"Так безопасно?" №6: Отпечаток пальца - хороший второй фактор для двухфакторной аутентификации?
Ответ — как всегда, "смотря кому". Обычно, тут работает принцип "ковбоя Джо" — для обычных людей она подходит, а для политиков или топ-менеджеров идея выглядит очень так себе. Современный мир — это не боевик про Джеймса Бонда, и тут не нужно "вырубать" жертву снотворным, чтобы снять его отпечатки. Или того хуже, приносить палец с собой.
Достаточно хорошей фотографии. С появлением TouchID на IPhone интерес к этой теме значительно вырос, и первые исследования показали, что если жертва брала руками прозрачный бокал в баре, то на нем скорее всего останутся отпечатки и их можно без труда снять. Для этого достаточно сфотографировать отпечаток на бокале в хорошем разрешении, сделать монохромным, инвертировать, распечатать на ацетатной пленке на обычном лазерном принтере, для придания эффекта 3D, ну а обычный клей сделает его рельефным.
В 2020 году Cisco Talos опубликовала отчёт с описанием метода восстановления отпечатков с большинства зеркальных поверхностей, по их исследованиям точность такого восстановления около 80%!
Но можно и без подобных сложностей, уже неоднократно исследователи выступали с докладами о том, как они смогли восстановить отпечаток пальца по фотографиям сделанных журналистами. Например, Ян Крисслер член крупнейшего хакерского сообщества Европы Chaos Computer Club (CCC) смог восстановить отпечаток пальца тогдашнего министра обороны Германии Урсулы фон дер Ляйен по фотографии с пресс-конференции.
А в 2021 году наркоторговец выложил в уже взломанную силовыми структурами сеть EncroChat фотографию с сыром в руках, где были видны его отпечатки пальцев. Что и позволило идентифицировать владельца криминального аккаунта. Результат - 13 лет тюрьмы.
Поэтому мы рекомендуем не использовать отпечатки пальцев как основной фактор во всех случаях. А также рекомендуем не использовать отпечатки в качестве второго фактора в случае, если интерес к персоне повышен. Ну, или смириться с тем, что вы обычный человек и Моссад, ЦРУ и МИ-6 вы не интересны.
#3side_так_безопасно
Ответ — как всегда, "смотря кому". Обычно, тут работает принцип "ковбоя Джо" — для обычных людей она подходит, а для политиков или топ-менеджеров идея выглядит очень так себе. Современный мир — это не боевик про Джеймса Бонда, и тут не нужно "вырубать" жертву снотворным, чтобы снять его отпечатки. Или того хуже, приносить палец с собой.
Достаточно хорошей фотографии. С появлением TouchID на IPhone интерес к этой теме значительно вырос, и первые исследования показали, что если жертва брала руками прозрачный бокал в баре, то на нем скорее всего останутся отпечатки и их можно без труда снять. Для этого достаточно сфотографировать отпечаток на бокале в хорошем разрешении, сделать монохромным, инвертировать, распечатать на ацетатной пленке на обычном лазерном принтере, для придания эффекта 3D, ну а обычный клей сделает его рельефным.
В 2020 году Cisco Talos опубликовала отчёт с описанием метода восстановления отпечатков с большинства зеркальных поверхностей, по их исследованиям точность такого восстановления около 80%!
Но можно и без подобных сложностей, уже неоднократно исследователи выступали с докладами о том, как они смогли восстановить отпечаток пальца по фотографиям сделанных журналистами. Например, Ян Крисслер член крупнейшего хакерского сообщества Европы Chaos Computer Club (CCC) смог восстановить отпечаток пальца тогдашнего министра обороны Германии Урсулы фон дер Ляйен по фотографии с пресс-конференции.
А в 2021 году наркоторговец выложил в уже взломанную силовыми структурами сеть EncroChat фотографию с сыром в руках, где были видны его отпечатки пальцев. Что и позволило идентифицировать владельца криминального аккаунта. Результат - 13 лет тюрьмы.
Поэтому мы рекомендуем не использовать отпечатки пальцев как основной фактор во всех случаях. А также рекомендуем не использовать отпечатки в качестве второго фактора в случае, если интерес к персоне повышен. Ну, или смириться с тем, что вы обычный человек и Моссад, ЦРУ и МИ-6 вы не интересны.
#3side_так_безопасно