Bảo mật sinh trắc học trên smartphone liệu có an toàn tuyệt đối?

Thảo luận trong 'Infrastructure security' bắt đầu bởi whf, 20/11/17, 11:11 AM.

  1. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 860
    Đã được thích: 611
    Điểm thành tích:
    113

    Bảo mật sinh trắc học là công nghệ hay được nhắc đến và trở thành xu thế nổi bật trên các smartphone trong vài năm trở lại đây, xuất hiện trên những dòng smartphone cao cấp, tầm trung lẫn tầm thấp. Vậy bảo mật sinh trắc học là gì và những rủi ro của công nghệ này như thế nào sẽ được giới thiệu trong bài viết này.


    [​IMG]

    Bảo mật sinh trắc học là gì?

    Sinh trắc học hay xác thực sinh trắc học (biometric) là một ngành khoa học cũng như là một công nghệ đo lường và phân tích dữ liệu sinh học. Thuật ngữ sinh trắc học muốn nhắc tới những dữ liệu sinh học trên cơ thể người. Đặc điểm nổi bật là khả năng nhận dạng đối với người thông qua những đặc điểm sinh học riêng của mỗi cá nhân. Nó có thể là những dữ liệu có thể tiếp cận được như dấu vân tay, hoặc cũng có thể là những dữ liệu tinh vi hơn như dữ liệu về gen.

    Nếu căn cứ vào bối cảnh sử dụng thuật ngữ trong bài này, thì bảo mật bằng công nghệ sinh trắc học nghĩa là sử dụng các đặc trưng về sinh học để có thể xác thực danh tính của một người dùng trên smartphone.

    Công nghệ bảo mật sinh trắc học hoạt động thế nào?

    Nguyên lý hoạt động của bảo mật sinh trắc học trên smartphone hoạt động như sau: khi người dùng thiết lập, mẫu sinh trắc học người dùng cung cấp sẽ được số hóa và thông tin đó được lưu trữ ở dạng chỉ đọc trên thiết bị. Thông tin được lưu trữ ở dạng chỉ đọc để ngăn dữ liệu bị chỉnh sửa hay bị thao túng.

    [​IMG]

    Khi người dùng cần truy cập vào smartphone sẽ phải cung cấp lại mẫu sinh trắc học để thiết bị kiểm tra và đối chiếu với mẫu sinh trắc học đã lưu trữ ban đầu.

    Nếu mẫu cung cấp trùng khớp với mẫu đã lưu thì người dùng có thể xác thực quyền sử dụng smartphone. Nếu mẫu thông tin cung cấp không khớp với những gì đã được lưu trữ, người dùng sẽ không thể xác thực quyền sử dụng và bị từ chối truy cập.

    Bảo mật vân tay

    Đây là công nghệ sử dụng cảm biến quét vân tay của người dùng và so sánh với dữ liệu vân tay đã được lưu lại từ trước. Do mỗi người có một vân tay khác nhau nên hệ thống có thể nhận dạng người sử dụng một cách an toàn.

    [​IMG]

    Công nghệ nhận dạng vân tay hoạt động theo nguyên tắc: Khi đặt ngón tay lên trên một thiết bị đọc dấu vân tay, ngay lập tức thiết bị này sẽ quét hình ảnh ngón tay đó và đưa vào hệ thống. Hệ thống sẽ xử lý dấu vân tay, chuyển sang dạng dữ liệu số rồi đối chiếu các đặc điểm của vân tay đó với dữ liệu đã được lưu trữ trong hệ thống. Nếu dấu vân tay này khớp với dữ liệu sẽ cho phép hệ thống thực hiện các chức năng tiếp theo.

    Hiện nay bảo mật vân tay là công nghệ bảo mật sinh trắc học phổ biến nhất trên các smartphone ở nhiều phân khúc khác nhau.

    Quét mống mắt

    Mống mắt là phần tròng đen của mắt (iris), ngoài việc phân biệt màu mắt xanh, nâu… cấu trúc các đường vân trên mống mắt rất phức tạp và “duy nhất” đối với mỗi người, đặc biệt là hầu như không thay đổi nhiều theo thời gian tương tự vân tay. Tương tự như vân tay, mống mắt mỗi người là độc nhất vô nhị vì vậy đây sẽ là một “chìa khóa” vô cùng hữu hiệu. Thậm chí, mắt trái và mắt phải của một người cũng khác nhau.

    [​IMG]

    Nhận diện mống mắt (Iris Recognition) là công nghệ bảo mật hoạt động dựa trên đặc điểm duy nhất của mống mắt để nhận diện một người nào đó.

    Hiện nay, công nghệ này đang được ứng dụng vào smartphone với các tính năng như: mở khóa, điền thông tin đăng nhập website, xác nhận thanh toán trực tuyến…

    Công nghệ nhận diện mống mắt trên smartphone sẽ tích hợp một bộ cảm biến ở mặt trước máy, bao gồm 2 phần chính là đèn chiếu tia hồng ngoại đến mắt và các ống kính camera. Chùm tia phản xạ từ mắt đến phần ống kính sẽ được phân tích và từ đó ghi lại đặc điểm các đường vân mống mắt.

    Mỗi dạng mống mắt chỉ được thiết lập nhận dạng cho môt người duy nhất, được mã hóa và lưu trữ bảo mật cực kì an toàn trong thiết bị.

    Nhận diện khuôn mặt

    Đây là công nghệ bảo mật sinh trắc học sử dụng công nghệ nhận dạng các đặc điểm riêng biệt của khuôn mặt người dùng để xác thực. Cách thức làm việc của công nghệ này là so sánh dữ liệu khuôn mặt với những dữ liệu đã được cung cấp trước đó để đưa ra kết quả.

    [​IMG]

    Khi bảo mật sinh trắc học bị qua mặt

    Bảo mật sinh trắc học được các chuyên gia đánh giá là công nghệ tiên tiến so với các hình thức bảo mật truyền thống và có độ an toàn cao. Tuy nhiên, đã có những nghiên cứu chứng minh rằng các tính năng bảo mật sinh trắc học trên smartphone không thực sự an toàn như các nhà sản xuất công bố và có thể bị qua mặt.

    Năm 2013, nhóm tin tặc Chaos Computer Club (CCC) đã qua mặt hệ thống bảo mật vân tay Touch ID trên iPhone 5s với một vân tay giả bằng keo. Tuy việc làm giả vân tay này không dễ dàng, nhưng nó cũng chứng minh một điều, bảo mật vân tay trên iPhone 5S nói riêng và trên các thiết bị smartphone nói chung là hoàn toàn có thể vượt qua.




    Đầu tháng 6/2017, chỉ 1 thời gian ngắn sau khi smartphone Samsung Galaxy S8 ra mắt với tính năng bảo mật mống mắt được giới thiệu là 1 trong những công nghệ bảo mật tiên tiến với độ an toàn cao lại bị các chuyên gia đến từ Bkav qua mặt chỉ với một chiếc máy ảnh và... một chút hồ dán nước.


    Một nghiên cứu khác của nhóm Chaos Computer Club (CCC) cũng đã chứng minh bảo mật mống mắt trên Samsung Galaxy S8 có thể bị qua mặt:


    Tháng 11/2017, tập đoàn công nghệ Bkav cũng đã đăng tải một video chứng minh có thể qua mặt tính năng mở khóa bằng khuôn mặt Face ID trên iPhone X bằng mặt nạ, trái với những gì mà Apple đã từng tuyên bố.


    Kết

    Qua những nghiên cứu của các chuyên gia bảo mật đã chứng minh các công nghệ bảo mật sinh trắc học trên smartphone thật sự không hoàn toàn bảo mật như các nhà sản xuất công bố.

    Dưới áp lực cạnh tranh khốc liệt của thị trường smartphone, các hãng sản xuất đã cố gắng đưa các giải pháp bảo mật sinh trắc học lên smartphone của mình sớm nhất có thể như một chiêu bài marketing để cạnh tranh với các đối thủ trong khi giải pháp bảo mật sinh trắc học của họ chưa được nghiên cứu hoàn hảo.

    Sinh trắc học được xem như một giải pháp bảo mật tiềm năng cho smartphone, tuy nhiên sẽ cần thêm những nâng cấp cải tiến từ những nhà cung cấp. Với những điểm yếu tiềm ẩn của bảo mật sinh trắc học, người dùng nên cẩn thận khi dùng và nên kết hợp với giải pháp bảo mật phi sinh trắc học như mật khẩu, PIN, bảo mật 2 lớp…
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    DDos and Sugi_b3o like this.
  2. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 860
    Đã được thích: 611
    Điểm thành tích:
    113
    Anh em có sử dụng tính năng bảo mật sinh trắc học nào trên smartphone không và có thật sự tin tưởng vào giải pháp mà mình sử dụng không?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. summerlove

    summerlove Member

    Tham gia: 10/04/17, 04:04 PM
    Bài viết: 13
    Đã được thích: 6
    Điểm thành tích:
    3
    Hiện tại mình đang dùng vân tay, thấy khá tiện lợi mà cũng an toàn. Ở phương diện một người dùng bình thường thì mình thấy mống mắt, vân tay và Face ID gần đây rất là OK mà. Chỉ với những người nắm giữ thông tin quan trọng hay có dữ liệu cần bảo mật thì nên chú ý thêm, kết hợp bảo mật 2 lớp như Mod nói.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  4. narutotoma

    narutotoma Member

    Tham gia: 11/04/17, 10:04 AM
    Bài viết: 14
    Đã được thích: 2
    Điểm thành tích:
    3
    Xem video cách hack bảo mật vân tay, mống mắt và khuôn mặt thì mình thấy có vẻ mống mắt dễ bị qua mặt nhất nhỉ? Chỉ cần máy ảnh hồng ngoại và hồ dán nước trong khi làm được mẫu vân tay giả là khó nhất.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Sugi_b3o thích bài này.
  5. Formular 1

    Formular 1 Member

    Tham gia: 10/04/17, 04:04 PM
    Bài viết: 9
    Đã được thích: 3
    Điểm thành tích:
    3
    Không phải ngẫu nhiên mà bảo mật bằng mống mắt lại được áp dụng. Một số sân bay lớn trên thế giới cũng áp dụng công nghệ nhập cảnh bằng quét mống mắt rồi mà.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf and Sugi_b3o like this.
  6. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 207
    Đã được thích: 173
    Điểm thành tích:
    43
    Theo mình các sân bay lớn trên Thế Giới quét mống mắt để định danh người đó để đưa vào CSDL xuất nhập cảnh hải quan. Bạn không được mang kính, kinh sát tròng khi đi qua các thiết bị này, điều đó cho thấy việc giả danh người khác là rất khó.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  7. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 860
    Đã được thích: 611
    Điểm thành tích:
    113
    Mình nghĩ vấn đề ở đây không phải là bảo mật sinh trắc học không an toàn vì trên thực tế bảo mật sinh trắc học đã ra đời từ lâu, được ứng dụng chủ yếu ở cấp quốc gia, chính phủ, trong các lĩnh vực như quốc phòng, an ninh... ở những lĩnh vực này thì sinh trắc học được nghiên cứu chuyên sâu, đầu tư mạnh với những công nghệ, trang thiết bị đắt tiền, tối tân nhất... và được chứng minh là đáng tin cậy.

    Tuy nhiên khi triển khai bảo mật sinh trắc học trên smartphone thì nhiều nhà sản xuất đã cố cắt giảm chi phí, thời gian nghiên cứu để đem công nghệ này lên sản phẩm của mình (smartphone giá rẻ hiện tại cũng được trang bị bảo mật sinh trắc học) sớm nhất để cạnh tranh với các đối thủ trong khi công nghệ chưa thật sự tốt => đây là một trong những lí do làm cho một số công nghệ bảo mật sinh trắc học bị qua mặt.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. White Sky

    White Sky New Member

    Tham gia: 22/11/17, 02:11 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Cái vụ mở khóa bằng vân tay mình thấy bất tiện ghê luôn ấy. Tay mà dính nước là ko mở được. Hoặc đang đi đường đeo bao tay cũng ko mở được :(
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 860
    Đã được thích: 611
    Điểm thành tích:
    113
    Vấn đề này thì bạn có thể kết hợp mở khóa bằng vân tay với mã PIN, mật khẩu, mở khóa hình hay đơn giản hơn là... khoét bao tay {11}
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. blackarch

    blackarch Member

    Tham gia: 28/04/17, 07:04 PM
    Bài viết: 8
    Đã được thích: 8
    Điểm thành tích:
    3
    Hôm qua mình xỉn quá ngủ như chết, 2 bàn tay mình con vợ nó sử dụng luôn. Thế là bao nhiêu tin nhắn hình ảnh với con vợ nhỏ lọt vào tay vợ lớn. Kết quả là sáng giờ mình phải ở ngoài đường, từ đó suy ra bảo mật vân tay rất rất không an toàn khi tay mình bị người nào đó quản lý.;)
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. whf

    whf Super Moderator Thành viên BQT

    Tham gia: 06/07/13, 03:07 AM
    Bài viết: 860
    Đã được thích: 611
    Điểm thành tích:
    113
    Có lẽ nào nhân vật trên báo mình xem hôm qua lại là bác {71}{5}{71}

    ---------
    Ngủ quên, chồng bị vợ dùng vân tay mở khóa smartphone và phát hiện động trời

    Một chuyến bay thương mại đã phải hạ cánh khẩn cấp vì một lý do hết sức hy hữu, khi hai hành khách là một cặp vợ chồng đã cãi nhau kịch liệt vì người vợ dùng vân tay của chồng đang ngủ say trên chuyến bay để mở khóa smartphone và phát hiện ra các bằng chứng ngoại tình của chồng mình.

    Một cuộc tranh cãi quyết liệt nổ ra giữa một cặp vợ chồng là hành khách trên chuyến bay của hãng hàng không Qatar Airways từ thành phố Doha (Qatar) đến thành phố Bali (Indonesia).

    [​IMG]

    Theo các nhân chứng cho biết thì người vợ nhân lúc người chồng đang ngủ say trên chuyến bay đã sử dụng dấu vân tay của anh này để mở khóa chiếc smartphone và xem các nội dung trên đó. Sau khi phát hiện thấy các bằng chứng ngoại tình của chồng mình, người phụ nữ này đã liên tục tấn công người chồng.

    Các tiếp viên hàng không cố gắng can ngăn hai vợ chồng này lại tuy nhiên đã không thể làm nguôi cơn giận giữ của người vợ. Cuối cùng cơ trưởng của chuyến bay đã quyết định hạ cánh khẩn cấp xuống sân bay ở thành phố Chennai (Ấn Độ) và yêu cầu an ninh sân bay buộc cặp vợ chồng này xuống máy bay.

    Được biết cặp vợ chồng gây nên sự việc đến từ Iran và đang đi trên chuyến bay cùng con trai của họ. Danh tính của hai vợ chồng này không được tiết lộ.

    Do không có visa Ấn Độ, gia đình này đã phải qua đêm tại sân bay Chennai trước khi bắt một chuyến bay khác để tiếp tục hành trình của mình.

    Hãng hàng không Qatar Airways đã từ chối đưa ra bình luận về vụ việc.

    Sau khi sự việc xảy ra và được truyền thông đăng tải, nhiều người đã hài hước cho rằng không có hình thức bảo mật nào là an toàn và cách tốt nhất là không bao giờ giữ lại những bằng chứng về việc làm sai trái của mình, đặc biệt là trên smartphone.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    blackarch thích bài này.