Padělané otisky prstů z fotografií: Porozumění bezpečnostním rizikům a změnám vnímání uživatelů při autentizaci pro chytré telefony
Verifikace otisků prstů je široce používanou metodou autentizace pro chytré telefony, a to i pro aplikace finančních služeb – většina bank v České republice podporuje autentizaci otiskem prstu pro aplikace mobilního bankovnictví. I když je tato metoda oblíbená a často vnímána jako vysoce bezpečná, neposkytuje absolutní bezpečnost. Stejně jako všechny autentizační metody má i verifikace otisků prstů své limity. Tento příspěvek se zaměřuje na zranitelnost autentizace otisků prstů vůči padělání nezkušenými podvodníky, kteří mohou vytvářet padělky z fotografií, například ze snímků „palce nahoru“, které oběti zveřejní na sociálních sítích, např. na Instagramu.
Tento příspěvek prezentuje studii zranitelnosti snímačů otisků prstů v chytrých telefonech vůči padělaným otiskům vytvořeným z fotografií prstů. Byly prozkoumány jak technické, tak sociální aspekty. Během dvouletého období dokázali někteří z 370 účastníků s malými zkušenostmi vytvořit vysoce kvalitní fyzické padělky otisků prstů z lepidla nebo silikonu. Některé z těchto padělků dokázaly odemknout chytré telefony, případně do nich byly zaregistrovány jako nové platné otisky prstů. Zjistili jsme, že padělání otisků prstů je reálnou hrozbou pro chytré telefony, a to primárně pro modely s optickými čtečkami.
Pokud jde o sociální aspekty, změna vnímání bezpečnosti otisků prstů byla u účastníků nekonzistentní. Zatímco byli méně ochotni používat autentizaci otiskem prstu pro bankovní služby, obecně podceňovali související hrozby. Výsledky zdůrazňují důležitost vývoje bezpečnějších technologií snímačů otisků prstů a zvyšování povědomí uživatelů o možných zranitelnostech a souvisejících hrozbách.
Agáta Kružíková
Agáta Kružíková získala bakalářský titul v oboru Sociální informatika, magisterský titul v oboru Informatika a doktorský titul v oboru Informatika na Masarykově univerzitě v České republice. Ve svém výzkumu se zaměřovala na autentizaci pro koncové uživatele i IT profesionály v oblasti použitelné bezpečnosti, často ve spolupráci s komerčními společnostmi. Doktorské studium absolvovala v Centru pro výzkum kryptografie a bezpečnosti na Masarykově univerzitě. V současnosti pracuje jako konzultant v oblasti kybernetické bezpečnosti se zaměřením na Bezpečnostní operační centra ve společnosti PwC.
Vashek Matyáš
Je profesorem Fakulty informatiky Masarykovy univerzity a jejím proděkanem pro zahraničí a vnější vztahy. Věnuje se aplikované kryptografii, bezpečnosti IT a ochraně informačního soukromí. Podílel se na výzkumu a vývoji pro akademické, průmyslové i státní instituce v CZ, UK, US,IE, CH a CA, na vývoji Společných kritérií a norem ISO/IEC, je členem redakční rady časopisu Data Security Management.