Биометрическая аутентификация на мобильных устройствах — удобство или безопасность?

С некоторых пор в современных мобильных устройствах появились сканеры отпечатков пальцев. И, наверное, у многих может возникнуть вопрос: аутентификация пользователя мобильного устройства с помощью его отпечатков пальцев более надежна, чем с использованием PIN-кода или пароля?

На данный момент я не знаю технологий и продуктов, с помощью которых можно взломать PIN-код на iPhone 5s (если вам знакомы такие, будьте добры, пришлите ссылки). А вот с отпечатком пальца все куда грустнее — информация о взломе устройства с аутентификацией по отпечатку пальца появилась практически сразу после выхода такого устройства на рынок.

Итак, мы имеем общий недостаток для всех подобных систем — возможность обойти биометрическую аутентификацию с помощью муляжа. Уже существуют датчики, контролирующие температуру пальца или испарение влаги с кожи, но, увы, муляж можно подогреть, а датчики влаги еще очень дороги в производстве и, скорее, являются пробными экземплярами, нежели серийным продуктом.

Организация аутентификации в Windows 8/10 показывает, что биометрическая аутентификация — это, скорее, удобство, чем безопасность. Обратите внимание — пользователь Windows 8/10 вначале должен создать устойчивый пароль, а уж потом может использовать биометрическую аутентификацию. То есть, обойтись только отпечатком пальца невозможно.

Впрочем, в данном случае уместно прислушаться к мнению и других экспертов. «Пароль и отпечаток пальца являются двумя принципиально различными способами аутентификации, каждый из которых обладает своими плюсами и минусами. Модели атак на них принципиально различны, — поясняет Виктор Яблоков, руководитель управления мобильных решений „Лаборатории Касперского“. — Пароли применяются уже на протяжении достаточно длительного времени, атаки на них и способы противодействия этим атакам хорошо изучены. Для этого достаточно соблюдать банальные правила — не записывать пароли на бумажные и электронные носители, а запоминать или использовать для их хранения специальные решениях класса Password Manager. Защиту от перехвата при вводе может обеспечить антивирус с функцией защиты от кейлоггеров.

Аутентификация по отпечатку пальца на мобильных устройствах — метод сравнительно новый и довольно удобный для пользователя. Его крайне сложно обойти на стороне устройства с помощью вредоносного ПО, но его основные недостатки — это уязвимость к клонированию отпечатков на сторонние носители и отсутствие общих стандартов реализации на различных устройствах. Таким образом, говорить об однозначном превосходстве пароля над отпечатком я бы не стал. Для повышения надежности в тех случаях, где это оправданно, то есть когда безопасность важнее удобства использования, я бы рекомендовал применять многофакторную аутентификацию, например два этих фактора одновременно.»

А вот что считает по этому поводу Владимир Каталов, генеральный директор компании Elcomsoft: «В iOS аутентификация по отпечатку пальца (Touch ID) является исключительно дополнительным, альтернативным способом разблокирования устройства, который скорее ослабляет безопасность, поскольку даже при настроенном Touch ID остаётся возможность использовать пароль. Более того, пароль по-прежнему необходимо вводить в ряде случаев: после перезагрузки устройства; если отпечаток пальца не был распознан пять раз подряд; если устройство не было разблокировано (любым способом) в течение последних 48 часов; при доступе к настройкам безопасности».

Безусловно, биометрическая аутентификация значительно удобнее, чем с помощью пароля. А вот безопаснее ли? Не уверен!

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.