Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowy iPhone z czytnikiem linii papilarnych, czyli „hasło idealne”?
Fani nowoczesnych technologii i elektronicznych gadżetów na pewno wiedzą już, że firma Apple właśnie zaprezentowała najnowsze wcielenie iPhone’a. Nowy smartfon posiada oczywiście kilka usprawnień w stosunku do swego poprzednika, nas jednak najbardziej zainteresowała nowa funkcja o nazwie Touch ID.
Na pokładzie iPhone’a 5S znajdziemy nowy procesor A7, który po raz pierwszy w historii wprowadza do smartfonów architekturę 64-bitową. Nowością jest również M7, czyli nowy układ odpowiedzialny za obsługę rozmaitych sensorów ruchu. Wszystko to będzie oczywiście zasilane przez jeszcze pojemniejsze baterie.
Wróćmy jednak do Touch ID, czyli nowej funkcji mającej zastąpić klasyczne metody (hasła, piny i pattern locki) blokowania urządzeń. W skrócie, jest to system uwierzytelniania oparty o czytnik linii papilarnych. Spójrzmy, co na ten temat ma do powiedzenia sam producent.
Czytnik ukryty w przycisku Home pozwala więc właścicielowi (oraz innym uprawnionym osobom – mamy możliwość zachowania nawet do 5 różnych profili) na odblokowanie urządzenia, jak również na zatwierdzanie zakupów dokonywanych w Apple Store.
Nowoczesny czytnik wykonuje obraz głębszych warstw skóry palca i porównuje go z zapisanymi wzorcami. Dzięki temu drobne skaleczenia nie powinny powodować fałszywych odrzuceń.
Jak informuje firma Apple, ze względów bezpieczeństwa zapisane wzorce biometryczne są przechowywane w postaci zaszyfrowanej w specjalnie przeznaczonej do tego części procesora A7, i nie będą nigdy z urządzenia wysyłane. W szczególności nie powędrują do chmury iCloud. Z tego wynika jednak, że Touch ID nie będzie pozwalać na uwierzytelnianie w rozmaitych usługach online.
Jak widzieliśmy na powyższym materiale video, producent twierdzi, że układ linii papilarnych jest hasłem idealnym. To oczywiście nie do końca prawda.
Your fingerprint is the perfect password. You always have it with you. And no two are exactly alike. So it made sense to create a simple, seamless way to use it as a password.
W wolnym tłumaczeniu:
Twój układ linii papilarnych stanowi hasło idealne. Masz je zawsze przy sobie i jest ono unikalne. Dzięki temu warto było wykorzystać tę metodę jako proste w użyciu hasło.
Niestety, wbrew zapewnieniem producenta, tego typu metodom daleko jest do doskonałości. Są one również obarczone problemami, które nie dotyczą tradycyjnych haseł. Przede wszystkim, w przeciwieństwie do hasła, nasze odbitki linii papilarnych pozostawiamy co chwilę w wielu różnych miejscach na przedmiotach, których dotykamy…
Poza tym, same czytniki linii papilarnych mają długą i wyjątkowo bogatą historię ulegania rozmaitym metodom ich obchodzenia. Pisaliśmy już o ciekawym przypadku oszukiwania takich sensorów za pomocą… sztucznych silikonowych palców.
Spójrzmy dodatkowo na świetny przykład obrazujący to, w jak prosty sposób można zdobyć oraz wykorzystać czyjeś odbitki.
Każda metoda uwierzytelniania z wykorzystaniem systemów biometrycznych jest również obarczona pewną dozą błędów znanych jako:
- FAR (ang. False Acceptance Rate) – procentowa miara liczby fałszywych akceptacji (zdarzeń poprawnego uwierzytelnienia osób nieupoważnionych).
- FRR (ang. False Rejection Rate) – procentowa miara liczby fałszywych odrzuceń (zdarzeń nierozpoznania osób upoważnionych).
Kolejnym poważnym problemem jest oczywiście bezpieczeństwo przechowywania danych biometrycznych. W przypadku wycieku hasła, możemy je po prostu zmienić na nowe. Nasze dane biometryczne to już jednak zupełnie inna historia…
Jak już wspomniałem, Apple zapewnia, że system Touch ID będzie przechowywał wszelkie informacje wyłącznie lokalnie w odpowiednio zabezpieczonej formie. Jak jednak wiemy, największe agencje wywiadowcze interesują się tego typu technologiami, niejednokrotnie umieszczając w nich własne tylne furtki.
Bez wątpienia dane biometryczne milionów użytkowników popularnego iPhone’a mogą stanowić łakomy kąsek dla niejednej organizacji. Touch ID stanowi więc ciekawą, aczkolwiek nieco niepokojącą alternatywę w stosunku do poczciwych haseł i warto zdawać sobie sprawę z dodatkowego ryzyka, jakim jest ona obarczona.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Po pierwsze nie „odcisk palca”, tylko „odbitka linii papilarnych” jeśli już, media ciągle nie mogą się nauczyć i jak mantrę powtarzają „odcisk palca”. Po drugie to w końcu dane biometryczne(układ naczynek krwionośnych), czy ww odbitki? O ile te drugie bardzo łatwo można zebrać i wykorzystać to z odwzorowaniem układu naczynek może być spory problem, choć różni magicy są na tym świecie. ;) Prosiłbym o doprecyzowanie artykułu.
Turek,
Poprawiłem, bo „odcisk palca” rzeczywiście nie jest fachowym określeniem. Z pierwszego materiału video jasno wynika, że Touch ID korzysta z analizy układu linii papilarnych — czyli jednej z metod biometrycznych.
Co ciekawe w PL są banki które udostępniają bankomaty biometryczne (na palca). Miejmy nadzieję, że skradzione iPhone-y nie będą mogły służyć jako matryca do lewego uwierzytelniania się w tego typu urządzeniach ;)
Nowe iPhony nie są polecane dla stolarzy i innych pracowników narażonych na utratę ręki/palca. ;-)
Odbierając nowy paszport byłem świadkiem jak pan przede mną miał poważny problem bo maił poparzone obie ręce (wypadek między wnioskiem a odbiorem paszportu) i musieli go obsługiwać jakoś specjalnie. Inna babcia z kolei w ogóle nie miała linii papilarnych bo na starość skóra się robi „jakaś tam” no i nawet nie pobierali. (BTW ile to się człowiek w kolejce może nasłuchać i nauczyć).
Oczywiście opisane wyżej przypadki są skrajne i równie prawdopodobne co utrata pamięci a wraz z nią hasła. No ale nie ma idealnej metody.
No i na koniec taka mała uwaga – hasła można nie podać (kwestia treningu i odporności na tortury), palec zawsze można przyłożyć siłą lub po prostu go odciąć i przyłożyć albo najpierw komuś przyłożyć (aby zemdlał) a potem to już z górki.
MateuszM,
Mam nadzieję, że korzystanie z Touch ID nie będzie obowiązkowe i będzie można skorzystać również np. z tradycyjnego hasła. Mam również nadzieję, że nie zaczną się masowo pojawiać przypadki siłowego przykładania palców w celu uzyskania dostępu do czyjegoś iPhone’a oraz, że wszystkie palce pozostaną zawsze integralną częścią ich właścicieli!
wieszczę biznes :))
Wystarczy odrobinę dopracować tę technologię aby organizacje wykradające informacje z różnych urządzeń na świecie (takie jak amerykańska NSA) były w posiadaniu ogólnoświatowego banku danych biometrycznych. Niezależnie od tego czy ktoś jest uwikłany w działalność tzw. „wywrotową ” czy też nie dane jego będą w systemie … ot tak na wszelki wypadek gdyby „maluczkiemu” zachciało się podnieść rękę na władzę. :D
@Wojciech Smol, wszystko zależy od tego co ludzie na tych urządzeniach będą mieli. Raczej nie ma zagrożenia, że dla posłuchania mp3 (jeżeli ten format jest obsługiwany przez Apple :/ ) ktoś komuś palce pourywa. Dostęp do poczty też raczej nie. Może książka kontaktowa z telefonami do „ważnych” osób będzie powodem?
Osobiście mam złe doświadczenia ze skanerami – są bardzo czułe na niemycie rąk, a latem jak jest parno a ręce spocone, takie zabawki po prostu wysiadają.
Wygląda na to, że hasła są najpraktyczniejsze jak na razie.
Nie oglądałem materiałów wideo – czy te czujniki sprawdzają tylko linie papilarne czy też czy palec żyje?
AFAIR badają czy palec jest 'żywy’ i odpowiednio reaguje. To taka 'ulepszona’ wersja czujnika dotykowego na ekranie.
Hejt w Internecie o NSA zaczyna już być śmieszny (do hejtu na temat Apple w Polsce już się przyzwyczaiłem).
Jestem niesamowicie zadowolony, że TouchID pojawiło się w nowych urządzeniach Apple. Mechanizm w telefonie, który trafia w rynek konsumencki, jest naprawdę dobrej jakości – nie jest to zwykłe zdjęcie palca, analiza jest skomplikowana, a za algorytmami stoi firma, która dobrze robi swoją robotę. Oczywiście pojawią się za jakiś czas informacje, jak ominąć ekran logowania, wykonując jakieś cudowne odlewy itp., ale co z tego? Poprawione zostaną algorytmy i znowu będzie dobrze.
Weźcie pod uwagę, że mamy tutaj naprawdę duże bezpieczeństwo i niesamowitą użyteczność rozwiązania. Może nie jest to telefon dla szpiegów, agentów wywiadu i innych smutnych panów, ale jakiekolwiek inne urządzenie Androidowe/Windowsowe też nie jest.
Apple znowu troszkę zmieni świat. O biometrii będzie się gadać teraz wszędzie, zacznie tego używać każdy nastolatek w stanach. Dla mas, palec jest lepszym zabezpieczeniem niż pin 1234 czy maźnięcie literki L lub I na ekranie blokowania. Nowe samsungi pewnie też to wprowadzą, a za 3 lata może będzie to standard każdego Smarfona? Oby.
IMO też jest to niezły pomysł, choć pewnie warto chwilę zaczekać czy nie cierpi jeszcze trochę na choroby wieku dziecięcego.
Apropos dzieci, to na pewno super wygodny pomysł, żeby nie dobrały się zbyt szybko do telefonu ;-)
vizzdoom,
Czy bezpieczeństwo tego rozwiązania jest duże? Moim zdaniem jest to dyskusyjne. Raczej w tym zastosowaniu mniej więcej na poziomie sensownego hasła/passkodu. Jest jednak okupione dodatkowym potencjalnym ryzykiem — np. wspomniany wyciek profili biometrycznych skojarzonych z tożsamością właściciela.
Niesamowita użyteczność? Jedynym znaczącym argumentem za TouchID może być własnie użyteczność — prostota i szybkość korzystania z tego zabezpieczenia. To również nie jest jednak takie oczywiste. Czy skaner zadziała gdy moje palce będą zmarznięte, brudne, bardzo wilgotne, albo skaleczone w sytuacji awaryjnej, gdy będę chciał wykonać telefon alarmowy? Poprawne hasło zawsze zadziała, poprawny palec już niekoniecznie, gdyż taka jest specyfika systemów biometrycznych…
Może być trochę tak, jak z ekranem dotykowym — niby jest fajny, ale gdy trzeba coś na szybko i awaryjnie wyklikać, to zawsze jest jakiś problem :).
Reasumując, biometria jako np. jeden ze składników uwierzytelniających przy wejściu do centrum danych sprawdza się bardzo dobrze, ale czy jako jedyny składnik uwierzytelniający w smartfonie, z którego chcemy sprawnie skorzystać w bardzo różnych sytuacjach? Zobaczymy w praktyce.
Czyli trzeba teraz wyedukować „złych” ludzi by właścicielom iPhonów nie obcinali paluszków…
@sekurak Co do banków na linie papilarne o ile dobrze pamiętam to te właśnie działają w oparciu o układ naczynek krwionośnych, a producent twierdzi, że użycie nawet martwego palca ni właściciela nie pozwoli na /wypłatę środków z rachunku.
Czy to prawda, nie wiem.
Pewnie NSA Tworzy sobie bazę odcisków linii papilarnych użytkowników iphonów :D
Taaak, dzieci nie dostaną się do telefonu…
http://9gag.com/gag/aYbx3Mq
1. Apple w cale nie jest firmą, która tworzy „dobre”. Raczej bym powiedział, że Apple jest firmą, która potrafi zrobić sprzęt dla casuala i odpowiednio go zareklamować i często podejmuje ryzyko. Ale też wykorzystuje pomysły innych – ich OS X to nic innego, jak ucasualowany linux, smartfony prezentował jakieś 10 lat temu, Bill Gates, a notebook to pomysł IBMu.
2. Czytajcie linie papilarne, czytajcie siatkówkę oka – a za góra 2-3 tygodnie oprogramowanie blokujące połączenia zewnętrzne i uwierzytelnienia będzie złamane i powstanie cała masa exploitów po kablu, działających bezpośrednio na rootcie. Tak jak we wszystkich iPhonach po dziś dzień.
@jozek, tak się zastanawiam co tak realnie znaczy 'ucasualowany’.
Bo czy Linux to od-ucasualowany Windows?
A może Windows to ucasualowany Linux? ;)
Bo jeśli chodzi o wygodę użytkowania, to można na przykład powiedzieć że java to taki ucasualowany assembler ;-)
BTW ciekawa analiza skanera palców w nowym iPhone:
http://www.macworld.com/article/2048514/the-iphone-5s-fingerprint-reader-what-you-need-to-know.html
@sekurak
jestem dzisiaj padnięty i nie myślę. Chodziło o to, że kiedyś Linux samodzielnie nie wykrywał niczego – trzeba było dodawać drukarki, karty sieciowe, maski podsieci, a na fedorze raz musiałem dodać i skonfigurować myszkę (historia prawdziwa!). Apple wzięło linuxa na warsztat, zrobiło podstawowe sterowniki i system wykrywał w miarę automatycznie wszystko, co mu się pod kablem podpięło. Następnie wzięli na warsztat warstwę użytkową, dodali wodotrysków i ogłosili światu, że stworzyli OS X’a. Windows jest typowym systemem dla casuali (casual – standardowy, nie wymagający laik), który robi za swojego użytkownika wszystko. Stare wersje Linuxa, to znowu skrajność w drugą stronę – komputer bez użytkownika nie robił nic. OS X to taki system po środku – coś tam robi, ale nie za dużo. Chociaż wszystkie dystrybucję linuxów również uśmiechnęły się w stronę casuali i dzisiaj nie ma takich problemów jak kiedyś. Różnice między Linuxami a OS X’em są na prawdę kosmetyczne.
@józek: Apple nie wzięło Linuksa za podstawę a Darwina czyli soft z FreeBSD i jądro Mach (z resztą zamieszali tam jeszcze więcej). Różnica niby mniejsza niż między Windowsem a Linuksem ale jednak znacząca.
Co do reszty zgadzam się – systemy Appla są wycackane i skrojone pod przeciętniaka aby mu się dobrze korzystało z urządzenia. Kwestia innowacyjności jest dosyć delikatna, bo jak wiemy na ten sam pomysł może wpaść wiele firm w podobnym czasie, wygrywają ci, którym uda się przekonać userów. do pomysłu. To trochę jak z wieloma pulpitami w X-ach. Teraz jak M$ zaczął lansować podobne gadżety ludzie krzyczą „wow! ale innowacyjne”, nie wiedząc, że większość tych bajerów znana jest od 10-20 lat.
MateuszM: ale z tabletami przyznasz że im wyszło. W sumie chyba dzięki temu + iPhone + sprytnemu zarządzaniu app store, dostali kopa na jedną z cenniejszych marek na świecie.
@sekurak z wieloma rzeczami im wyszło ale sukces odnieśli głównie w USA bo pod tamten rynek tworzą swoje produkty. W Polsce się nie sprawdził 2x droższy sprzęt o tych samych parametrach co PC bo ludzie jednak nie są jeszcze tak zamożni aby płacić za cukierkowy interfejs graficzny na swoim komputerze. Nie będę się rozpisywał dalej o jabłkach bo zbaczamy z tematu głównego – palcowania iPhone-a.
Ja wiem? iPhone + macbook + mac – na pewno tak. Ale IMO w tabletach dla usera wymagającego bezproblemowego / płynnego działania to nie mają konkurencji globalnie. Trochę zresztą jest testów w PL, gdzie goście porównywali to i owo. + tu cenowo nie jest tak źle jak z iPhone.
@sekurak
przestań fanboyować ;) parametry w segmencie tabletów są bardzo wyrównane. Apple oferuje jedynie lepsze wyświetlacze i lepsze baterie. Samsung natomiast oferuje większą moc i ogrom pamięci. No i oczywiście coś, czego iPod miał nie będzie – Adroida – a co za tym idzie, ogromne możliwości modyfikacji oprogramowania, optymalizacji sprzętowej i najlepsze możliwe wsparcie dla wszystkich działających systemów. Ilość oferowanych aplikacji z AppStore już dawien dawno spadła poniżej liczby aplikacji Androida.
Nie bez powodów, Samsung Galaxy S4 został wybrany najlepszym dotychczas stworzonym telefonem na świecie, a tablety czerpią przecież właśnie z doświadczeń telefonów :)
Jeśli mam być obiektywny, to obecnie walka o pierwsze miejsce toczy się między Samsungiem a Sony. Samsung prowadzi swoją świetną linię Galaxy, a Sony w końcu wrzuciło swoją Xperię na odpowiedni poziom. Apple niestety, mimo ceny, nic wyjątkowego nie oferuje.
@józek – ja wiem? Np. dla mnie o wiele płynniej działa iPad niż androidy (kwestia interfejsu). To oczywiście subiektywne elementy i ciężko je opisać jako 'parametry’.
Modyfikacje wbrew pozorom czasem są właśnie utrudnieniem. Przyznam, że czasem jestem leniwy i wolę jak coś mi działa niż kombinowanie 'bo coś przełączyłem’. Kiedyś rzeczywiście chodziłem do kafejek ściągać slackware na dyskietki i dokompilowywać nowe jądro, albo mieć na serwerach gentoo, gdzie też wszystko kompilowałem :) Ale teraz mi się najzwyczajniej w świecie nie chce :P
Co do ilości appków – pewnie. Ale w AppStore ile razy coś ściągałem to było to dość dopracowane, nie wykrzaczało się, itd. W końcu ten review jednak coś daje.
Swoją drogą ostatnio znajomy mi powiedział, że taki iPad to świetny sprzęt dla jego mamy – sprawnie działa, ładnie wygląda, nie można tam za wiele popsuć, wytrzymały, itd. :-P
Apple generalnie tez ma swoje wady – np. nie podoba mi się podejście do gwarancji, gdzie chcą na siłę trochę wszystko ograniczać.
Podsumowując – dobrze że jest wybór i konkurencja bo korzystają na tym wszyscy :-]
@sekurak, ja dla mamy kupiłem tablet za 400 PLN (nie ma IPadów w tej cenie) do czytania książek, przeglądania internetu itp. Nie martwię się, że kobiecina coś zepsuje a nawet jak go rozwali to nie będę żałował i kupię jej następny. iPad może być fajny dla trochę bardziej zaawansowanego użytkownika i nie chodzi mi o aplikacje czy wydajność ale o cenę, która mimo iż nie jest ogromna to jednak większa niż 400 PLN. W zasadzie wszystko zależy kto co robi na takim tablecie. Ja osobiście czytam książki, sprawdzam pocztę jak muszę i czasami przeglądam www. Resztę robię z desktopa. Tablety w cenie do 1000 PLN zaspakajają moje potrzeby w 100%.
Otóż to. Wszystko do odpowiedniego celu. Akurat iPad do czytania książek jest do (*&!@(*#& – bolą oczy na dłuższą metę + w ogóle nie sprawdza się na zewnątrz.
@sekurak
Ahh jeśli mówimy o sprzęcie, na którym nic nie da się zepsuć, ładnie wygląda (wystarczy dokupić obudowę) i jest wodo odporny, odporny na kurz, odporny na wstrząsy, upadek z 20 metrów, przejechanie przez auto, a software uniemożliwia wszelkie próby jego zepsucia przez instalację niesprawdzonych aplikacji – to polecam Nokię 3310 :)
Tak, wiem, trochę za bardzo sarkastycznie, ale tak właśnie odebrałem wpis. Jak już mówiłem – Apple tworzy produkty dla typowych maksymalnych laików casuali, którzy sami nie wiedzą, po co kupują dany sprzęt. Przykład mojego znajomego, wydał 2000zł na Xperie Z tylko po to, żeby z niej dzwonić i SMSować. Jeżeli chcesz po prostu mieć dany sprzęt i przeglądać na nim internet – weź albo apple albo cokolwiek z systemem W8. Jeżeli chcesz się bawić, sprawdzać, testować, bierzesz androida.
PS.
Działa ci mniej płynnie android, bo ma skłonności do zapychania pamięci – polecam go czasem czyścić ;)