Iako koriste različite biometrijske metode provjere autentičnosti, ID lica i Touch ID vrlo su slični pod kapuljačom. Kada se pokušate prijaviti na svoj iPhone-gledajući kameru na prednjoj strani ili stavljanjem prsta na senzor osjetljiv na dodir, telefon uspoređuje biometrijske podatke koje otkriva s podacima koji su spremljeni u Secure Enclave-zasebnom procesoru koji je cijela svrha je da vaš telefon bude siguran. Ako se lice ili otisak prsta podudara, iPhone će se otključati. Ako se to ne dogodi, od vas će se tražiti da unesete zaporku. Iako sve to zvuči dobro na papiru, je li sigurno?
ID licem i ID Touch su općenito sigurni
Općenito, Touch ID i ID Face sigurni su. Apple tvrdi da postoji 1 do 50.000 prilika da će netko drugi otisnuti prstima lažno otključati vaš iPhone i 1 do 1.000.000 šansi da će to netko lice to učiniti. Netko bi mogao pogoditi četveroznamenkastu lozinku i 1 u 1.000.000 šansi da bi mogli pogoditi šesteroznamenkastu šifru (i dobiju tri pokušaja prije nego što su zaključani). To bi trebalo staviti stvari u perspektivu.
Mogućnost da bi netko mogao nasumično podići - ili ukrasti - telefon, a zatim ga moći otključati pomoću otiska prsta, lica ili čak nagađanjem zaporke je nevjerojatno tanak.
Jedna predostrožnost tome je identična blizanca ili braće i sestara koji izgledaju vrlo slični, a vjerojatnije će stvoriti lažno pozitivno. U tom slučaju postoji vjerojatnost da bi vaš brat možda mogao otključati vaš telefon pomoću Face ID-a. Međutim, identični blizanci čine samo 0,003% populacije, pa to nije rizik koji se odnosi na mnoge. Ako ste to zabrinuti, možete isključiti ID lica i upotrijebiti siguran zaporki.
No, čuvanje protiv takve povremene upada nije jedina stvar koja bi se trebala brinuti.
ID licem i ID Touch mogu biti ranjivi na ciljane napade
Iako je gotovo sigurno da nijedan slučajni stranac neće moći ući u vaš telefon, ako ste žrtva ciljanog napada, stvari bi mogle biti malo drugačije.
Oba Touch ID i ID Face potpuno su ranjivi ako vas netko može prisiliti da se prijavite, bilo da držite prst na senzoru (čak i kad spavate) ili gledate telefon. A te dvije vrste napada mnogo su lakše odstupiti nego prisiljavati nekoga da preda njihovu šifru.
Dakle, što je s otiskom prstiju? Pa, Touch ID uspješno je bio hakiran. Istraživači su mogli upotrebljavati lažne otiske prstiju kako bi otključali uređaje osigurane Touch ID-om. Međutim, isti istraživači nazivaju tehnikom "bilo što drugo nego trivijalno" i "još uvijek malo u sastavu romana Johna Le Carréa".
U osnovi, ono što napadači trebaju je kompletna rezolucija, bez mrvljenog kopija vašeg prsta, kao i tisuće dolara vrijedne opreme. U teoriji, netko tko je stvarno bio odlučan vjerojatno bi mogao ovako ući u vaš telefon - možda čak i iz fotografije vašeg otiska prsta. Stvar je u tome što podaci o iPhonima velika većina ljudi vani jednostavno ne cijene cijenu i gnjavažu takvog napada.
Osim toga, ako imate osjetljive ili vrijedne podatke, vjerojatno ćete poduzimati dodatne korake kako biste osigurali te informacije. To nije ono što se brzo može učiniti slučajnim strancima.
Ono što se svodi na to je jedan od razloga sigurnosti. Nijedna metoda provjere autentičnosti nikada neće stati na dovoljno određeni napadač. Uvijek postoje nedostatci koji se mogu koristiti; to je samo pitanje koliko su jednostavno iskoristiti.
Ništa vas štiti od Vlade
Nijedna količina sigurnosti nikad ne može doista zaštititi od određene državne agencije - SAD ili na neki drugi način - s bitno neograničenim resursima i želje da uđete u telefon. Ne samo da vas zakonski obvezuju da upotrebljavate Touch ID ili ID licence kako biste otključali svoj telefon, ali također imaju pristup alatima poput GreyKey. GreyKey navodno može slomiti bilo koji iOS pristupni kôd za uređaj, što čini ID Touch i ID Facea beskorisnim. Apple naporno radi za zatvaranje ranjivosti poput ovog iskorištavanja, ali ljudi koji se nadaju da će platiti dan jednako teško otvaraju nove.
ID Touch i ID lica nevjerojatno su prikladni i ako imaju sigurnosnu kopiju s jakim zaporkom - za svakodnevnu upotrebu gotovo svima. Ako ste cilj određenog hakera ili vladine agencije, međutim, možda vas neće dugo zaštititi.
Image Credits: XKCD.
