Jakub Szczęsny
W systemie Windows 10 na niektórych komputerach użytkownicy mogą się cieszyć z mechanizmu logowania twarzą - Windows Hello. W trakcie testów tej techniki udowodniliśmy Wam, że zdjęcie nie wystarczy do złamania tego mechanizmu. Okazuje się jednak, że w pewnych warunkach jest to możliwe. Na szczęście, Microsoft dostarczył już odpowiednie poprawki, które niwelują ten problem.
Windows Hello wykorzystuje skanowanie za pomocą sensora pracującego w spektrum światła bliskim podczerwieni, aby określić punkty charakterystyczne twarzy. Kamery Windows Hello są dostępne nie tylko „od ręki” w laptopach, ale również jako dodatkowe akcesoria wyposażone także w bardzo dobre kamery służące m. in. do wideorozmów. Niestety, ów mechanizm nie przyjął się szczególnie na rynku i jedynie garstka high-endowych komputerów przenośnych oferuje takie uwierzytelnianie.
Dotychczas Windows Hello uznawano za bardzo bezpieczną metodę – wcześniejsze testy tego rozwiązania wykluczały możliwość zalogowania się np. za pomocą zdjęcia. Windows Hello skanuje również głębię, a zatem przedstawienie kamerce obrazka 2D kompletnie nie zadziała. Do pewnego czasu istniała jednak pewna furtka, za pomocą której możliwe było ominięcie zabezpieczeń Windows Hello…
Wystarczyło przedstawić odpowiednio spreparowane zdjęcie. Wtedy Windows Hello „wymiękał”
Badacze spróbowali oszukać Windows Hello za pomocą zdjęcia w bardzo niskiej rozdzielczości, dodatkowo zmodyfikowanego w taki sposób, aby przedstawiało kolory bardzo bliskie spektrum podczerwieni. Okazało się, że atak się udawał, a ponadto, nawet w trakcie działania funkcji „enhanced anti-spoofing”, uwierzytelnianie upoważniało użytkownika do przejścia dalej. W niektórych przypadkach jedynie „wymagano” zdjęcia o nieco wyższej rozdzielczości (która i tak była niska).
Microsoft już odpowiedział na ten problem w wersji 1709 Windows 10 pojawiła się poprawka, która wprowadziła wcześniej wspominaną funkcję „enhanced anti-spoofing”, która wydaje się być odporna na tego typu ataki. Jest w tym jednak pewien haczyk – aby działała ona poprawnie, użytkownik musi jeszcze raz skonfigurować Windows Hello na swoim urządzeniu. Jeżeli tego nie robi, poprawka na nic się nie zda, w dalszym ciągu będzie można zalogować się odpowiednio spreparowanym zdjęciem.
Czy uwierzytelnianie twarzą jest do końca bezpieczne?
Według mnie, najlepszą dotychczas wymyśloną formą logowania do urządzeń jest… odcisk palca. Uniwersalny, bezproblemowy i o odpowiednim poziomie bezpieczeństwa. Jeżeli ktoś życzy sobie znacznie bardziej zaawansowanej metody ochrony przed nieuprawnionym dostępem do urządzenia, może spróbować skanera tęczówki. Ten w Lumii 950 działał naprawdę dobrze. Samsung Galaxy Note 8 oferuje podobny mechanizm. Logowanie twarzą właściwie od premiery iPhone’a X wywołuje całkiem sporo kontrowersji – również dlatego, że wielokrotnie udowodniono błędy w trakcie działania mechanizmu FaceID. Dlatego też, nie podejrzewam, żeby skanery odcisków palca właśnie były w odwrocie – szczególnie, że już niedługo nastąpi premiera pierwszego sprzętu z sensorem zatopionym w wyświetlaczu.
Więcej z kategorii Bezpieczeństwo:
- Google nie będzie śledzić indywidualnych użytkowników po likwidacji ciasteczek firm trzecich
- Aplikacja LastPass śledzi użytkowników na Androidzie. Czy jest się czego obawiać?
- LastPass z kluczową funkcją tylko dla płacących użytkowników. Jakie są alternatywy?
- Patryk Vega, polski komunikator i Mosad. Co tu się w ogóle wydarzyło?
- Hakerzy chcieli zatruć wodę. Powstrzymano ich w ostatniej chwili
