האבטחה הביומטרית בדרך לסמארטפון שלכם, ויש לזה מחיר [דעה]

השנה צפויות יצרניות הסמארטפונים ליישר קו ולהציג כל אחת מהן את הפתרון שלה בתחום האבטחה הביומטרית. אחרי אפל התשובה של סמסונג כבר ממש מעבר לפינה, אבל יש לכך גם השלכות שאנו נוטים שלא להתעמק בהן יותר מידי.

touchid

הפוסט נכתב על ידי זהר דוכין, חוקר בכיר ב-RSA, חטיבת האבטחה של EMC.

בחודש ספטמבר 2013 הסעירה חברת אפל את השוק כשהציגה במכשיר האייפון 5S חיישן ביומטרי אשר מזהה את טביעת האצבע של המשתמש. על פי התחזיות, חברת סמסונג תציג בסוף החודש חיישן ביומטרי משלה במכשיר הגלקסי 5S שיושק בתערוכת הסלולר בברצלונה. יש כאלה הטוענים שסמסונג תגדיל לעשות ותטמיע במכשיר הדגל החדש טכנולוגיה חדשנית המספקת אבטחה באמצעות סריקת העין. בכל מקרה, גם מי שחשב שמדובר רק בגימיק של חברת אפל, מגלה כעת שאבטחה ביומטרית בסלולר הופכת לסטנדרט.

אבטחה ביומטרית להמונים

נתחיל עם החדשות המשמעותיות כאן: שתי יצרניות הסלולר המובילות בעולם מספקות אפשרות חדשה להתקדם מעבר לגישת סיסמה/קוד גישה – אפשרות חדשה אשר סביר להניח כי תמצא את עצמה בידיהם של משתמשים רבים. מדובר כאן ביכולת הפצה משמעותית שלא נראתה כמותה מעולם, במיוחד לאור העובדה שעד כה היה פער מהותי בין ההצלחות שביומטריה רשמה בשימוש של ממשלות, גופי שיטור ורשויות האוכלוסין וההגירה, לבין השימוש והאימוץ של טכנולוגיה זו בקרב ההמונים. החסמים בפני אימוץ הטכנולוגיה לזיהוי ביומטרי נובעים בעיקר מעלות התחזוקה אשר דורשת קוראים ביומטריים ותוכנת ביניים, מחששות בתחום הפרטיות, ומקשיי שימושיות אפשריים, כמו למשל דחייה שגויה של המשתמש על ידי המערכת. האמונה הרווחת תמיד הייתה שאימות ביומטרי יאומץ בצורה רחבה ברמת הצרכנים, רק כאשר הטכנולוגיה תבשיל ותגיע למצב שהמשתמשים יוכלו להחזיק בה בכל זמן ולהשתמש בה בתדירות גבוהה, הגדרות שללא ספק מאפיינות את ידידנו הסמארטפון.

הצעד של אפל, וסמסונג בעקבותיה, עשוי לאלץ יצרניות אחרות להגיב בצורה דומה ואולי אף לדרבן לחדשנות נוספת בתחום. יצרני אבטחה ומפתחים יכולים להתחיל להרהר באפשרויות לאפליקציות עתידיות, אשר משלבות אימות ביומטרי מבוסס סמאטרפונים ולא רק כדי לפתוח את המכשיר, אלא כדי לאמת ולהעניק למשתמשים גישה ליישומים ולעסקאות שונות. למשל, בנקים יוכלו לדרוש זיהוי קולי לפני העברת כספים; רשת ה-VPN הארגונית תוכל לדרוש סריקת רשתית או זיהוי פנים לפני שתעניק גישה לעובד; משתמשים יוכלו לפתוח את המחשב האישי שלהם באמצעות NFC; ובכלל, ארגונים בתעשיות שונות יוכלו להיענות בביטחון רב יותר לאתגרי האבטחה של עידן ה-BYOD שבו עובדים מתחברים לרשת הארגונית ממכשיריהם הפרטיים.

ויש גם חסרונות

זה נשמע נהדר, אבל יש כמה אזהרות. ראשית, דיווחים ראשוניים מראים כי כ-20% מהמשתמשים בחיישן ה-Touch ID דיווחו על “יותר מידי כישלונות” בניסיונות לפתיחת מכשיר האייפון באמצעות סריקת טביעת אצבע. נתון זה עולה בקנה אחד עם הביצועים המדווחים של אמצעים ביומטריים אחרים, כגון זיהוי פנים וזיהוי קול על גבי סמארטפונים. יש מקום, אם כן, לשיפור הביצועים ואולי אף להוספה של שכבת זיהוי ואבטחה נוספת לאימות זהות המשתמש. שנית, חסרון אבטחה נוסף שחוקרים זיהו מתמקד בהטמעה של הביומטריה על גבי המכשיר עצמו. חוקרים ירצו לדעת איפה ואיך מיוצרת טביעת האצבע על גבי המכשיר, היכן היא מאוחסנת ואיזה אפליקציות או פונקציות ברמת המכשיר יכולות לקבל אליה גישה ובאיזה נסיבות. לדוגמה: מכיוון שהביומטריה מתבססת על מערכת ההפעלה של המכשיר, iOS (בניגוד למודול פלטפורמה בטוחה המבוסס על חומרה), הרי שאם תתרחש ״פריצה״ לאייפון אפשר להניח שהכל פתוח בפני הפורץ. אחרי הכל, ניתן לבצע מניפולציות על גירסה דיגיטלית של טביעת אצבע בדיוק כשם שאפשר לעשות במקרה של סיסמאות גנובות.

חמור מכך, אם האייפון יידבק באופן כלשהו בנוזקה, ה”רעים” יוכלו להניח את ידם בחשאי על הייצוג הדיגיטלי של טביעת האצבע של המשתמש, ובניגוד לסיסמא, את טביעת האצבע לא ניתן להחליף. הזהירות שיש לנקוט כאן היא לא להניח שיכולות ביומטריות פירושן אבטחה רבה יותר, מבלי להמשיך ולהבין כיצד המשתמש, המכשיר והאפליקציה מתקשרים ביניהם.

ובכל זאת אין ספק שבתמונה הגדולה מדובר בצעד שביכולתו להתחיל עידן חדש של ביומטריה מבוססת סלולר וידידותית למשתמש, ובעלת פוטנציאל להפוך את החוויה המקוונת שלנו למאובטחת יותר.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

2 תגובות על "האבטחה הביומטרית בדרך לסמארטפון שלכם, ויש לזה מחיר [דעה]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רם
Guest

שלום,
כחוקר בכיר ב RSA הייתי מצפה ממך לחקור ולהכיר טיפה יותר לעומק את טכנולוגיית ה SecureZone של ARM (מעבד ה A7 של אפל מבוסס על טכנולוגיה זו). אפל קוראת לזה בשם secured enclave.
למעשה מדובר בטכנלוגיה המצויה ברוב הכרטיסים החכמים והינה חלק מהמעבד עצמו והיא תוצר של שיתוף פעולה בין ARM ל Genamlto.
אז בשורה התחתונה, בניגוד למה שכתבת, האבטחה כאן מבוססת חומרה -בדיוק לפי מודל ה TCB.
הנחת היסוד שאם מישהו יפרוץ לאייפון הוא יקבל אוטומטית גישה לנתונים הביומטרים – אינה נכונה (כנראה).

ועכשיו, אחרי שפתחתי פה לשטן, אני רץ לבדוק מי פרץ את זה כבר…

בברכה,

רם פרס

אלון
Guest
רם צודק. אפל הציגו את הטכנולוגיה ככזאת שמאובטחת באיזור מבודד על המעבד. בנוסף המצב המתואר של אחוז גבוה של כשלונות בזיהוי (miss-detection) מעיד על גישה מחמירה, לעומת מצב של זיהוי שגוי (false-detection) שהיה מצדיק את האמירה שיש צורך בשכבת הגנה נוספת. ועוד בנוסף – הם אמרו בבירור שמה שנשמר הוא תוצר של טביעת האצבע. אז כמי שאמור להיות בתחום – אתה יכול לדמיין שאם אני שומר רק את ה-Check-Sum של משהו, מאפשר לי רמת זיהוי מסויימת גם בלי לשמור את המידע המקורי. אז באופן דומה יש לך משהו שהוא כמו סט מוצפן של “check-sums” ביומטריים. בקיצור – זה נראה כמו… Read more »
wpDiscuz

תגיות לכתבה: