مرده یا زنده، «اثر انگشتت» را حفظ کن!

ماهنامه دانشمند - احسان حاجیان: ایده خوبی به نظر می رسد؛ استفاده از مرز عبور را کنار بگذاریم و به جای آن از اثر انگشت خودمان به عنوان کلید قفل امنیتی تلفن همراه یا لپ تاپ مان استفاده کنیم. انجام این کار ساده است و ما را از شر یافتن رمزهای عبور ایمن و حفظ کردن آنها نجات می دهد اما شاید این کار به اندازه ای که تصور می کنید ایمن نباشد.

جعل اثر انگشت یا دیگر ویژگی های تشخیص هویت زیستی پای ثابت بسیاری از فیلم های هالیوودی است؛ تبهکاران برای دستیابی به اطلاعات محرمانه دولتی یا نظامی ویژگی های شناسایی افراد را جعل می کنند و سامانه های حفاظتی را فریب می دهند و به محل نگهداری اسناد و مدارک مهم یا اختراعات و جنگ افزارهای مرگبار وارد می شوند.

در دنیای واقعی، جعل کردن اثر انگشت یا دیگر روش های تشخیص هویت زیستی چالش بزرگی برای نیروهای امنیتی و اطلاعاتی است. بنابراین، باید بدانیم هیچ یک از سامانه های امنیتی بی نقص نیستند. چند سال پیش هکری توانست اثر انگشت وزیر دفاع آلمان را با اسکن کردن یکی ازعکس های او که در رسانه ها منتشر شده بود به دست آورد. این هکر قبلا نیز توانسته بود با استفاده از یک انگشت مصنوعی از جنس چسب چوب حسگر اثر انگشت یکی از محصولات اپل را فریب دهد.

سال گذشته نیز پژوهشگران دانشگاه ایالتی میشیگان آمریکا مقاله ای منتشر کردند و در آن روشی ساده تر و سریع تر را برای فریب دادن حسگر اثر انگشت گوشی های تلفن همراه شرح دادند. آنها با کمک عکسی که در آن انگشت فرد مشخص باشد و یک چاپگر جوهرافشان معمولی و جوهر نقره رسانا در ۱۵ دقیقه توانستند اثر انگشت را جعل کنند.

این روش 2 برابر سریع تر از روش قبلی بود که در آن از چاپگرهای سه بعدی برای ساخت اثر انگشت استفاده می شد. آنها اثر انگشت های جعل شده را روی چهار گوشی همراه هوشمند امتحان کردند و توانستند قفل 2 گوشی را باز کنند.

هنگام عکس گرفتن علامت پیروزی نشان ندهید

دی ماه امسال، گروهی از پژوهشگران موسسه ملی انفورماتیک ژاپن هشدار دادند که به سادگی می توان با در اختیار داشتن عکسی که در آن دست فرد رو به دوربین باشد اثر انگشت او را به دست آورد و سپس جعل کرد. رشد روزافزون تلفن های همراه دارای دوربین های باکیفیت بالا و افزایش تعداد کاربران شبکه های اجتماعی خطر سرقت اطلاعات شخصی افراد را بسیار بالا برده است.

فقط کافی است هنگام عکس گرفتن، با انگشتانتان علامت پیروزی را نشان دهید. با افزایش بزرگنمایی عکس و تاباندن نوری قوی به آن به راحتی می توان اثر انگشت شخص را به دست آورد و بازسازی کرد. جالب اینجا است که باری این کار به تجهیزات خاص یا فناوری پیشرفته ای نیاز نیست و هر کسی می تواند این کار را انجام دهد.

این پژوهشگران قادر بودند اثر انگشت افراد را از عکس هایی که با دوربین تلفن همراه از فاصله سه متری گرفته شده بود به دست بیاورند.

فریب دادن فناوری، عین آب خوردن!

بعضی از متخصصان امنیتی عقیده دارند علاوه بر اثر انگشت، سایر روش های تشخیص هویت زیستی از جمله سامانه های تشخیص چهره یا عنبیه چشم را نیز می توان فریب داد. کافی است عکس های مناسبی از فردی که قصد جعل هویت او را دارید در اختیار داشته باشید. آنچه وضع را بدتر می کند این است که برخلاف رمز عبور نمی توان اثر انگشت را تغییر داد و اگر اثر انگشت فردی جعل شود می توان به تمام آنچه به وسیله اثر انگشت او محافظت می شود دسترسی پیدا کرد. برای اینکه چنین مشکلی پیش نیاید گجت هایی که از حسگر اثر انگشت استفاده می کنند معمولا اطلاعات مربوط به اثر انگشت افراد و دیگر داده های مشابه را به جای ذخیره کردن در فضای ابری، یعنی جایی که هکرها می توانند با هک کردن سرور ذخیره اطلاعات به آنها دسترسی یابند، در حافظه داخلی خودشان ذخیره می کنند.

اثر انگشت شما ممکن است در جاهای دیگری مثل پایگاه های داده های شرکتی که در آن کار می کنید نیز ذخیره شده باشد. سال 1394/2015 نفوذ به پایگاه داده های اداره مدیریت کارکنان آمریکا باعث شد فایل های حاوی اطلاعات شخصی میلیون ها نفر از کارمندان دولت فدرال از جمله اثر انگشت آنها در معرض خطر قرار گیرد.

هر حرفی بزنید علیه خودتان استفاده می شود

موضوع دیگری که در مورد استفاده از اثر انگشت وجود دارد خلاء قانونی در بسیاری کشورها است. به عنوان نمونه، در بعضی کشورها از جمله آمریکا نمی توان کسی را مجبور کرد اطلاعاتی را فاش کند که بعدها علیه خودش استفاده می شود اما در چند سال گذشته در این کشور در مواردی دادگاه ها افراد را مجبور کرده اند گوشی های تلفن همراهشان را که اثر انگشت، کلید قفل امنیتی آن بود باز کنند.
از نظر قانونی بین آنچه شما می دانید، از جمله رمز عبور، و آنچه در اختیار دارید مثل کلید یا اثر انگشت تفاوت وجود دارد.

فناوری جدیدی به نام زنده سنجی

اوایل بهمن امسال پژوهشگران مرکز پژوهش های فناوری تشخیص هویت با استفاده از آن چه «سنجش زنده بودن» (liveness detection) نامیده می شود فناوری ای را ابداع و ثبت اختراع کرده اند که می تواند اثر انگشت جعلی را شناسایی کند. بدن انسان ویژگی های جالبی دارد که فقط تا زمانی که فرد زنده است وجود دارند. برای مثال، انگشتان ما منافذ ریزی دارند که طبیعتا (اثر) انگشت های جعلی فاقد آنها هستند.

الگوریتم های پردازشی مورد استفاده برای تشخیص اثر انگشت می توانند هنگام اسکن کردن از پژوهشگران در حال توسعه الگوریتمی هستند که تعریق در انگشتان را بررسی می کند. این پژوهشگران برای بررسی کارایی این الگوریتم آن را با استفاده از انگشت های مصنوعی و انگشت اجساد آزمایش و از نتایج به دست آمده ابراز رضایت کرده اند. این فناوری یکی از فناوری های مورد استفاده توسط شرکت خصوصی Nex ID Biometrics برای شناسایی جعلی بودن اثر انگشت است. طبق ادعای این شرکت این نرم افزار ابداعی می تواند با دقتی بین ۹۴ تا ۹۸ درصد جعلی بودن اثر انگشت را تشخیص دهد.

فناوری سنجش زنده بودن هنوز به قدری جدید است که حتی در گجت هایی با جدیدترین حسگرهای شناسایی اثر انگشت هم از آن استفاده نشده است. پس آیا باید نگران این باشیم که هکرها در اینستاگرام دنبال عکس هایی می گردند که با استفاده از آنها بتوانند اثر انگشت ما را به دست بیاورند؟

با پیشرفت فناوری و افزایش وضوح تصویر دوربین های دیجیتال، هم اکنون راحت تر از هر زمان دیگری می توان با کمک عکس، اثر انگشت کسی را به دست آورد. با وجود این، فقط به این دلیل که اثر انگشت کسی را در اختیار دارید به این معنی نیست که می توانید از آن برای دسترسی به ابزارها یا سامانه هایی که از اثر انگشت به عنوان رمز عبور استفاده می کنند بهره ببرید.

در مورد گجت هایی مثل تلفن همراه، تبلت و لپ تاپ، شما علاوه بر اینکه باید اثر انگشت صاحب آن را پیدا و جعل کنید باید خود وسیله را هم بدزدید. در مورد سامانه هایی با بالاترین سطح امنیت مانند تاسیسات دولتی و نظامی آنچه رایج است استفاده از ترکیبی از تشخیص های هویت زیستی و دیگر عوامل ایمنی است؛ ابتدا باید رمز عبور را وارد کنید، سپس باید از یک کلید فیزیکی یا دیجیتال استفاده کنید و در نهایت باید سامانه تشخیص هویت زیستی را فریب دهید.