Biometria w Windowsie złamana, a Microsoft bajdurzy o „śmierci haseł”
Nadzieja podobno umiera ostatnia, a ta pokładana przez producentów sprzętu w biometrii na pewno. Niezależnie od tego, czy mowa o Samsungu, Apple czy Microsofcie, rozpoznawaniu twarzy, skanowaniu linii papilarnych czy odcisków całych dłoni – dotychczasowa praktyka potwierdza, że zabezpieczenia biometryczne w mniej lub bardziej zawoalowany sposób można obejść. Czasem z użyciem zwykłego zdjęcia, czasem po wydrukowaniu w 3D palca z odciskiem i zapewnieniu mu przewodnictwa, co wystarczyło niegdyś do ominięcia Touch ID. Mimo to producenci nie godzą się na oczywistość – biometria, jako jeden i wyłączny składnik logowania, w dodatku jawny, to absurd. I zapewne jeszcze wiele tożsamości, dolarów i prywatnych wiadomości będzie musiało zostać skradzionych, by pojęli to nie tylko producenci, ale też użytkownicy.
28.12.2017 | aktual.: 01.12.2018 10:06
Kolejnym epizodem tej nużącej historii jest wykryta jeszcze przed świętami podatność Windows Hello, więc mechanizmu zabezpieczania Windowsa 10 z wykorzystaniem biometrii – najczęściej rozpoznawania twarzy, ale także skanowania linii papilarnych. Pamiętamy przypadek Samsunga Galaxy S8, którego przednią kamerę można było oszukać zdjęciem. W przypadku algorytmów rozpoznawania twarzy w Windows Hello nie było tak łatwo – eksperci z niemieckiego SYSS musieli wydrukować zdjęcie w niskiej rozdzielczości (340×340 pikseli), zmodyfikowane spektroskopowo tak, by odtworzyć promieniowanie od temperatury twarzy. Pozwoliło to ominąć skanowanie podczerwone wykorzystywane np. w urządzeniach z rodziny Surface.
Wbrew temu, co pisze się w polskiej blogsferze, podatność nie dotyczy wyłącznie starszych wersji Windowsa 10. Po prostu tylko nowe zostały załatane. Zabezpieczeni są użytkownicy Windowsa 10 w wydaniu Creators Update i Fall Creators Update (kolejno 1703 i 1709). Pozostali, czyli choćby użytkownicy wciąż całkiem popularnej Anniversary Update nie mogą liczyć na to, ze Windows Hello stanowi choćby najsłabszą ochronę ich urządzeń. Zalecamy im aktualizację do nowszych wersji Windowsa, co w zasadzie rozwiązałoby problem i cała sprawa by przycichła. Rzecz w tym, że Microsoft uznał wyniki badań SYSS za wystarczająco nagłośnione i negatywnie wpływające na wizerunek jednego z najważniejszych produktów korporacji, aby się do tej kwestii ustosunkować. I trzeba przyznać, że zrobił to w sposób dość przewrotny – obwieszczając, że czas pozbyć się haseł.
Komunikat autorstwa Suzanne Choney, która już w tytule stwierdza, że istnieje rosnący problem z... tradycyjnymi hasłami. Nie takiej konstatacji można się było spodziewać w odpowiedzi na złamanie Windows Hello, a to dopiero pierwsze zaskoczenie. Hasła mają być trudne do formułowania, a przez to uciążliwe, a ich bezpieczeństwo podważają masowe wycieki danych z serwisów internetowych i innych usług. Na szczęście Microsoft ma rozwiązanie – jesteś nim ty, czyli użytkownik. Trzeba przyznać, że strategia poradzenia sobie z potencjalnym kryzysem wizerunkowym jest oryginalna.
Dalej mamy do czynienia z konglomeratem podziwu dla osiągnięć Microsoftu i skrawków wypowiedzi wyższej kadry kierowniczej korporacji. Żadnego ustosunkowania się do niskiego poziomu bezpieczeństwa rozumianej w dzisiejszy sposób biometrii, żadnej obietnicy zmiany podejścia na poziomie teoretycznym. Bo nie chodzi tu przecież o konkretne implementacje i mechanizmy porównywania wzorców – pod tym względem Windows Hello i tak było skuteczniejsze niż choćby mechanizmy wspomniane w kontekście Samsunga Galaxy S8 – tam posłużono się w pośpiechu (biometria stała się argumentem sprzedażowym) algorytmami przetwarzającymi obraz zaledwie w dwóch wymiarach.
Zaczęliśmy od nadziei i na niej skończmy – niełatwo dziś zachować nadzieję, że biometria w końcu będzie potraktowana poważnie. Co to znaczy? Odcisk palca, twarz, głos czy tęczówka to jawny składnik w procesie weryfikacji tożsamości. Porównajmy go do tradycyjnego modelu – loginu i hasła. Jawnym składnikiem jest oczywiście login! Dziś natomiast ten jawny biometryczny login służy za login, hasło, a w przypadku aplikacji bankowych także token. Szaleństwem nie jest wykorzystanie biometrii, szaleństwem jest wykorzystanie jej jako wyłącznego składnika logowania czy potwierdzania tożsamości w jakimkolwiek innym scenariuszu. Szaleństwem powoli zaczyna się wydawać także zwracanie na to uwagi producentom i liczenie na jakiekolwiek rezultaty – gdy zrobiłem to wobec projektanta aplikacji mobilnej jednego z dużych polskich banków, usłyszałem, że przecież z biometrii można nie korzystać.
A wszystko to dlatego, że w przypadku aplikacji mobilnej mBanku wprowadzenie biometrii w ogóle nie było powiązane z bezpieczeństwem. Była to nowa efektowna funkcja aplikacji, która miała przyciągnąć użytkowników. It's not a bug, it's a feature należałoby tutaj przekształcić na It's not protection, it's a feature. Gdyby biometrię implementowano rozsądnie (np. w modelu, gdzie odcisk palca stanowi login, a następnie podać trzeba jeszcze hasło czy PIN) to straciłaby ona swój główny walor, jakim jest źle pojmowana wygoda. Po co się wydurniać z odciskiem palca, skoro i tak trzeba podawać hasło. W ten sposób dwuskładnikową, a często dwustopniową weryfikację tożsamości zamienia się na wprowadzenie danych pozwalających na identyfikację klienta w bazie. Bo czy konto bankowe albo konto w systemie operacyjnym byłoby przez przeciętnego użytkownika uważane za chronione, jeśli do uzyskania dostępu wystarczyłby login?
