Tudomány és technika

Biometria: A megváltoztathatatlan jelszó

biometric-passwords

Az egyik leggyakoribb hiba, amire a biztonságszakértők felhívják figyelmünket, hogy ne használjuk ugyanazt a jelszót mindenhol. Miért lenne ez alól kivétel a biometria?

A biometrikus azonosítás ma már egyre elterjedtebb biztonsági megoldásnak számít, de vajon mennyire mondható biztonságosnak?

Az ujjlenyomatokat egyre több ország tette kötelezővé az útlevél és vízumigényléshez, és mint tudjuk, az Apple és androidos telefonok legtöbbjén is elérhető ez a fajta védelem. Sőt, bizonyos vízumtípusokhoz akár a DNS mintavételt is előírhatják.

A személyes iratok és mobiltelefonok mellett a bankok is kezdik bevezetni az ujjlenyomatos azonosítást. Az ausztrál Suncorp és Commonwealth bankok például az Apple biometrikus funkcióit kihasználva vezették be ezt a lehetőséget mobil alkalmazásaikban, így az iPhone és iPad tulajdonosok egyetlen érintéssel bejelentkezhetnek fiókjukba.

Isabelle Moeller, a Biometrics Institute elnök-vezérigazgatója szerint a biometrikus azonosítást a legtöbb esetben a biztonsági funkciók egyszerűsítésére vezetik be, de vajon tényleg biztonságosnak mondható ez a védelem?

A FireFly által végzett kutatás szerint a hekkerek viszonylag egyszerűen képesek feltörni a mobilokat és ellopni a felhasználók ujjlenyomatát, mégpedig tömegesen és anélkül, hogy ezt bárki észrevenné. A kutatás azt találta, hogy leginkább az Android rendszerű készülékek vannak veszélyben, mert azokon a szenzorok csak rendszer szinten, nem pedig a forrásban védettek.

?Az ilyen támadások esetében a támadó megszerzi az áldozat digitális ujjlenyomatát, és azt az illető életének hátralévő részében bármire fel tudja használni,?

mondja Yulong Zhang, a FireFly kutatója.

A hagyományos jelszavak elleni támadások esetében a felhasználónak legalább megvan a lehetősége, hogy a jelszó megváltoztatásával vagy új bankkártya igénylésével visszaállítsa fiókja vagy készüléke védelmét.

A biometrikus azonosítók ellopása esetén azonban az azonosítót nem lehet visszavonni vagy megváltoztatni, ez pedig nagyon rossz hír a biztonság szempontjából.

?Bármikor beszerezhetek egy új bankkártyát, de ujjlenyomatot nem,?

mondja James Turner biztonságtechnikai elemző.

?Az ujjlenyomatos azonosítással egyetlen jelszót használunk, amit ráadásul mindenki számára egyértelmű helyen tárolunk és egy egész sor szolgáltatáshoz vesszük igénybe. Ez őrültség! Mindenki azt mondja, hogy ne használjuk mindenhol ugyanazt a jelszót. Akkor miért vezetnénk be egy biometrikus rendszert, ami éppen ezt teszi??

A szakértők szerint az ujjlenyomatos titkosításban élenjáró Apple iPhone ?viszonylag? biztonságos1, mert az ujjlenyomat adatokat titkosítva tárolja. Erről nem mindenkinek egyezik a véleménye, figyelembe véve, hogy a Chaos Computer Club az iPhone 5s megjelenése után szinte azonnal bejelentette a Touch ID feltörését, mégpedig rendkívül egyszerű, hétköznapi eszközök segítségével. Egyszerűen lefényképezték a felhasználó ujjlenyomatát, amit egy üveg felületen hagyott, ami elegendő volt a telefon feltöréséhez.

?Csupán javítanunk kellett a korábbi feltöréshez használt kép felbontásán,? írta a Starbug néven tevékenykedő hekker. ?Több mint egy éve mondjuk, és az újabb kísérlet is bizonyítja, hogy az ujjlenyomatot nem szabad titkosításhoz használni.?

Vajon milyen megoldást kínálnak majd erre a ?dilemmára?, mert úgy tűnik, hogy az ilyenfajta azonosítás mellőzését nem tekintik annak?

A cikkhez használt források: zdnet.com, szifon.com

  1. Az ujjlenyomat megadásakor az iPhone sosem tárolja el magának az ujjlenyomat a képét, hanem megkeresi a képen az úgynevezett ?minutiae? pontokat, majd ezek helyét jegyzi fel, és ebből egy úgynevezett ?one-way?hash-t készít.

    A one-way hash használata azt jelenti, hogy a végeredményt a kiindulási adatokból könnyű előállítani, de a végeredményből nem lehet visszaállítani a kiindulási adatokat. Természetesen mivel ezeket a rendszereket emberek készítik, így mindenütt lehetségesek a hibák, tehát semmi ilyen nem lehet 100%-ig biztonságos. []

Előző posztKövetkező poszt

18 hozzászólás

  1. Sziasztok!
    Szerintem itt kevesen tudják, hogy Magyarországon is elindult egy olyan új fajta biometrikus azonosítás. Sőt! Elég híresek is lettünk már vele. Régen én is egy megátalkodott Fradi szurkoló voltam… 🙂 Az egész barátii társaságunkkal végigjártuk Magyarország és Európa stadionjait a Fradinak szurkolva. Nem voltunk sem ultrák (ők felelnek a hangulatért a koreográfiáért és a dalokért) sem huligánok (ők szeretnek verekedni az ellenfél hasonszőrű szurkolóival). Egyszóval soha nem voltunk bűnözök, csak egyszerű szurkolók.. Az egyik szurkolótársunk rendőr őrnagy… 🙂 De már nem járunk meccsre, mert a Fradi új stadionjában a szurkolók csak biometrikus regisztráció útján mehetnek mérkőzésre. Persze a VIP lelátóra nem kell azonosítás. Az ujjlenyomat olvasás már régi. A magyar találmány sokkal profibb. A tenyér vénalenyomatát veszi alapul. 5 millió pontos vesz mintát. Csak akkor azonosít, ha a keringés működik. Ezét egy levágott kézfejjel semmit nem lehet elérni. Az az érdekes az egészben, hogy a regisztráció alkalmával egy azonosító hash kód keletkezik, amit eltárolnak. A regisztrációnál alkalmazott algoritmus segítségével bárhol felállítható lehetne ez az ellenőrzési mód. A Fradinak van egy vadonatúj furgonja, ahol berendeztek egy regisztrációs irodát, ami járja az országot. Már szinte minden nagyvárosban voltak. Eddig 70 ezer szurkoló” vénalenyomata” van lementve. Én a sajátomat nem adom! 😉

        1. És mondd,Juzzie!Korábban nem zavarta a “megátalkodott” (ahogy te fogalmaztál) Fradi szurkoló lelkedet olyan sport klubbal szimpatizálni,melynek jelkép- és szimbólumrendszere tele van okkult vonatkozásokkal?Mármint ugye,orwelli és hitbeli értelemben…

        2. Kedves Thea! Miért nem tudok válaszolni Hatodik Lenin kérdésére? Nála nincs Válasz gomb.

        3. Vagy ennyire érdekes ez a fórum motor? 🙂

          Szóval nem igazán tudom, hogy milyen okult jelképrendszert látsz a Ferencvárosi Torna Clubhoz kapcsolódni? Legalább egyet kérnék bemutatni.

        4. Szia Juzzie!Minden szimbólumnak két jelentése van.Minimum kettő.Ez a legfőbb jellemzőjük,és ez az,ami okkulttá teszi a szimbólumokat.A szimbólumok nagyon ősi információt közvetítő jelek,egyenesen az emberiség hajnalának korszakából.A természetben fellelhető rendszereket írta le így az ember,és ezeken a jelképeken keresztül kötötte magát a természethez.A szimbólumokban eleve meglévő többes értelmezési lehetőség olyan mögöttes tartalmakat fedhet,amiket csak bizonyos beavatottak ismerhetnek.Tehát amennyiben nem láttad még meg a szóban forgó szimbólumok okkult utalásait,nem a te hibád.Az “okkult” szó maga is azt jelenti,hogy fedett,rejtett.Sőt,még csak üzenetük sem a “főbejáraton” érkezik tudatunkba,és hatásukat is a tudatalattiban fejtik ki.

          Közben nem annyira megy csodaszámba,hogy a vénaszkenner még előtted is lelepleződött.Hiszen a tévé is “bemondta” ezt a dolgot,nem beszélve arról,hogy a facebookon is folyamatosan pörög ez a téma.A vénaszkenner egy olyan gumicsont,amelyet arra használnak fel,hogy a szimbólumok mögé dugott,valamivel szélesebb körű rendszernek,a politikának,minél több áldozata legyen.Első megszólalásodból világosan látszik,hogy ebbe a csapdába sétáltál bele te is,és foglaltad el helyed a gyalogoknak fenntartott frontvonalon a sakktáblán.Ezt a bábszerű,a kérdezés és a dolgokra való rácsodálkozás képességét nélkülöző állapototokat használva ki állítottak titeket egymással farkasszemet néző csoportokba.

          Küldök neked néhány belinkelt képet.Nem fogom elárulni,hogy mit kéne rajtuk látnod.Persze,ha szeretnéd,legközelebb súghatok… Inkább mégis arra kérnélek,hogy magadtól próbáld meg feltárni ezeknek az egyébként igen ősi kommunikációs csatornáknak a lényegét.A saját tapasztalataidat semmi sem pótolhatja.Hosszú ideig is eltarthat az utánajárásod,de így legalább mélyebb betekintést nyerhetsz.Mélyebbet,mint egy ilyen divatos pletykából,ami a vénaszkenner biliben dúló vihara,amit diszkó könnyedséggel terjesztenek az erre fogékony biorobotok köreiben.

          Te azt szeretted volna,ha én tételes felsorolásokban adok neked itt választ.Csakhogy én nem akarom a szádba rágni a dolgokat.Arra ott van neked a tévé,meg az orwell-szakkörök.Látom,nem veted meg egyiket sem.Már úgy,hitbeli értelemben…

          Íme,a képek!(Csak legyen hozzájuk nyitott szem és érdeklődő tekintet mögötte.)

          http://www.ftcbaratikor.hu/wp-content/uploads/2011/02/ftcbk-eee-2.jpg
          http://i186.photobucket.com/albums/x141/kalapkoma/cimer1-1.jpg
          http://www.football-fanshop.hu/img/termekek/8081209.jpg
          http://www.csakfoci.hu/files/fradiuj_stadion03.jpg
          http://www.xlsport.hu/pict/intro/ftc-bolt.jpg

        5. Minden Oroszok Cárja, nem szép dolog gúnyolódni a kisebben … tudod, “ki miben járatlan, abban gyermek” mondta Kodály Zoltán. Elég általános igazság 🙂

          Nem azonos ez a gyermekség azzal, amit Jézus mondott: “ha meg nem változtok, és olyanok nem lesztek mint a gyermekek, nem mentek be az Isten országában” …

          Még jövök neked válasszal az üzenőfalon, a “lelkesedésről”, de amit ott is szerettem volna hozni, itt a sporttal kapcsolatban (meg sem nézem a linkeket, amiket küldtél, látatlanban vágom 🙂 vagyis van elképzelésem róla időm meg nincs 🙂 ) tehát itt az életveszélyes megnyilatkozás: http://pirospirula.blogspot.hu/2011/02/az-emberi-psziche-manipulalasa.html?showComment=1441183234564#c5978645111135415213 magam innen találtam az időkjeleire …

        6. Továbbá,Minden Oroszok Cárja, vagyis VI. Lenin ! 🙂 az okkultról ezen az oldalon kitűnő magyarázatot kapsz: van tudás, mely a bukott angyaloktól származik!
          Idő hiányában, ez a lényeg 🙂 szia!

        7. Kedves Éva!Annyira érezhetően sebtében írtad,hogy ez a rohanás tisztára rám ragadt,és azon kaptam magam,hogy soraidat úgy futom végig,mintha éppen telefonkönyvet böngésznék egy lopott kávészünet során a munkahelyemen. 🙂 Többször kellett végig olvasnom,hogy lecsengjenek a soraid,és még így sem biztos,hogy jól értem azt,amit jól kéne értenem.Nem baj.Csak éppen több kérdőjelet hozott a válaszod,mint vitt… Milyen válasz az ilyen..? 😀 Ezer dolgot sűrítettél pár sorba.Kicsit sokat gondolsz az értelmi képességeimről.

          Hogy azért ennél hízelgőbb is legyek,megköszönöm a linket,amit küldtél.Köszönöm! 🙂 Továbbá,szíveskedem egy párhuzammal is kedveskedni feléd azzal kapcsolatban,amit írtál,miszerint van tudás,ami a bukott angyaloktól származik. “A sötétség fiai eszesebbek a világosság fiainál – a maguk nemében.”

        8. Még valami,kedves Éva!Én nem gúnyolódtam itt senkin.Legfeljebb kedves személyedtől loptam ide idézetet,a korábban általad nekem írtakból… Ja,hogy ilyen fordulatra nem számítottál..? 🙂

  2. “a Chaos Computer Club az iPhone 5 megjelenése után szinte azonnal bejelentette a Touch ID feltörését”
    Hát azt bizony nehezen jelenthették be! Ugyanis az iPhone 5s-ig nem volt az iPhone-okban Touch ID, az iPhone 5s pedig egy évvel az iPhone 5 után érkezett. Minden egyes pontatlanság komolytalanná tehet egy komolynak szánt cikket.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .

Send this to a friend