[Thảo luận] Tương lai của bảo mật sinh trắc học trên Smartphone

Theo bạn bảo mật nào dưới đây an toàn nhất ?

  • Vân tay

  • Mống mắt

  • Nhận diện khuôn mặt

  • Khác


Results are only viewable after voting.

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
319
448 bài viết
[Thảo luận] Tương lai của bảo mật sinh trắc học trên Smartphone
Hiện nay mật khẩu thông thường đã có nhiều phương pháp bị tấn công và đánh cắp khá dễ dàng. Các mật khẩu dài, phức tạp đảm bảo độ an toàn cao lại khiến người dùng khó nhớ. Đặc biệt, các tin tặc có thể sử dụng tính năng khôi phục mật khẩu để tìm cách chiếm đoạt lại tài khoản của người dùng dẫn đến phương pháp xác thực bằng mật khẩu thông thường hiện nay không còn đảm bảo được an toàn cho người dùng. Việc thay thế mật khẩu này đã có nhiều giải pháp từ các thập niên qua, một trong số đó là công nghệ sinh trắc học.
Bảo mật bằng vân tay
-------------------------------
Bảo mật sinh trắc học thân thiện nhất trong những năm trở lại đây đó là tính năng cảm biến vân tay. Từ khi các sản phẩm Iphone 5s, Samsung Galaxy S5 tích hợp tính năng này thì việc bảo mật sinh trắc đã dần như là một thói quen hằng ngày của người dùng, bởi sự tiện dụng cũng như độ tin cậy cực kỳ cao. Việc một người khác muốn đăng nhập vào máy của bạn sẽ trở nên rất khó khăn bởi vì tỉ lệ trùng dấu vân tay giữa hai người trên thế giới là vô cùng thấp. Về mức độ bảo mật, đây là phương pháp phổ thông được cho là an toàn nhất cho đến thời điểm hiện tại.
Screen-Shot-2013-09-10-at-2.59.07-PM.jpg
Về cơ bản, giải pháp xác thực bằng vân tay đã được chứng minh có độ tin cậy cao trong suốt nhiều năm qua, một phần vân tay hiện được sử dụng để xác thực danh tính phổ biến trên thế giới. Do vậy, việc đưa cảm biến vân tay vào điện thoại được coi là bước tiến lớn, thay đổi phiền toái của việc nhập liệu mật khẩu thủ công trước đây.

Phương pháp này hiện có nhiều công nghệ khác nhau (Touch ID của Apple là một ví dụ), nhưng tất cả đều dựa trên nguyên tắc lấy mẫu các điểm đặc trưng trên vân tay của con người. Trong đó, hệ thống cảm biến vân tay hoạt động dựa trên sóng vô tuyến, cho phép chụp lại không chỉ bề mặt lồi lõm trên đầu ngón tay mà thậm chí là cả lớp da ở dưới ngón tay để xác định danh tính.
1666428.jpg
Tuy nhiên, cũng như cảm biến mống mắt, giải pháp bảo mật này đã bị các nhà nghiên cứu chỉ ra điểm yếu ngay từ khi mới xuất hiện. Gefahren von Kameras - một nhà nghiên cứu sinh trắc học người Đức - đã cho thấy hầu hết các thiết bị sinh trắc học mà chúng ta nghĩ là an toàn thực sự đều dễ dàng bị thâm nhập, kể cả quét vân tay.

Clip bên dưới mô tả trình tự các bước để làm giả một vân tay, từ đó mở khóa TouchID

Tình huống giả định:
  • 1 người xấu tìm cách lấy iPhone của bạn trong 1 thời gian ngắn và bỏ vào 1 máy quét scan trên màn hình của chiếc iphone quá trình này mất chưa đến 1 phút.
  • Dĩ nhiên trên đó sẽ có các dấu vân tay của bạn bao gồm cả ngón tay chứa dữ liệu touchID. Sau đó người này dùng các kỹ thuật photoshop để lấy dấu vân tay rõ nhất và in ảnh.
  • Tiếp theo, người này dùng các kỹ thuật in 3D và bôi các chất liệu làm nổi các vân tay và giả da người thật



Quét mống mắt
-------------------------

Đây cũng là một phương pháp bảo mật sinh trắc học đang được ưa chuộng, không chỉ với smartphone mà còn ở nhiều lĩnh vực khác như ngân hàng, an ninh. Về cơ bản, nó tương tự như đầu đọc dấu vân tay, yêu cầu người dùng phải có mật khẩu đăng ký thứ hai trong trường hợp không thể mở khóa điện thoại của mình. Với Galaxy S8 và Note 8, các máy quét vân tay và mống mắt không thể được kích hoạt cùng lúc. Vì vậy, phương pháp mở khóa thứ 2 ở các thiết bị này phải là Pin hoặc mật khẩu bằng chữ số.
biometrics03_hukp.jpg
Phương pháp này cũng bị ảnh hưởng bởi ánh sáng và vị trí mắt của người dùng, tương tự như với nhận diện gương mặt. Các sản phẩm mới đây đã góp phần cải thiện hạn chế này khi có thể nhận diện mống mắt người dùng trong những điều kiện ánh sáng yếu.

Một số đối tượng sẽ gặp khó khăn khi sử dụng tính năng này bao gồm người già, người có vấn đề về mắt như cận thị, loạn thị,…


Tình huống giả định:
  • Nạn nhân có thể bị chụp ảnh lén hoặc sử dụng các hình ảnh selfine trên mạng xã hội để sử dụng mống mắt, sau đó tiến hành in màu, và bôi 1 ít hồ dán tạo cảm giác giống mắt thật để đánh lừa thiết bị.

Nhận diện khuôn mặt
------------------------------

Face ID là tính năng bảo mật sinh trắc học dựa trên nhận dạng khuôn mặt, được Apple đưa vào iPhone X nhằm thay thế dấu vân tay Touch ID. Công nghệ này được giới thiệu có độ tin cậy cao, cách sử dụng thuận tiện, đi kèm đó là hàng loạt trang bị mới mà là một phần khiến iPhone X có giá bán đắt đỏHệ thống nhận diện khuôn mặt có tên là Face ID vừa được Apple tích hợp vào iphone X nhờ công nghệ Camera TrueDepth. Nhà sản xuất cho biết, tính năng này hoạt động nhờ chiếu hơn 30.000 điểm lên khuôn mặt của người dùng, sau đó dùng camera hồng ngoại để đọc chúng.


Khi người dùng nhìn vào iPhone X, đèn flood illuminator sẽ nhận diện khuôn mặt và kích hoạt camera hồng ngoại để chụp lại hình ảnh khuôn mặt, sử dụng hình ảnh hồng ngoại này để làm bộ khung ban đầu. Máy chiếu điểm sẽ dựa trên thông tin thu về từ bộ khung để phát ra hơn 30 nghìn điểm sáng hồng ngoại, từ đó tạo nên khung mặt hoàn chỉnh của người dùng.

upload_2017-11-19_23-20-9.png

Hệ thống camera TrueDepth sẽ quét khuôn mặt của người dùng thông qua camera hồng ngoại và máy phát điểm, từ đó thu về khung mặt cụ thể và chi tiết.



Thông tin của khung mặt sẽ được lưu lại trong máy sau mỗi lần người dùng sử dụng Face ID​

Các thông số về khung mặt của người dùng sẽ được đối chiếu với dữ liệu sẵn có trong mạng lưới nơ-ron trong iPhone X để trao quyền truy cập nếu trùng khớp. Quá trình này diễn ra rất nhanh và người dùng không hề phải chờ đợi lâu. Để đạt được điều này, Apple đã phát triển A11 Bionic Neural Engine, một hệ thống được xây dựng riêng dành cho công việc áp dụng thuật toán phức tạp nhằm đối chiếu khuôn mặt của người dùng với dữ liệu có sẵn.

Đội ngũ phát triển của Apple đã nghiên cứu rất kĩ lưỡng nhằm trang bị cho hệ thống này mọi thông tin cần thiết để bảo vệ iPhone X. Ngay cả khi sử dụng hình ảnh chất lượng cao, trang điểm khuôn mặt để ngụy trang hay sử dụng mặt nạ “thật” thì tính năng nhận diện khuôn mặt cũng không thể bị đánh lừa.
upload_2017-11-19_23-21-10.png

Hệ thống neural engine đảm bảo rằng tính năng nhận diện khuôn mặt của iPhone X không thể bị xâm nhập bởi hình ảnh hay thậm chí là mặt nạ vô cùng chi tiết và “thật”
upload_2017-11-19_23-21-35.png

Trong khi Touch ID có tỉ lệ sai lệch là 1/50000, Face ID đem lại “bảo mật tuyệt đối” dành cho iPhone X. Tính năng này chỉ có thể nhận diện lỗi khuôn mặt người dùng 1 lần trong 1 triệu lượt thử, thấp gấp 20 lần so với Touch ID.
upload_2017-11-19_23-21-49.png

Tính năng Face ID có tỉ lệ sai lệch thấp gấp 20 lần so với Touch ID​

upload_2017-11-19_23-22-57.png

Các ứng dụng có tích hợp Touch ID đều có thể sử dụng Face ID làm phương pháp bảo mật thay thế.

Tuy nhiên, gần đây Bkav cũng đã phát hiện ra cách tạo 1 mặt nạ 3D được dán bới hình ảnh 2D của chủ nhân các bộ phận trên khuôn mặt như mắt mũi và miệng


Tóm lại, mặc dù phương thức bảo mật sinh trắc nào cũng có điểm mạnh điểm yếu, khác nhau, tuy nhiên nó mở ra một cuộc chạy đua bảo mật về sinh trắc học trong tương lai sẽ phát triển cao hơn, bảo mật hơn, nhờ kết hợp với AI sẽ giúp cho người dùng tiện lợi hơn trong cách thanh toán online và bảo vệ thông tin cá nhân, doanh nghiệp.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf and sunny
Theo mình vân tay so với các hình thức bảo mật sinh trắc học khác vẫn được xem là an toàn hơn. Vì mống mắt hay nhận diện khuôn mặt Face ID với công nghệ thời nay dễ lấy ảnh hơn, chụp từ xa hay smartphone vẫn lấy ảnh 2D và 3D được. Nói chung là cứ bảo mật 2 lớp cho chắc ăn nếu điện thoại có thông tin cần phải bảo vệ :).
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Comment
Không có hình thức bảo mật nào là tuyệt đối 100%, cái gì cũng có thể làm giả được. Các công nghệ kết hợp với AI dù mang đến sự tiện lợi nhưng chưa hẳn đã an toàn hơn các phương thức truyền thống trước đây.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Comment
Mình mới đọc tin thì các ngân hàng Hàn Quốc từ chối hình thức xác thực bằng Face ID vì chưa được kiểm chứng hoàn toàn. Có vẻ sau hơn chục năm phát triển, dù đã có nhiều tiến bộ nhưng bảo mật sinh trắc học vẫn chưa đủ độ "trưởng thành" và đáng tin cậy nhỉ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình mới đọc tin thì các ngân hàng Hàn Quốc từ chối hình thức xác thực bằng Face ID vì chưa được kiểm chứng hoàn toàn. Có vẻ sau hơn chục năm phát triển, dù đã có nhiều tiến bộ nhưng bảo mật sinh trắc học vẫn chưa đủ độ "trưởng thành" và đáng tin cậy nhỉ?
Theo mình nghĩ vẫn cần phải phát triển thêm, vì đây là bước mở đầu cho cuộc chạy đua bảo mật sinh trắc học. Việc tin tưởng những phiên bản đầu sẽ "khó" được chấp nhận, mình tin với nhưng cải tiến ở những lần cập nhật cho phiên bản mới hơn sẽ khắc phục được điều này.
Nhưng có tình huống giả định nếu có 1 trường hợp là chủ nhân bị bắt cóc cùng chiếc điện thoại, thì người ta sẽ dễ dàng mở khóa các chức năng nếu dùng cả 3 phương thức trên :D :D
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo mình vân tay so với các hình thức bảo mật sinh trắc học khác vẫn được xem là an toàn hơn. Vì mống mắt hay nhận diện khuôn mặt Face ID với công nghệ thời nay dễ lấy ảnh hơn, chụp từ xa hay smartphone vẫn lấy ảnh 2D và 3D được. Nói chung là cứ bảo mật 2 lớp cho chắc ăn nếu điện thoại có thông tin cần phải bảo vệ :).
Hiện tại vân tay rất phổ biến và đc chấp nhận là an toàn trên hầu hết các smartphone. Mình nghĩ nếu kết hợp vân tay và 1 trong 2 cái còn lại (mống mắt hoặc nhận diện khuôn mặt) thì sẽ khá là an toàn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo mình mỗi hình thức bảo mật sinh trắc học đều có điểm yếu riêng, tuy nhiên để "hack" thì không phải ai cũng có thể thực hiện được. Do đó nếu là người dùng bình thường không có dữ liệu mật thì cũng không nên quá lo lắng. Với người dùng có nhiều dữ liệu quan trọng thì cần cân nhắc khi dùng.
 
Comment
Công nghệ định danh nhờ tĩnh mạch ngón tay được biết đến là một hình thức xác thực định danh nhanh, không gián đoạn trong việc xác minh đúng người đưa ra yêu cầu nhận dạng. Với việc triển khai thực tế rộng rãi tại nhiều nơi trên thế giới, được chứng nhận tính an toàn cao, công nghệ định danh nhờ tĩnh mạch ngón tay đã và đang tạo nên các chuẩn mực mới trong việc bảo mật thông tin cá nhân.
ngontay1.png
Giống như công nghệ sử dụng vân tay, hệ thống mạng lưới các mạch máu tĩnh mạch ở ngón tay có tính chất đặc trưng riêng ở mỗi cá thể và không có sự thay đổi trong suốt quá trình trưởng thành của một con người. Thêm vào đó, do thuộc tính sinh học các tế bào hồng cầu có khả năng hấp thu ánh sáng hồng ngoại có bước sóng ngắn. Do đó, hình thức nhận dạng này sử dụng kiểu dạng mạng lưới mạch máu tĩnh mạch, bằng cách chụp lại khi đưa ngón tay chủ thể vào luồng ánh sáng hồng ngoại làm cơ sở thực hiện việc định danh.
Các đặc điểm của giải pháp xác thực định danh qua tĩnh mạch ngón tay:
  • Chống giả mạo (khó hơn nhiều so với võng mạc mắt, dấu vân tay, khuôn mặt). Vân tay dễ bị giả.
  • Độ chính xác cao, tỷ lệ sai sót khi đăng nhập cực thấp.
  • Không phụ thuộc hay bị ảnh hưởng bởi môi trường và các yếu tố khác.
  • Không ảnh hưởng bởi môi trường hay nguồn lực hạn chế
  • Cảm biến sinh trắc: kích thước nhỏ và chi phí thấp
  • Mức độ về bảo mật cao nhất.
  • Bảo vệ tối đa thông tin riêng tư của khách hàng.
  • Tương thích, tích hợp và kết nối tốt với các giải pháp đã triển khai (nền tảng hạ tầng và hệ thống)
ngontay3.jpg
Với các ưu điểm trên, giải pháp xác thực trên là giải pháp số 1 được các đơn vị ngành cần độ bảo mật, chính xác cao như tài chính, ngân hàng ưu tiên lựa chọn (>85%), nhận được đánh giá tích cực từ các tổ chức an ninh bảo mật khi ứng dụng vào hoạt động Ngân hàng, đáp ứng toàn diện được các yêu cầu của các Ngân hàng trên thế giới (về an ninh bảo mật, điều kiện làm việc…). Và đây là giải pháp sinh trắc học đầu tiên trên thế giới khả thi hóa chữ ký điện tử trên giấy tờ, tài liệu.
Nguyên lý hoạt động của giải pháp ứng dụng công nghệ tĩnh mạch ngón tay:
Ánh sáng hồng ngoại chiếu xuyên qua ngón tay, hồng huyết cầu hấp thu ánh sáng này, camera chụp lại cấu trúc mạng tĩnh mạch và số hóa nó, lưu lại và so sánh với mã hồ sơ định danh đã lưu trên hệ thống để nhận diện.
ngontay4.jpg
Với nguyên lý trên, công nghệ này có tính bảo mật và độ chính xác cao nhất trong bảo mật xác thực danh tính hiện nay. Một so sánh cụ thể, phương pháp xác thực định danh qua tĩnh mạch có chỉ số FAR, False Acceptance Rate: tỷ lệ nhận diện sai cỡ < 0,0001%, FR, False Rejection Rate: tỷ lệ từ chối sai cỡ 0.01% trong khi đó, phương pháp phổ biến hiện nay, nhận diện qua vân tay có chỉ số FAR cỡ 3~4%.
ngontay5.jpg
Công nghệ tĩnh mạch ngón tay đạt yêu cầu chống giả mạo, nhờ phương pháp sinh trắc học vô hình dưới những điều kiện đặc biệt. Nó đảm bảo các mạch máu sống hiện hữu, mà nhờ đó ngăn cản sự giả mạo. Các kiểu dạng mạch máu tĩnh mạch rất rõ ràng và đặc trưng, đã giải thích chính xác cho độ chính xác cao của giải pháp. Các nghiên cứu ghi nhận có sự khác biệt rất lớn giữa các mẫu hình về kiểu loại tĩnh mạch, làm cơ sở cho sự duy nhất và không trùng lặp của tĩnh mạch. Thêm vào đó kiểu dạng tĩnh mạch không thay đổi trong suốt thời gian sống kể từ khi con người trưởng thành.
ngontay6.jpg
Về mức độ chính xác của nhận dạng tĩnh mạch ngón tay là hầu như không bị ảnh hưởng bởi các yếu tố ngoại lai như bụi bẩn, mồ hôi hoặc dầu mỡ trên các ngón tay, hoặc tổn thương bề mặt. Nó thậm chí có thể sử dụng phương pháp này trong khi đeo găng tay cao su, do vậy có thêm rất nhiều ưu điểm trong yêu cầu cài đặt giải pháp tại các điểm đặt thanh toán ngoài trời trong điều kiện thời tiết đa dạng từ nắng nóng đến băng giá và mưa gió.
Phương pháp nhận dạng tĩnh mạch ngón tay nhanh và tiện lợi, đơn giản là đặt các ngón tay trên một máy quét nhận dạng, mà không cần yêu cầu triển khai hay cài đặt gì. Có lẽ đây là ưu thế tuyệt đối nhất trong việc thương mại hóa ứng dụng ra thị trường hiện nay, chi phí – hiệu quả là tuyệt vời: công nghệ tĩnh mạch ngón tay có thể cung cấp một độ chính xác cao không cân xứng khi so với chi phí của nó. Còn về tổng thể, nhận dạng tĩnh mạch ngón tay dường như là một ứng cử viên tốt cho một định danh sinh trắc học lý tưởng.
ngontay8.png

ngontay9.png

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Theo em , bảo mật bằng lưỡi là ổn đấy :p
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
mỗi cái bảo mật sẽ có lỗ hổng riêng, không có gì hoàn hảo cả
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Comment
mỗi cái bảo mật sẽ có lỗ hổng riêng, không có gì hoàn hảo cả
Tương lai bảo mật sinh trắc sau khi hoàn thiện sẽ hướng đến những dịch vụ thanh toán không cần phải sử dụng thẻ rườm rà, đẩy lùi những vụ ăn cắp thẻ tín dụng giúp cho khách hàng yên tâm hơn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Có thể tin này đã cũ, nhưng các nhà nghiên cứu tới từ Nhật Bản, đã có thể lấy dấu vân tay từ ảnh chụp của người dùng cách xa 3m.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Comment
Mặt nạ mới của Bkav đánh bại FaceID của Iphone X theo cách thuyết phục nhất mà mọi người mong đợi.
Mô tả trong clip:
  • Chủ nhân của chiếc điện thoại sẽ xóa dữ liệu Faceid cũ trên điện thoại
  • Cho Iphone X học mặt chủ nhân của điện thoại
  • Sau đó mở khóa với mặt nạ giả của chủ nhân
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
bảo mật faceid fake giả mạo mống mắt sinh trắc smartphone touchid
Bên trên