Komentáře

Otisky prstů nejsou bezpečné heslo

29. 11. 2016
Sdílet na Facebooku Tweet

Představte si, že máte opravdu dlouhé a složité heslo. Je tak těžké si ho zapamatovat, že jste si ho vytiskli na tisíce vizitek a ty vizitky pak necháváte ležet na všem, čeho se dotknete. Bylo by to bezpečné heslo?

Otisk prstů

Před několika týdny vyšla zpráva o domovní prohlídce, kde agenti FBI nutili obyvatele domu poskytnout otisky prstů k odemčení telefonů, které byly uzamčené jen na otisk prstu.

Většina lidí byla šokovaná, že FBI má pravomoc přinutit někoho odemknout vlastní telefon, byť nikomu nevadila pravomoc během řádně povolené prohlídky telefony zabavit.

Kolik z nich se zamyslelo nad tím, že ten dům byl nejspíše plný otisků použitelných k odemčení zmíněných telefonů, na každém předmětu a na každém rovném povrchu? Že ty otisky stejně dobře stačilo sejmout z libovolné skleničky v kuchyni nebo i ze samotného telefonu?

Otisk prstu není autentizace.

Otisk prstu je identita. Je to přihlašovací jméno.

Otisky prstu jsou veřejné, takže nikoho se špetkou smyslu pro bezpečnost by nemělo vzrušovat, že je FBI použila k odemčení zabavených telefonů. Otisky prstů necháváte doslova na všem, čeho se dotknete. To z nich dělá neskutečně mizerný autentizační prostředek.

Telefony se sice dají odemykat otiskem prstu, ale to z otisku nedělá bezpečný autentizační prostředek. Naopak to ze zámku obrazovky dělá jen západku, která nepotřebuje klíč – elektronickou západku, kterou jedna konkrétní osoba umí otevřít triviálně (protože potřebný otisk má na vlastním prstu) a kterou kdokoliv jiný dokáže otevřít s trochou námahy (protože potřebný otisk se dá snadno sejmout a zkopírovat). Ale v žádném případě ji nemůžete považovat za bezpečnou a dokonce ani za zámek: je to jen něco, co jedna konkrétní osoba může otevřít s trochu menší námahou než ostatní.

Jistě, samozřejmě je lepší mít alespoň západku (zabezpečení na otisk prstu je lepší než nic). Ale nesmíte si plést západku, kterou stačí jen odsunout, se zámkem, který vyžaduje klíč. Falešný pocit bezpečí je v některých případech horší než vůbec žádné zabezpečení.

Biometrické údaje v žádném případě nejsou autentizační prostředky. Jsou to identifikační prostředky. Autentizační prostředky musejí být tajné a změnitelné, jenže vaše otisky prstů (vaše sítnice, duhovka a tak dále) nesplňují ani jedno.

Pokud cokoliv alespoň trochu důvěrného autentizujete pomocí biometrických údajů, děláte to špatně.

Správný postup je identifikovat se pomocí biometrických údajů, a pak provést autentizaci opravdovým bezpečnostním klíčem, který je tajný.

Své soukromí si nadále musíte chránit sami.

Přeloženo z anglického originálu Once more, with passion: Fingerprints suck as passwords

Sdílet na Facebooku Tweet

Autor: Rick Falkvinge, překlad Martin Doucha

Štítky: #bezpečnost #hesla #otisky prstů #soukromí

Zobrazit diskusi
Facebook Pirátské listy Twitter Pirátské listy Redakce Pirátských listů Česká pirátská strana
Redakce | Kontakt | Piráti | Facebook | Twitter | RSS články | RSS aktuality

Copyleft Pirátské listy. Publikování nebo další šíření obsahu serveru Pirátské listy je umožněno i bez písemného souhlasu. Všechna práva vyhlazena.