Podstawy Bezpieczeństwa: Hasła część 4, czyli kody PIN, smartfony i biometria

dodał 10 października 2022 o 08:30 w kategorii HowTo, Info  z tagami:
Podstawy Bezpieczeństwa: Hasła część 4, czyli kody PIN, smartfony i biometria

Haseł i innych metod uwierzytelnienia używamy w wielu miejscach, ale mało jest miejsc, gdzie trzymamy więcej poufnych danych niż na naszych smartfonach. Jak powinniśmy zabezpieczyć dostęp do nich i czy możemy zaufać metodom biometrycznym?

Przez kolejne dni możecie czytać nasze rekomendacje na temat tego, jak hasła tworzyć, jak je przechowywać, czym je najlepiej wzmocnić i jak zabezpieczać urządzenia mobilne. Ostatniego dnia odpowiemy na wasze najczęstsze pytania z tego obszaru. Pisaliśmy już o tworzeniu haseł, o ich przechowywaniu, a także wzmacnianiu uwierzytelnieniem dwuskładnikowym. Dzisiaj z kolei skupimy się na zabezpieczeniach smartfonów i biometrii. Cały cykl znajdziecie tu:

Podstawy Bezpieczeństwa
Artykuł stanowi część cyklu Podstawy Bezpieczeństwa realizowanego od ponad dwóch lat pod patronatem Aruba Cloud. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż najpierw warto sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. Zachęcamy też do zapoznania się z poprzednimi odcinkami tej serii.

Ile cyfr w kodzie PIN

Część z was pewnie zapyta „a czemu tylko cyfr?”. Faktycznie, wszystkie nowoczesne smartfony umożliwiają ustalenie kodu PIN składającego się nie tylko z cyfr, ale także z innych znaków. Opcja ta często jest ukryta, ale można ją aktywować. Jak jednak sądzicie, po ilu próbach wpisania hasła jedną ręką w trzęsącym się tramwaju w celu odblokowania telefonu zmienicie je jednak na kod PIN? Oczywiście wiemy, że wśród naszych Czytelniczek i Czytelników znajdą się osoby z kodem alfanumerycznym do odblokowania telefonu. Te osoby też szanujemy. Resztę użytkowników chcemy za to poprosić, by kod PIN miał przynajmniej 6 cyfr, a lepiej, by miał ich 8.

Dlaczego akurat tyle? Obserwujemy od lat różne ataki na smartfony i od czasu do czasu pojawia się metoda umożliwiająca przełamanie zabezpieczeń kodów PIN. Najczęściej opis takiego ataku wskazuje, że PIN o długości 4 cyfr można przełamać w ciągu kilku dni, a z dłuższymi może być problem. Oznacza to, że jest spora szansa, że gdy pojawi się kolejny atak, dłuższe kody będą bardziej odporne.

Tematu „wzorku” rysowanego na ekranie jako metody zabezpieczenia smartfona przed niepowołanym dostępem w ogóle nie poruszamy, bo mamy nadzieję, że z takich wynalazków nie korzystacie.

Biometria w smartfonie

Choć czytniki linii papilarnych były używane także przed epoką smartfonów, to dopiero nowoczesne telefony je upowszechniły, sprawiając, że biometria „weszła pod strzechy”. Dzisiaj wiele osób nosi w kieszeni urządzenia, do których dostęp oparty jest o cechy biometryczne, takie jak układ linii papilarnych czy rysy twarzy. Czy korzystanie z tych mechanizmów jest obarczone jakimś ryzykiem?

Odblokowywanie telefonu dotykiem palca lub spojrzeniem na ekran jest bardzo wygodne. Zgodnie z zapewnieniami producentów daje także rozsądną równowagę między wygodą a bezpieczeństwem – choć każdy użytkownik musi sam ocenić ryzyko. Apple informuje, że szansa, by ktoś obcy mógł odblokować nasz telefon za pomocą swoich linii papilarnych, wynosi mniej niż 1 : 50 000 dla jednego zarejestrowanego odcisku palca i mniej niż 1 : 10 000 dla pięciu zarejestrowanych odcisków. Z kolei system identyfikacji rysów twarzy Face ID daje szansę mniejszą niż 1: 1 000 000, że ktoś obcy odblokuje nasz telefon bez naszego udziału. Aby obniżyć ryzyko skutecznych ataków, zarówno Touch ID, jak i Face ID pozwalają tylko na 5 nieudanych prób odblokowania – potem trzeba podać kod PIN. Brzmi to wystarczająco bezpiecznie.

Jeżeli rozważacie zakup telefonu z funkcją biometrycznego odblokowywania w oparciu o rysy twarzy, sprawdźcie, jakiego mechanizmu używa. Droższe modele wykonują zdalny skan rysów twarzy za pomocą specjalnych promienników podczerwieni, z kolei tańsze używają do tego celu jedynie kamery aparatu. Ta druga metoda może być dużo łatwiejsza do oszukania.

Warto także pamiętać, że niektórzy użytkownicy mogą rozważyć także inne ryzyka niż obca osoba próbująca odblokować ich telefon pod ich nieobecność. Rodzice powinni uwzględnić np. dzieci próbujące odblokować ich telefon, gdy oni drzemią na kanapie, a być może niektóre osoby mogą pomyśleć o scenariuszu, w którym ktoś na siłę przykłada ich palec do czytnika.

Jeśli z kolei martwicie się scenariuszami, w których ktoś najpierw was śledzi, potem przejmuje w restauracji szklankę, zdejmuje z niej odciski palców, odtwarza je w żelu, a następnie kradnie wasz telefon, by go odblokować, to rozumiemy i proponujemy chodzenie w kasku, bo prędzej dostaniecie cegłą w głowę w ciemnej uliczce – palec osoby nieprzytomnej działa równie dobrze, co przytomnej.

Dodatkowa uwaga dla osób obawiających się utraty prywatności z powodu skorzystania z cech biometrycznych do odblokowania telefonu lub komputera – wszystkie popularne implementacje tej funkcji, które sprawdzaliśmy, przechowują dane biometryczne lokalnie, na telefonie użytkownika, najczęściej w sposób uniemożliwiający ich odczytanie (cechy biometryczne są „obliczane” wg określonych wzorów i zapisywane w bezpiecznym procesorze, gdzie mogą być jedynie porównane z danymi obliczonymi podczas kolejnego logowania a z bezpiecznego procesora telefon otrzymuje jedynie informację „pasuje” lub „nie pasuje” – nie ma możliwości odczytania danych źródłowych).

Odblokowywanie smartfona innymi technikami

Istnieje wiele alternatywnych metod odblokowywania telefonu. W zależności od systemu operacyjnego, używanych aplikacji i gadżetów możemy czasem odblokować telefon przez samo posiadanie sparowanego smartwatcha / opaski fitness, możemy ustawić automatyczne odblokowywanie telefonu w określonych godzinach lub lokalizacjach (np. w domu). To bardzo wygodne rozwiązania, ale przed ich aktywowaniem zalecamy rozważenie związanych z tym ryzyk. Jeśli macie w swoim urządzeniu istotne i poufne dane, może funkcja umożliwiająca np. policjantowi automatyczne odblokowanie telefonu tylko dlatego, że stoicie lub leżycie obok ze swoim smartwatchem nie jest najlepszym rozwiązaniem.

Podsumowanie

Nowoczesna biometria jest bardzo wygodna i rozsądnie bezpieczna. Warto do tego mieć kod PIN o długości co najmniej 6, a lepiej 8 cyfr.

Macie pytania dotyczące haseł? Piszcie je od razu w komentarzach, już w środę zbierzemy w ostatnim artykule wszystkie pytania i odpowiedzi.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.