אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
האם זיהוי ביומטרי טוב לנו? צילום: בלומברג

האם זיהוי ביומטרי טוב לנו?

והאם בכלל גילינו מה שיטת האבטחה האידאלית?

26.11.2015, 07:27 | שיזף רפאלי

טביעות אצבע הן כמו חותם אישי. אות שמסגיר – ומחייב – את מעורבותו האישית של בעל הטביעה. את חשיבותן זיהה במאה ה־19 צ'רלס דרווין, והשימוש הנפוץ בהן כיום הוא במלאכת הזיהוי הפלילי. והזיהוי הזה הולך ומשתדרג: תכונות גופניות אחרות, כגון מוליכות העור ומרקם הנימיות בעין, מציעות אף הן אפשרויות זיהוי, ומככבות לא מעט גם בספרות ובקולנוע.

כשהמילה "דיגיטלי" נכנסה לשימוש, לפני כ־70 שנה, משמעותה היתה "מבוסס על סְפָרוֹת". על digits. מקור המילה “ספרות” הוא השם הלטיני ל”אצבע”, האיבר שאיתו סופרים. דיגיטלי, מילולית, הוא "של האצבע".

האיחוד בין המשמעות האטימולוגית למילה המודרנית החל לפני כעשור, כשיבמ היתה הראשונה להתקין קורא טביעות אצבע במחשבים ניידים. מוטורולה הביאה את הטכנולוגיה אל הטלפונים שלה, ואחריהן אפל וסמסונג הפכו את האמצעי לברירת המחדל באבטחת מכשירים. השנה הודיעה גוגל כי תתקין אבטחה ביומטרית כזאת גם במכשירי אנדרואיד.

את הפופולריות אפשר להבין. טביעות האצבע נועדו להחליף את מנגנון הססמאות המגושם, הלא ידידותי והבטוח פחות ופחות. קשה לזכור ססמאות. קל לפרוץ אותן. ולעתים תכופות אפשר לגנוב אותן בעזרת תוכנות ריגול סמויות שמתעדות את הקשות המקלדת, או אמצעים שמיירטים את תוכנן כשהן משודרות בנבכי הרשת.

זיהוי ביומטרי, צילום: שאטרסטוק זיהוי ביומטרי | צילום: שאטרסטוק זיהוי ביומטרי, צילום: שאטרסטוק

טביעת אצבע פותרת הרבה מהבעיות האלה. אין מה לזכור, אין מה לשכוח, לא צריך להקליד, הזיהוי תמיד יחידני. ה"מפתח" תמיד איתנו. עיתוני טכנולוגיה מובילים כבר מהללים זה זמן מה את פתרון אבטחת המידע הזה, הגילוי מהמאה ה־19 שזוכה לעדנה במאה ה־21.

אבל האם באמת אפשר לבטוח באמצעי הזה? חוקרי הצפנה החלו להטיל ספק בשיטה הביומטרית הזאת, ובשיטות ביומטריות בכלל. ולא רק בגלל עניין הפרטיות שמחריד רבים כל כך. נראה שטביעת אצבע באמת רחוקה מלהיות פתרון פלא.

"Hackaday", כתב עת של קהילת ההאקרים העולמית, פרסם בנושא מאמר שמאז עלייתו לאוויר החודש מכה גלים (http://bit.ly/fing-sec-not). המחבר תוקף את התקנת חיישני האצבע שפשתה בתעשיית החומרה. הנצחיות והחד-ערכיות של טביעות אצבע, הוא כותב, העובדה שאי אפשר להחליף אותן, היא דווקא חולשה.

מנגנון נעילה בטביעת אצבע בעצם מבוסס על העתקת הטביעות. הפעולה הזאת, של יצירת העתק, גם אם אירעי, מתבצעת בכל שימוש בה. מחיר הנוחות שבשימוש במפתח אחד, אישי ואוניברסלי, שהוא ואתה אחד הם, הוא הותרת העתק ממנו בכל אשר נלך ונגלוש. בכל פעם שנפעיל את המחשב כדי להיכנס לאינטרנט, ובכל פעם שנלפות ידית של דלת, נשאיר מאחור טביעת אצבע. למה הדבר משול? לכך שבכל מקום שבו נשהה נשאיר פנקס ובו כל הססמאות שלנו. המאמר גם מדגים איך חיקוי והעתקה של הטביעה יכולים להיות פשוט כלחיצה על "העתק" ו"הדבק".

וזה עוד לפני הדיון בחוסר שלמותו של המנגנון הביולוגי הזה, ובצורך של חיישנים דיגיטליים לגלות סבלנות כלפי טעויות. בכוונה אין דיוק במנגנוני בדיקה ביומטריים כאלה. טביעת אצבע, בקיצור, רחוקה מלהיות אצבע אלוהים.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות



6 תגובות לכתיבת תגובה לכתיבת תגובה

6.
ל-3
ראשית, המחשב שלך פרוץ. קח את זה כהנחת עבודה. גם אם היית מומחה לאבטחה פרנואיד, תמיד יש תוקף שיהיה חכם ממך (ומספיקה פעם אחת שההגנה תיפרץ). שנית, להבנתי, התכוון הכותב לכך שטביעת האצבע שלך נמצאת על המחשב באותו מובן שהיא נמצאת על ידית הדלת ועל הכוס ממנה אתה שותה. קפיצה קצרה ליוטיוב תראה לך עד כמה קל לשכפל טביעות אצבע באמצעים ביתיים וזולים להפליא. זה רחוק מלהיות פתרון קסמים לאבטחה. והכי חשוב, אסור בתכלית האיסור שהמידע ירוכז במאגר מרכזי כפי שמשרד הפנים עושה (עדיין בחזקת "פיילוט", אבל תוך שימוש בשוחד והונאת הציבור על מנת שיצטרף אליו). אין שום סיבה להקל על תוקף פוטנציאלי את העבודה ולתת לו את כל המידע במקום אחד. שיעבוד קצת וישלוף מכל אחד בנפרד את המידע (שקצת קשה לשנות, אחת שהוא זולג לידיים זדוניות). אגב, המידע קרוב לוודאי יזלוג בגלל עובד כזה, או אחר ולא בגלל האקר. גם סביר להניח שלא תדע על זה בזמן אמת.
*  |  27.11.15
5.
ל-4
אין כל הגיון בשימוש באמצעי אבטחה שקל לפרוץ (פרטים ביוטיוב הקרוב אליך) וקשה להחליף. למה להסתמך על זה ולא על כל פרמטר אחר שקשה יותר לשכפל וקל יותר להחליף? ועוד לא הגענו לפשע הבאמת גדול: המאגר הביומטרי. עוד יגיע היום שבו יחשפו כל האינטרסים הזרים והשחיתות שהובילה למחדל הזה.
+  |  27.11.15
4.
אצבע אלוהי ההאטחה
תודה על המאמר מאיר העיניים אודות הבעייתיות של זיהוי באמצעות טביעת אצבע. אין ספק שלהסתמך על אצבע כפתרון אולטימטיבי - זה פשוט לא לעניין ולא הולם את מורכבות המציאות. לעומת זאת, אם ניקח את הזיהוי בטביעת האצבע כעוד מרכיב בזיהוי, פיתרון משלים, שמצטרף לכצמה סוגי זיהוי, נקבל אבטחה טובה יותר, אך ברור שהיא רחוקה שנות אור מפיתרון אולטימטיבי. נשארת השאלה שיש להפנות לגדולי הדור בתחום - מה בעצם אפשרי לעשות טוב יותר ולא נעשה? חלופה? משהו אחר? וזאת לא שמענו עדיין מהם.
אברום רותם , צפון  |  27.11.15
3.
לא הבנתי
"מנגנון נעילה בטביעת אצבע בעצם מבוסס על העתקת הטביעות. הפעולה הזאת, של יצירת העתק, גם אם אירעי, מתבצעת בכל שימוש בה. מחיר הנוחות שבשימוש במפתח אחד, אישי ואוניברסלי, שהוא ואתה אחד הם, הוא הותרת העתק ממנו בכל אשר נלך ונגלוש. בכל פעם שנפעיל את המחשב כדי להיכנס לאינטרנט, ובכל פעם שנלפות ידית של דלת, נשאיר מאחור טביעת אצבע. למה הדבר משול? לכך שבכל מקום שבו נשהה נשאיר פנקס ובו כל הססמאות שלנו". למה? הטביעת אצבע נאגרת במחשב שלנו, היא לא נשלחת לאינטרנט (אלא אם מישהו פורץ את המחשב), מה שקורה, אם הבנתי נכון שברגע שהמחשב שלנו מזהה טביעת אצבע הוא שולח את הסיסמא שיצרנו (או שהוא יצר, נניח: H3v%!o)9d) לאתר. האתר לא מודע מהטביעת אצבע שלנו. אז למה הטביעות אצבע נשארות באינטרנט? לא ברור. האם פיספסתי משהו? הסבר? תודה! :)
26.11.15
לכל התגובות