Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Эффективность биометрических механизмов аутентификации в смартфонах

Так ли безопасны сканеры отпечатков пальцев, как это утверждают производители смартфонов? Многие пользователи считают, что отпечаток пальца — не пароль, и его нельзя забыть, подсмотреть, украсть или случайно передать кому-то другому. Все обстоит не совсем так, и в настоящее время есть много способов получить ваш отпечаток пальца.

 

Многие бюджетные модели смартфонов хранят изображения с отпечатками пальцев пользователей в общем разделе файловой системы в виде незащищенного файла с расширением bmp, то есть как обычную картинку. В дорогих моделях вопрос безопасности продуман лучше: смартфоны шифруют файлы с отпечатками пальцев.  Даже получив изображение, злоумышленник не сможет прочитать его без криптографического ключа. Однако и это не гарантирует полной безопасности.

Как показывают последние исследования экспертов, скомпрометировать биометрические данные (например, радужную оболочку глаза или отпечатки пальцев) можно бесконтактно -  с помощью всего одного фото хорошего качества.

Еще один способ получить необходимый отпечаток – просто снять его с телефона. Для авторизации пользователи чаще всего выбирают указательный и большой палец. Это удобно, но небезопасно, так как в работе со смартфоном  мы, в первую очередь, пользуемся именно ими, их отпечатки в хорошем качестве наверняка найдутся на корпусе устройства. При назначении контрольных отпечатков  для аутентификации лучше выбирать те пальцы, отпечатки которых с меньшей вероятностью остаются на смартфоне при работе.

 Недавно исследователи предложили еще один способ обхода сканеров отпечатков пальцев -  с помощью созданного математическими методами поддельного отпечатка с усредненными особенностями рисунка. Наиболее часто встречающиеся элементы рисунка отпечатков сгенерированы в поддельный отпечаток, который обманывает сканер максимум за 5 попыток.

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют не использовать биометрическую авторизацию в платежных сервисах и банковских приложениях. Для злоумышленника получить сложные пароли в ряде случаев сложнее, чем отпечатки пальцев. При этом скомпрометированные пароли или пластиковые карты легко заменить, но заменить скомпрометированные отпечатки пальцев не получится.

Если вас беспокоит безопасность данных в вашем смартфоне, сканера отпечатка пальцев недостаточно. Рекомендуем обязательно использовать сложные пароли, а если вы храните на смартфоне действительно важную информацию - то и специальное защитное программное обеспечение.