хотя тут, конечно, всё индивидуально. Скажем, мне самому ранее казалось, что 15 минут — слишком много и нужно устанавливать 1 минуту. Решайте сами, насколько недоверенная среда вокруг вас.

К недостаткам PIN-кода можно отнести и то, что его легко подсмотреть со стороны, особенно если вы часто разблокируете телефон в присутствии какого-то слишком любопытного человека. Наконец, PIN-код, используя камеру и микрофон смартфона, может узнать установленное на него приложение, что доказали исследователи из Кембриджского университета, создав приложение PIN Skimmer, определяющее PIN-код по положению лица в моменты нажатия цифр PIN-кода, при этом сами события нажатия определялись по звуку (тесты проводились на Google Nexus-S и Galaxy S3).

Использование сканера отпечатков пальцев решает многие проблемы. Взять, к примеру, время разблокирования. В это не так просто поверить, но при использовании Touch ID разблокирование iPhone происходит также быстро, как и в случае вовсе без установленной парольной защиты.

time-vs-security

  • Алфавитный пароль: нажать кнопку Home, ввести пароль и нажать OK.
  • Цифровой PIN-код: нажать кнопку Home и ввести 4 символа.
  • Без пароля: нажать кнопку Home и смахнуть по нижней части экрана слева направо.
  • Touch ID: нажать кнопку Home и задержать на ней палец на доли секунды.

В общем, при взгляде на эту диаграмму, становится очевидным главное преимущество Touch ID — сочетание высокой безопасности и простоты использования. Сопоставимое с вариантом Без пароля время на разблокировку позволило Apple пойти на ещё большее повышение безопасности: при использовании Touch ID нельзя установить интервал, в течение которого аутентификация при разблокировке не будет запрашиваться (те самые рекомендуемые мною выше по тексту 15 минут). При включении Touch ID ваш палец/пароль будут запрашиваться сразу после каждой блокировки экрана.

Что ещё удобно в Touch ID на мой взгляд.

  • Можно зарегистрировать несколько отпечатков и не только своих, а, например, членов семьи. Правда, нужно учесть, что чем больше пальцев зарегистрировано, тем дольше будет время разблокировки. Кстати, не сразу, но мне удалось-таки заставить распознавать iPhone кончик носа, правда разблокировка редко происходит с первой попытки, так что практической пользы от этого не так много — вряд ли действительно зимой можно будет пользоваться Touch ID, не снимая перчаток.
  • Палец можно прикладывать хоть вверх ногами (если так можно выразиться) — распознаётся прекрасно в любом положении. К тому же, система, по заверениям Apple, самообучающаяся и со временем начинает работать только лучше.
  • Touch ID можно использовать и для покупок в магазинах Apple: iTunes Store, App Store, iBooks Store (хотя, последнее для России пока не очень актуально).

Явно удачная технология скорее всего будет использована Apple в других её устройствах — iPad, MacBook и пр. Что же касается видео, где демонстрируется обход Touch ID поддельным отпечатком пальца, то нужно понимать, что без специального оборудования, определённых навыков, наличия вашего качественного отпечатка и удачи провернуть такое злоумышленнику не удастся. В общем, я бы стал беспокоится об этом только если бы стал чьим-то объектом целенаправленной охоты, хотя в таком случае, пожалуй, о Touch ID надо будет переживать уже в последнюю очередь.

Paranoid mode: ON

Да, ещё ведь есть опасность, что Apple или, что хуже, посторонние отдельные личности и организации смогут получить с помощью Touch ID ваши отличного качества отпечатки и использовать их в своих корыстных и коварных планах. Компания Apple уверяет, что к самому сканеру никакие сторонние приложения доступа не имеют, а вместо отпечатков используются их хеши, из которых восстановить обратно отпечатки нельзя, при этом эти хеши никуда не передаются, а сохраняются в специальной области процессора A7. Более того, конкретный экземпляр сканера Touch ID жёстко привязан к конкретному же A7, что ещё больше повышает безопасность. Конечно, компании Apple можно не верить, но тогда лучше iPhone 5s вообще не пользоваться или нажимать кнопку Home только в перчатках: сканер ведь встроен и теоретически может считывать ваш отпечаток даже если в Настройках Touch ID выключен.

Paranoid mode: OFF

Наверное, в ближайшее время можно ожидать на рынке всплеска числа биометрических сканеров, встраиваемых не только в смартфоны, но и в самые разные устройства. Да вот только есть тут одна загвоздка: для того, чтобы сделать что-то действительно качественное, нужны существенные затраты, которые позволить себе может далеко не каждый производитель. А продавцов дешёвых, работающих кое-как сканеров отпечатков на рынке и сейчас предостаточно — хоть область потребительской электроники возьмите, хоть корпоративные решения. На волне интереса к теме, быть может и продадут они чуть больше, чем могли бы, но кардинально ситуация не изменится — удобные и надёжные биометрические сканеры могут быть дорогими, но пока не могут быть массовыми.

, , , , , , , ,