Bezpieczeństwo w sieci

Złamanie logowania twarzą w Windows 10? Nic prostszego!

JS
Jakub Szczęsny
4

W systemie Windows 10 na niektórych komputerach użytkownicy mogą się cieszyć z mechanizmu logowania twarzą - Windows Hello. W trakcie testów tej techniki udowodniliśmy Wam, że zdjęcie nie wystarczy do złamania tego mechanizmu. Okazuje się jednak, że w pewnych warunkach jest to możliwe. Na szczęście, Microsoft dostarczył już odpowiednie poprawki, które niwelują ten problem.

Windows Hello wykorzystuje skanowanie za pomocą sensora pracującego w spektrum światła bliskim podczerwieni, aby określić punkty charakterystyczne twarzy. Kamery Windows Hello są dostępne nie tylko "od ręki" w laptopach, ale również jako dodatkowe akcesoria wyposażone także w bardzo dobre kamery służące m. in. do wideorozmów. Niestety, ów mechanizm nie przyjął się szczególnie na rynku i jedynie garstka high-endowych komputerów przenośnych oferuje takie uwierzytelnianie.

Dotychczas Windows Hello uznawano za bardzo bezpieczną metodę - wcześniejsze testy tego rozwiązania wykluczały możliwość zalogowania się np. za pomocą zdjęcia. Windows Hello skanuje również głębię, a zatem przedstawienie kamerce obrazka 2D kompletnie nie zadziała. Do pewnego czasu istniała jednak pewna furtka, za pomocą której możliwe było ominięcie zabezpieczeń Windows Hello...

https://youtu.be/GVKKcoOZHwk

Wystarczyło przedstawić odpowiednio spreparowane zdjęcie. Wtedy Windows Hello "wymiękał"

Badacze spróbowali oszukać Windows Hello za pomocą zdjęcia w bardzo niskiej rozdzielczości, dodatkowo zmodyfikowanego w taki sposób, aby przedstawiało kolory bardzo bliskie spektrum podczerwieni. Okazało się, że atak się udawał, a ponadto, nawet w trakcie działania funkcji "enhanced anti-spoofing", uwierzytelnianie upoważniało użytkownika do przejścia dalej. W niektórych przypadkach jedynie "wymagano" zdjęcia o nieco wyższej rozdzielczości (która i tak była niska).

Microsoft już odpowiedział na ten problem w wersji 1709 Windows 10 pojawiła się poprawka, która wprowadziła wcześniej wspominaną funkcję "enhanced anti-spoofing", która wydaje się być odporna na tego typu ataki. Jest w tym jednak pewien haczyk - aby działała ona poprawnie, użytkownik musi jeszcze raz skonfigurować Windows Hello na swoim urządzeniu. Jeżeli tego nie robi, poprawka na nic się nie zda, w dalszym ciągu będzie można zalogować się odpowiednio spreparowanym zdjęciem.

Czy uwierzytelnianie twarzą jest do końca bezpieczne?

Według mnie, najlepszą dotychczas wymyśloną formą logowania do urządzeń jest... odcisk palca. Uniwersalny, bezproblemowy i o odpowiednim poziomie bezpieczeństwa. Jeżeli ktoś życzy sobie znacznie bardziej zaawansowanej metody ochrony przed nieuprawnionym dostępem do urządzenia, może spróbować skanera tęczówki. Ten w Lumii 950 działał naprawdę dobrze. Samsung Galaxy Note 8 oferuje podobny mechanizm. Logowanie twarzą właściwie od premiery iPhone'a X wywołuje całkiem sporo kontrowersji - również dlatego, że wielokrotnie udowodniono błędy w trakcie działania mechanizmu FaceID. Dlatego też, nie podejrzewam, żeby skanery odcisków palca właśnie były w odwrocie - szczególnie, że już niedługo nastąpi premiera pierwszego sprzętu z sensorem zatopionym w wyświetlaczu.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu