האם גוגל או אפל יכולות לגנוב את הפנים שלי?

זיהוי ביומטרי נמצא איתנו כבר כמה שנים, אבל עדיין עולות לא פעם שאלות וקושיות לגבי המגבלות של הטכנולוגיה הזו. כיום עם הבעיות שעולות חדשות לבקרים בנוגע למגבלות השימוש בסיסמאות כאמצעי זיהוי לשירותים דיגיטליים, אפליקציות או אפילו המכשירים שלנו, החשיבות של מעבר לזיהוי ביומטרי מתגבר.

אמנם בפועל לא מדובר בטכנולוגיה הרבה יותר מאובטחת מסיסמאות חזקות - אבל היא הרבה יותר נוחה לשימוש. מעבר לכך שבשנה האחרונה התברר שגם אפליקציות ניהול סיסמאות או זהות נפרצות ושרוב המשתמשים נוטים להשתמש בתור סיסמת גישה ראשית באותה אחת שהשתמשו בה לפני 10 שנים, לא מדובר בדרך מספיק טובה כדי לשמור על הסודות שלכם.

כך למשל אפליקציית ניהול הסיסמאות הפופולרית Last Pass נפרצה כבר פעמיים והאקרים גנבו ממנה הרבה מאוד מידע ובעיקר את שמות המשתמשים והסיסמאות. זאת אומרת שגם אם הפעלתם סיסמה חזקה על חשבון הבנק שלכם או אמזון דרך מנהל הסיסמאות, אבל הסתפקתם באותה סיסמה ששימשה אתכם בחשבון המייל שלכם שכבר דלף לרשת, לא ממש הגנתם על עצמכם. גם באפליקציות ניהול זהות בחברות זה דבר שיכול לקרות, והראיה לכך היא הפריצה ל-Okta, חברה שמספקת שירותי הזדהות וגישה להרבה מאוד חברות וארגונים גם בישראל.

בכל מקרה, זיהוי ביומטרי אינו מושלם ויש לו מגבלות, אבל הוא זמין, נוח וקשה מאוד לגנוב אותו. כיום כמעט כל סמארטפון, מהדגם הכי זול ועד לפרימיום עושה שימוש בזיהוי ביומטרי. גם במחשבים רואים יותר ויותר הטמעה של שירות ווינדוס Hello לזיהוי פנים או סורקי טביעות אצבעות. התפוצה הנרחבת של האייפון הפך את הרעיון של זיהוי פנים למקובל גם אצל כאלה שאינם טכנולוגים גדולים. זו שיטה שגם אנשים ללא אוריינות טכנולוגית גבוהה יכולים להשתמש בה בלי שיצטרכו לזכור סיסמה מדויקת או שם משתמש. לגבי טביעות אצבע זה עוד יותר קל, למרות שתהליך ההפעלה של הזיהוי עשויה קצת להעיק.

ועדיין יש כאלה שמעדיפים להשאיר את המכשירים שלהם ללא הגנה. או רק עם סיסמה מבוססת מספרים, או שרטוט. כתבתי על כך בעבר, אבל מדובר בשתי שיטות שקל מאוד לעבריין לעקוף. רוב הסיסמאות מבוססות מספרים ניתנות לניחוש על ידי אפליקציות פריצה והשרטוטים גם הם לא ממש בטוחים. אגב, האקר חכם אפילו לא צריך אפליקציה, יש כאלה שמנסים לזהות את דפוסי השרטוט לפי העקבות שאתם משאירים על המסך של המכשיר. השיטות משתנות אבל בסופו של דבר, זיהוי ביומטרי זו הדרך הכי טובה להגנה על מכשיר הטלפון או המחשב שלכם. ועכשיו בואו ננסה לענות על השאלות הנפוצות.

1. אני לא רוצה לתת לחברה מסחרית את צילום הפנים שלי או את טביעות האצבעות, למה לי? זה לא מסוכן?

שאלה שחוזרת הרבה. ובצדק. גוגל, מיקרוסופט או אפל לא ידועות כחברות ששמות את רווחת המשתמש לפני שורת הרווח שלהן. הן אמנם אומרות שהפרטיות של המשתמשים היא נר לרגליהן, אבל בפועל, כולן מחזיקות במנגנוני פרסום שמבוססים על שימוש במידע משתמשים שמגיע אליהן בדרך כזו או אחרת. בקיצור, הפרטיות מתה. אבל הן לא מקבלות את המידע הביומטרי שלכם. הסורקים או מצלמות הסלפי שמשמשים לזיהוי האצבעות או הפנים לא שומרות מידע שימושי על המכשיר שלכם וגם לא מעבירות אותו הלאה לשום חברה. למעשה, כל עיבוד התמונה של הפנים או האצבעות מתבצע מקומית על הטלפון או המחשב.

יש בדרך כלל שבב ייעודי שכל תפקידו הוא לבצע את הזיהוי והוא לא שומר את המידע. למעשה מה שהסורקים בודקים אלה מדידות בעיקר בין חלקים של טביעת האצבע או תווי הפנים. במנגנון זיהוי פנים יש גם לפעמים (תלוי ברמת השכלול של המנגנון) זיהוי אם מדובר בפנים של אדם חי (כלומר עם טביעת חום המזוהה דרך בדיקת אינפרא אדום). השבב מערבל את הנתונים האלה והופך אותם למידע שנשמר אצלו בלבד. כך אפל לא מחזיקה בנתוני הפנים שלכם, סמסונג לא מחזיקה בנתוני טביעות האצבעות וכו'. ואין להאקר שיפרוץ למכשיר שום אפשרות לשחזר אותם גם אם יגנוב את המידע שנשמר על השבב. וזה נכון גם אם אתם מזדהים דרכם בתשלום סלולרי למשל. אף אחד מהנתונים האלה לא מועבר לבנק, לאפליקציית התשלום או לארנקים הדיגיטליים. במקום זאת, הטלפון או המחשב עושים את העבודה הקריפטוגרפית באופן מקומי ומאשרים לבנק, לחברת האשראי או למפעילת השירות שאכן מדובר בכם.

זה קצת נוגד את הרעיון המקובל שכדאי להמעיט בחשיפת מידע אישי ברשת או בדיגיטל. וזה נכון. כדאי מאוד להיות מסויגים מלתת מידע אישי. אפשר בהחלט להבין את החשש שמישהו יגנוב את הפנים שלי או את טביעות האצבעות, זה לא שאנחנו יכולים להחליף אותם בקלות. אבל מומחי סייבר מסבירים שבשום שלב אף אמצעי זיהוי בטלפון או במחשב האישי לא שומר צילומים של איברי הגוף האלה. עם זאת שימו לב שמערכות זיהוי פנים בשדות תעופה או סורקי טביעות אצבעות במשרדים ממשלתיים כן שומרים את המידע הזה. זוכרים את סיפור המאגר הביומטרי וההתנגדות שהוא עורר? אז זו הסיבה. אז כדאי לסמוך על פקידי משרד הפנים או רשות ההגירה כי להם דווקא כן יש את הנתונים אלה או לפחות את הגישה למערכות.

2. האם יש דרך להשתמש בתמונה או בצילום של טביעת אצבע כדי להתחזות אלי?

פעם התשובה היתה כן. למעשה הרבה מאוד האקרים בתחילת העשור הקודם ניסו למצוא שיטות לעקוף את המנגנונים האלה ובחלק מהמקרים גם הצליחו למבוכת היצרנים. בנוסף, עדיין לא המציאו את המצלמה שתצליח לזהות בין תאומים זהים, אבל זה עדיין מעסיק את המשתמשים. באייפון יש מצלמה שמזהה גם עומק ונפח, זה היתרון של המערכת של אפל, היא תדע לזהות אם מדובר בתמונה או באדם אמיתי. אבל באנדרואיד זה משתנה בין היצרנים ורמות המחיר של המכשירים. ועדיין, מנגנון זיהוי הפנים של אנדרואיד נחות מזה של האייפון. אבל גוגל משכללת אותו באופן קבוע וכיום הוא הרבה יותר אמין ומאובטח מהגרסאות הראשונות. סורקי טביעות האצבעות עושים עבודה טובה בלזהות את הטביעות שלכם, וקשה יותר לעבוד עליהם עם צילום של האצבע. אבל גם כאן מדובר במנגנונים שלא תמיד ברור מה רמת האמינות שלהם, בעיקר אם מדובר ביצרנים פחות מוכרים.

3. איך אפשר לשתף גישה לחשבון משותף דרך זיהוי ביומטרי?

כאן התשובה היא לרוב שאי אפשר. אם אתם צריכים גישה לחשבון של צד שלישי, כמו ההורים המבוגרים או הילדים הצעירים, עדיף להשתמש בסיסמה ושם משתמש. בחשבונות בנקים זה יותר פשוט. אתם יכולים לקבל פרטי גישה אישיים מהבנק גם לחשבון המשותף ואז אם האפליקציה מאפשרת להגדיר את הזיהוי הביומטרי לגישה. עם זאת שימו לב להגדרות זיהוי דו שלבי, הרבה מאוד שירותים ישלחו לכם הודעת SMS או מייל כדי לאשר את ניסיון הכניסה. גם אז התבצע דרך זיהוי ביומטרי ואז לפעמים זה מגיע לטלפון של השותף. מה שחשוב כאן זה להבין איך הגוף מולו אתם מזדהים מנהל את האפשרויות האלה. אם אין אפשרות אחרת אז היצמדו לסיסמה ושם משתמש - זה יותר טוב מכלום. ובכל מקרה נסו להשתמש בשירותים שכן מאפשרים לקבל פרטי גישה אישיים גם לשירות משותף. חשוב לברר את זה לפני שאתם מתחילים להשתמש בו. אחר כך זה יותר קשה לשנות את זה.

לסיכום, אם אין לכם זיהוי ביומטרי, אנחנו ממליצים מאוד להתחיל להשתמש בו. הוא מוגבל יותר מסיסמה, ונכון שקשה יותר להשתמש בו עם מסיכה על הפנים, או עם כפפות על הידיים. אבל המנגנונים האלה מספיק טובים כדי שזה ישתלם לכם. קל יותר לפתוח מכשיר נעול עם האצבע מאשר לשרטט פס מסובך כשאתם ממהרים לאוטובוס או מנסים לתפוס את הרכבת על הרציף.