با عمومیت یافتن تکنولوژیهای موبایل و بحث امنیت آن در سطح جامعه، پیشرفت در این حوزه نیز با سرعت بیشتری ادامه پیدا کرده و حالا بسیاری از ما حداقل یک دستگاه هوشمند در اختیار داریم که احساس میکنیم امنیت بالایی دارد. دستگاههای جدید به همراه بهروزرسانیهای نرمافزاری مداوم عرضه میشوند تا این اطمینان را داشته باشیم که بدافزارها و تهدیدات شایع در حوزه امنیت، دیگر قادر به آسیب رساندن به ما نیستند. شاید برخی از ما امیدوار بودیم که امنیت مجازی در بازار تکنولوژیهای مصرفی کارآمدتر و مستحکمتر بود. اما با پیشرفت سریع تکنولوژیهای موبایل، این امکان برای هکرها فراهم شده تا برای نفوذهای خودشان روشهای جدیدی در این تکنولوژیهای نوظهور پیدا کنند.
شاید علاقهای به دانستن جزییات در حوزه امنیت موبایل نداشته باشید، اما مطمئنا برای حریم خصوصی خودتان ارزش قائل بوده و به همین دلیل این سوال را مطرح میکنیم که کدام روش برای قفل کردن گوشی هوشمندتان مناسبتر است؟ روشهای امنیتی بیومتریک یا غیربیومتریک؟
بیومتریک و غیربیومتریک چه تفاوتی دارند؟
بیومتریک در واقع به معنی اطلاعات زیستی هر فرد است که میتواند موارد قابل دسترسی مانند اثرانگشت و یا موارد پیچیدهتر مانند DNA هر فرد باشد. اما همانطور که حدس زدهاید ما در این مطلب به تایید هویت با استفاده از اطلاعات زیستی که در گوشیهای هوشمند جدید استفاده میشوند خواهیم پرداخت. در واقع بهطور خلاصه میتوان گفت با این روشهای جدید تایید هویت، شما رمز عبور خودتان هستید.
در یک گوشی هوشمند این قابلیت بدین صورت انجام میشود که شما ابتدا امکان تایید هویت زیستی را فعال کرده و سپس با ارائه یک نمونه زیستی، گوشی شما آن را به اطلاعات دیجیتالی تبدیل کرده و بهصورت فقط قابل خواندن (Read-Only) ذخیر میکند. از آنجایی که اطلاعات شما به این صورت ذخیره شدهاند، شاید تصور کنید که دیگر قابل تغییر یا در معرض خطر نیستند. اما اشتباه نکنید، چون این اطلاعات در واقع در جایی در یک دستگاه که هر لحظه ممکن است با مشکلی مواجه شود، ذخیره شدهاند. زمانی که بخواهید قفل گوشی خود را باز کنید، نمونهای زیستی از شما خواسته میشود و با مطابقت دادن آن با نمونه ذخیره شده، اگر هویت شما تایید شود میتوانید به گوشی خود دسترسی پیدا کنید و اگر اینگونه نبود شما نمیتوانید به آن گوشی دسترسی داشته باشید.
اما روشهای امنیتی غیرزیستی شامل مواردی همچون رمزعبور، پینکد و یا الگوهای دلخواه میشوند. زندگی دیجیتالی ما تا همین چند وقت پیش، کاملا در سلطه رمزهای عبور بوده است. ما از این روش برای افزایش امنیت حسابهای کاربری فیسبوک، توییتر، جیمیل، یاهو و حتی حسابهای بانکی خود استفاده میکردیم. حداقل بر روی کاغذ، رمزهای عبور امنیت پایینتری را نسبت به تایید هویت زیستی ارائه میدهند، اما آیا روشهای امنیتی زیستی بدون اشکال هستند؟
بگذارید این طور بگوییم که رمزهای عبور در واقع در سطح پایینی از امنیت قرار میگیرند چراکه همواره ترکیب از حروف الفبا و اعداد محدود هستند. بنابراین یک هکر سختکوش (و پیگیر!) با صرف زمان و آزمون و خطا ممکن است بتواند رمز عبور شما را حدس بزند. علاوه بر این ممکن است کسی در هنگام وارد کردن رمز عبور یا الگوهای نقطهای، نحوه حرکات دست شما را دیده باشد و در زمان دیگری به سراغ گوشی شما رفته و با تقلید حرکات شما رمزعبور یا الگوی وارد شده را حدس بزند. البته درست است که برای رفع چنین مشکلاتی یک سری محدودیتها مانند امکان وارد کردن حداکثر چندبار رمز یا الگوی اشتباه ارائه شده، اما این موارد نیز بههیچ عنوان نمیتوانند بهصورت تضمینی امنیت دستگاه و اطلاعات درونش را تامین کنند. به همین دلیل سنسورهای اثرانگشت به سرعت خود را بازار مصرفی گوشیهای هوشمند جا انداخته و این روزها این سنسورها را حتی در گوشیهای میانرده یا ارزانقیمت هم میبینیم.
“رمزعبوری که وارد کردهاید اشتباه است”
شاید الان این سوال برای شما مطرح شده باشد که مگر رمزهای عبور چه مشکلی دارند؟ خب همانطور که پیشتر گفتیم این رمزها ترکیبی از حروف الفبا و اعداد محدود هستند. بله درست است که یک فرد غریبه با احتمال خیلی پایین قادر به حدس زدن رمزعبور شما خواهد بود، اما همیشه اینطور نیست. مثلا فرض کنید شما تاریخ تولد یا اطلاعاتی مربوط به خودتان را بهعنوان رمز عبور قرار داده باشید، در چنین مواقعی اگر فرد مجرم یکی از نزدیکان و کسی که شما را به خوبی میشناسد باشد، شانس لو رفتن رمزعبورتان بسیار بالا میرود. در واقع هک شدن رمزعبور گوشی شما توسط یکی از عزیزان و نزدیکان یکی از مواردی است که باعث میشود یک روش امنیتی قویتر را انتخاب کنید!
اما اگر از حروف بزرگ و کاراکترهای مخصوص در رمز عبور خودتان استفاده کنید چطور؟ آیا امنیت دستگاه شما افزایش پیدا میکند؟ در واقع پاسخ منفی است.
این نظر ما نیست و در واقع این حرف را بیل بوری میزند که سالها برای افزایش امنیت رمزهای عبور تلاش کرده و معتقد است استفاده از حروف بزرگ، اعداد و یا کاراکترهای خاص کمکی به افزایش امنیت رمزعبور شما نخواهند کرد. گفتنی است وی مدیر سابق موسسه ملی استانداردهای حوزه تکنولوژی بوده است.
در سال 2003، بور یک راهنمای هشت صفحهای برای آموزش کاربران جهت تولید رمزهای عبور قوی طراحی شد که هنوز هم بسیاری از رمزهای عبور ساخته شده توسط ما در واقع از همان راهنما الهام گرفتهاند. اما بور اخیرا بهطور صریح اعلام کرد که در آن زمان دانش بسیار محدودی نسبت به رمزهای عبور و نحوه کارشان داشته و بهنوعی از کاربران برای اینکه آنها را وادار به ساختن رمزهای عبور پیچیده و دشوار که هیچ کمکی به افزایش امنیت دستگاههای مختلف نمیکرده، پوزش خواسته است.
ما اکنون میدانیم که رمزعبوری شامل رشته کلمات ساده و نامرتبط با یکدیگر نسبت به یک رمزعبور شامل ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص، امنیت بیشتری را ارائه میدهد.
اما حتی اگر از این روش هم برای ساختن رمزهای عبور خودتان استفاده کنید و با تمرین و تکرار به خیال خودتان رمزهای عبور غیرقابل حدس زدن بسازید باز هم این حقیقت را نمیتوان انکار کرد که در روزگار فعلی ما بیش از هر زمانی در معرض خطر هک شدن قرار داریم. دیگر تنها راه دسترسی شما به دنیای دیجیتالی گوشی هوشمند یا کامپیوتر شخصیتان نیست. ساعتهای هوشمند، گجتهای پوشیدنی دیگر، تبلتها، هابهای متصل به اینترنت، تلویزیونهای هوشمند و صدها وسیله و تکنولوژی متصل به اینترنت دیگر که هر روزه به تعداد آنها افزوده میشود تنها چند نمونه از مواردی هستند که ما در آنها حسابهای کاربری و اطلاعات شخصی خودمان را نگهداری میکنیم و خبر بد اینکه مانند گوشی هوشمند شما که غیرقابل نفوذ نیست، این دستگاهها نیز همواره در معرض خطر نفوذ قرار دارند.
اگر یک راه نجات و افزایش امنیت برای رمزهای عبور ترکیبی از حروف الفبا و اعداد وجود داشته باشد، آن تایید هویت دو مرحلهای خواهد بود. در این روش شما با وارد کردن رمزعبور، امکان دسترسی پیدا نخواهید کرد. با وارد کردن رمز عبور، شما فقط مرحله اول تایید هویت را پشت سر گذاشته و حالا باید کدی (معمولا حاوی چند عدد) را که به شماره تلفن شما فرستاده شده و یا در تماس صوتی به شما گفته میشود نیز وارد کنید تا بتوانید به دستگاه یا حساب کاربری خودتان دسترسی پیدا کنید.
اگرچه این روش امنیت به مراتب بیشتری نسبت به رمزعبور دارد اما استفاده از آن غالبا در حسابهای کاربری اینترنتی منطقی بوده و خیلی در زمینه قفل کردن گوشی هوشمند یا تامین امنیت آن کارایی نخواهد داشت. برای مثال اگر از این شیوه برای امنیت گوشی هوشمند خود استفاده کنید و در مکانی خارج از پوشش شبکه یا در حین پرواز باشید، از آنجایی که برای ارسال کد نیاز به نوعی ارتباط خواهد بود، شما امکان باز کردن قفل گوشی و استفاده از آن را از دست دادهاید. البته برای حل این مشکل هم میتوانید از یک اپلیکیشن در دستگاهی دیگر و یا ابزاری مانند YubiKey را مورد استفاده قرار دهید، اما طبیعتا برای کاربری که در طول روز چندین بار به سراغ گوشی خود میرود، این کار اصلا منطقی نیست.
الگوها نیز یکی دیگر از موارد محبوب در حوزه امنیت گوشیهای هوشمند هستند. وارد کردن رمزهای عبور میتواند کمی زمانبر و دشوار باشد، خصوصا اگر از یک رمزعبور پیچیده استفاده میکنید باید تمام حواستان به درست تایپ کردن آن باشد. اما الگوها روشی آسان و بسیار سریعتر را برای باز کردن قفل گوشی ارائه میدهد که حتی با یک دست هم میتوان به راحتی از آن استفاده کرد.
برای تنظیم یک الگو شما 9 نقطه که شامل سه ردیف سه تایی میشود در اختیار دارید. کافیست نقاطی که مدنظرتان هست را به یکدیگر وصل کنید. شما میتوانید خطوطی را بین سه، پنج و یا ده نقطه بکشید و یا الگوهایی سخت و آسان را بنابر علاقهتان طراحی کنید. پس از ذخیره این الگوی ساخته شده، برای هر بار باز کردن قفل گوشی باید مجددا این لگو را بر روی 9 نقطه موجود بکشید تا به گوشی خود دسترسی پیدا کنید.
علاوه بر امکان استفاده از یک دست، بسیاری از کاربران تمایل به استفاده از الگوهای نقطهای برای حفظ امنیت گوشی هوشمندشان دارند. این روش باتوجه به حافظه عضلانی یا حرکتی که در هر انسانی وجود دارد، به آنها اجازه میدهد بدون فکر کردن و زحمت تایپ رمزعبور، خیلی سریع الگوی تعیین شده را رسم کنند. اما یکی از بزرگترین معایب این روش، امکان مشاهده حرکات انگشت شما بر رو صفحه نمایش توسط افراد دیگر است. از آنجایی که فقط 9 نقطه برای رسم این الگوها در نظر گرفته شده، کار هکرها یا افراد مجرم برای حدس زدن الگوی شما نسبت به رمزهای عبور بسیار آسانتر خواهد بود. بدتر آنکه به گفته کارشناسان تقریبا نیمی از الگوها از گوشه بالا و سمت چپ آغاز میشوند.
در میان تمام روشهای تامین امنیت غیرزیستی، رمزهای عبور بدونشک امنترین گزینه را ارائه می دهند؛ خصوصا اگر بدانید چگونه یک رمزعبور مناسب را ایجاد کنید. اما اگر امنترین راه ممکن برای تایید هویت را بخواهید، آیا باید به سراغ روشهای زیستی بروید؟
رمزعبور خود شما هستید
تا پیش از عرضه فبلت ناکام گلکسی نوت 7 به بازار، کاربران تنها یک گزینه برای تایید هویت برپایه اطلاعات زیستی داشتند که آنهم حسگرهای اثرانگشت بود. این حسگرها در واقع چند سالی است که در گوشیهای هوشمند دیده میشوند. این قابلیت آنقدر محبوب و مهم شد که اخیرا حتی آن را در موارد ارزانقیمتی مانند ZTE Blade Spark و یا iPhone SE نیز مشاهده کردیم. اما این روزها قابلیت جدیدی تحت عنوان اسکنر عنبیه چشم ارائه شده که دیگر فقط محدود به گلکسی S8 و نسخه پلاس و یا گلکسی نوت 8، نیست. باید صبر کرد و دید در سالهای آینده چه قابلیتهای در زمینه امنیت بیومتریک معرفی خواهند شد.
بیایید با حسگرهای اثرانگشت شروع کنیم. انواع مختلفی از تکنولوژی را در این بخش میتوان دید اما بهطور کلی تمامی آنها یک ویژگی مشترک دارند و آنهم خازنی(حساس به حرارت و پوست) بودن است. در این زمینه حسگرهای اولتراسونیک(فراصوت) امنیت به مراتب بالاتری را ارائه میدهند اما بهرهگیری از آنها در بدنه یک گوشی هوشمند چالشی است که مشخص نیست چه زمانی تولیدکنندگان در آن پیروز خواهند شد.
یک حسگر اثرانگشت خازنی از تعداد زیادی خازن کوچک تشیکل شده که با فاصله بسیار کم در کنار یکدیگر چیده شدهاند. این خازنها حساسیت بسیار بالایی نسبت به تغییرات در تخلیه بار الکتریکی دارند. زمانی که انگشت شما بر روی حسگر قرار میگیرد، براساس سطوح مختلف بار الکتریکی که از پستی بلندیهای میکروسکوپی سطح پوست شما ناشی شده است، تصویری مجازی از اثرانگشت شما تشکیل میشود. حسگرهای نوری اثرانگشت ممکن است با یک تصویر با کیفیت از اثرانگشت شما فریب بخورند، اما در این تکنولوژی به علت آنکه ساختار فیزیکی اثرانگشت شما بهطور کامل اندازهگیری و سنجش میشود امکان وجود چنین مشکلاتی منتفی خواهد بود. به احتمال زیاد اثرانگشت در حال حاضر امنترین شیوهای است که میتوانید امنیت گوشی هوشمند خود را با آن فراهم کنیم، اما این فناوری تا چه حدی امن است؟
متاسفانه حتی روشهای امنیتی زیستی نیز بدون نقص نیستند. درواقع کایل لیدی، مهندس ارشد بخش تحقیق و توسعه موسسه Duo Security، معتقد است تکنولوژی زیستی در گوشیهای هوشمند یک نوع راحتی را نسبت به روشهای امنیتی موجود مانند رمزهای عبور یا الگوهای نقطهای ارائه میدهد. به گفته وی، این تکنولوژی فقط از این نظر متفاوت بوده و نسبت به روشهای مرسوم و قدیمی هیچ مزیت یا ضعفی از نقطه نظر امنیت ندارد.
این حرف درست است چرا که اکثر کاربران به علت سادگی استفاده از اثرانگشت به استفاده از این روش روی آوردهاند. کایل میگوید در واقع اثرانگشت روشی سریع است که در آن امنیتی در حد یک رمزعبور مناسب و امن ارائه میشود. خانم کایل در شرکتی کار میکند که اپلیکیشن امنیتی محبوب Duo Mobile عرضه شده است. این اپلیکیشن امنیت گوشی شما را تامین کرده و از چند نوع روش تایید هویت استفاده میکند. به گفته کایل چیزی در حدود 84 درصد از کاربران از اثرانگشت برای تایید هویت در این برنامه استفاده میکنند.
پروفسور دیوید راجرز، مدیرعامل موسسه مشاوره و امنیت موبایل Copper Horse و سخنران دانشگاه آکسفورد نیز دیدگاه مشابهای دارد. وی به همراه دانشجویانش در چالشی جالب تصمیم گرفتند روشهای تایید هویت موجود در گوشیهای هوشمند جدید را به نوعی فریب دهند. اما نتیجه جالبتر است، آنها توانستند تمام روشها را به خوبی دور بزنند و برای فریب حسگر اثرانگشت نیز فقط به یک فنجان قهوه نیاز داشتند.
پروفسور راجرز میگوید ما با استفاده از انگشتهای ساختگی از جنس لاستیک موفق شدیم حسگر اثرانگشت را فریب بدهیم. این نوع لاستیک که شبیه به مواد سیلیکونی است، به اندازهی کافی اثرانگشت را جذب میکند تا بتوان با آن حسگر اثرانگشت خازنی را فریب داد.
وی همچنین اشاره کرد که اگر تصویری با کیفیت از اثرانگشت که با جوهرهای رسانا چاپ شده باشد در اختیار داشته باشید، میتوانید حسگر را فریب دهید؛ چرا که این نوع چاپ میتواند تفاوت در بار الکتریکی را که حسگر اثرانگشت به دنبال آن میگردد، شبیهسازی کند. جالب اینکه هر دو مورد (انگشتهای لاستیکی و جوهر رسانا) از جمله مشکلاتی هستند که از دهه 90 میلادی در حوزه حسگرهای اثرانگشت وجود داشتهاند.
اما مشکلات این روش تایید هویت به این موارد ختم نمیشود. تخمینهایی وجود دارند که نشان میدهند یک حسگر اثرانگشت تا چه حد دقیق و امن هستند. در واقع شرکتهایی مانند اپل این تخمینها را به صورت آمار منتشر میکنند. برای مثال این شرکت اعلام کرده که به احتمال 1 در 50000 ممکن است اثرانگشت اشتباه باعث باز شدن قفل گوشی شود. اما این آمار فقط مربوط به اثرانگشت یکی از انگشتان دست است، اگر تمام ده انگشت را در نظر بگیرید و نمونه آن توسط حسگر اثرانگشت ذخیره شده باشد، این احتمال به 1 در 5000 افزایش پیدا خواهد کرد.
متاسفانه گوگل هیچگونه آمار و تخمینی از میزان پایداری و امنیت حسگرهای اثرانگشت موجود در دستگاههای اندرویدی ارائه نداده است. پروفسور راجرز میگوید اگرچه سختافزار و نرمافزار اصلی در این مورد معمولا بسیار قوی و کارآمد هستند، اما شرکتهای تولیدکننده گوشیهای هوشمند در اغلب موارد تغییرات گستردهای در آنها اعمال میکنند و به همین دلیل واقعا نمیتوان گفت آیا تمام حسگرهای اثرانگشت امن هستند یا خیر.
با این تفاسیر آیا روشهای تایید هویت زیستی بهتر از رمزهای عبور هستند؟ بگذارید این مورد را با مثالی توضیح بدهیم. فرض کنید ما هکر باشیم و میخواهیم به گوشی فردی نفوذ کنیم. میدانیم این گوشی با یک رمزعبور هشت کاراکتری محافظت میشود که احتمالا از حروف کوچک و بزرگ، اعداد، علائم نشانهگذاری و کاراکترهای خاص تشکیل شده است. اگر بخواهیم بهصورت ریاضی حالتهای مختلف و ممکن برای این رمزعبور هشت کاراکتری را حساب کنیم چیزی در حدود 3.026 × 1015 ترکیب خواهیم داشت. خب کدام امنتر است؟ اینکه حسگر اثرانگشت را فریب بدهیم یا رمزعبور را حدس بزنیم؟ واقعیت این است که حتی اگر به دفعات نامحدود قادر باشیم رمزعبور را حدس زده و وارد کنیم و البته وقت این کار را هم داشته باشیم، باز هم این دو روش امنیتی از یکدیگر متفاوت هستند و به صورت مستقیم نمیتوان آنها را مقایسه نمود.
شاید از خودتان بپرسید وقتی حسگرهای اثرانگشت امنیت بیشتری را فراهم نمیکنند اصلا چرا باید از آنها استفاده کرد؟ خب واقعا نمیتوان به این صورت قضاوت کرد، حتی اگر آمارها و تخمینهای منتشر شده اینگونه بهنظر برسند. برای مثال شما انگشت خود را بر روی سنسور اثرانگشت قرار داده و قفل گوشی را باز میکنید. اگر صد نفر هم شما را در حین انجام این کار ببینند فرقی به حالشان نخواهد کرد، چون قادر به تقلید اثرانگشت شما نیستند. اما فرض کنید در هنگام وارد کردن رمزعبور فقط یک نفر در کنار شما ایستاده و آن را مشاهده کند.
تایید هویت با اثرانگشت تنها شیوه امنیت زیستی موجود در دستگاههای اندرویدی نیست. درواقع شاید تعجب کنید وقتی بدانید قابلیت تشخیص چهره قبل از محبوب شدن اثرانگشت ارائه شده بود.
تشخیص چهره که در حال حاضر در برخی گوشیهای هوشمند اندرویدی و بهتازگی در آیفون X وجود دارد، یک روش تایید هویت زیستی محسوب میشود چرا که چهره شما بهعنوان رمزعبور در نظر گرفته میشود. اما بهطور کلی این قابلیت قابل قیاس با اثرانگشت نیست و با یک تصویر با کیفیت از چهره فرد میتوان به راحتی این نوع تایید هویت را فریب داد. در این زمینه یک ویدیوی جالب منتشر شده که در آن کاربری با عکس سلفی خود در گوشی گلکسی اس7 توانست قابلیت تشخیص چهره گوشی گلکسی S8 را فریب بدهد. به همین دلیل این روش ناامن بهنظر رسیده و اساسا با اصول روشهای امنیت زیستی در تضاد قرار میگیرد. البته تکنولوژی بهکار رفته در آیفون X کاملا متفاوت بوده و هنوز فرصتی برای تست دقیق آن نبوده است.
نوعی دیگر از تایید هویت برپایه اطلاعات زیستی تشخیص صدا است که با عنوان Trusted Voice یا صدای تایید شده در مجموعه قابلیتهای امنیتی گوگل (شامل مکانهای قابل اعتماد و قفل هوشمند) ارائه شده است. بهطور کلی این قابلیت بدین صورت کار میکند که شما عبارتی را که با آن دستیار صوتی گوگل را فعال میکنید (اوکی گوگل)، بیان کرده و گوشی با تشخیص آن از حالت قفل خارج خواهد شد. متاسفانه این روش نیز همانند تشخیص چهره امنیت بسیار پایینی را ارائه میدهد. در واقع زمانی که قصد فعال کردن این قابلیت را دارید، پیغام هشداری دریافت میکنید که به شما میگوید ممکن است فردی با صدای مشابه، صدای شما را تقلید کرده و به گوشی دسترسی پیدا کند. چه صدای خاص و متفاوتی داشته باشید و چه اینطور نباشد، پیشنهاد میکنیم تا حد امکان از این روش استفاده نکنید.
اسکنر عنبیه چشم شیوهای دیگر برای تایید هویت با استفاده از اطلاعات زیستی است که در گوشیهای هوشمند جدید مشاهده میکنیم. سال گذشته این قابلیت را در فبلت گلکسی نوت 7 دیدیم و امسال نیز این قابلیت در گوشیهای گلکسی S8 و S8 پلاس عرضه شد. شرکتهای دیگری مانند نوکیا، آلکاتل، یومی و ZTE نیز از این قابلیت در محصولات آینده خود استفاده خواهند کرد. گفته میشود اسکنرهای عنبیه چشم بهترین سطح امنیت را به کاربران گوشیهای هوشمند ارائه میدهند، امنیتی حتی بالاتر از چیزی که در حسگرهای اثرانگشت دیدهایم. اما آیا این مطلب درست است و واقعا اسکن عنبیه چشم از اثرانگشت امنتر است؟
همانند اثرانگشت، عنبیه چشم (فضای بین مردک و سفیدی چشم) شامل خطوط رنگی هستند که رنگ چشم شما را تشکیل میدهند و از این رو منحصربهفرد محسوب میشوند. بدین منظور علاوه بر ضرورت وجود یک دوربین باکیفیت و شرایط نوری مناسب، با تابیدن نور مادون قرمز به چشم شما، این خطوط برجسته و واضحتر شده و در نتیجه گوشی هوشمند شما آنها را به راحتی تشخیص خواهد داد. پس از آن، این اطلاعات بهصورت کدهایی ذخیره میشوند تا در دفعات بعدی بهعنوان معیار تایید هویت مورد استفاده قرار بگیرند.
خب شاید الان پیش خودتان تصور کنید این دیگر امنترین شیوه برای تایید هویت کاربران خواهد بود. کاری به این نداریم که فریب دادن این روش نسبت حسگرهای اثرانگشت سادهتر است یا دشوارتر، اما متاسفانه باید به شما بگوییم این روش نیز بدون نقص نیست. تنها یک ماه پس از عرضه گلکسی S8 و S8 پلاس، روزنامه گاردین مقالهای در مورد گروهی از هکرهای آلمانی منتشر کرد که موفق شدند تکنولوژی اسکن عنبیه چشم سامسونگ را فریب بدهند. این هکرها در ابتدا عکسی با کیفیت از عنبیه چشم کاربر اصلی گوشی تهیه کرده و سپس با استفاده از پرینترهای سهبعدی و لنزهای تماسی یک چشم مصنوعی درست کردند. این عکس بهصورت دید در شب تهیه شد تا با تابش اشعه مادون قرمز جزییات بیشتری را نشان بدهد. به همین دلیل نمیتوان بهطور کامل بر روی قابلیت اسکن عنبیه که شرکتهای تولیدکننده گوشیهای هوشمند از آن با افتخار صحبت میکنند، بهعنوان یک راه کاملا امن برای تایید هویت حساب کرد.
در کل این واقعیت وجود دارد که تامین امنیت موبایل با استفاده از روشهای زیستی ویژگیهای خاص خودش را دارد. به گفته پروفسور راجرز، اگر به این موضوع فکر کنید متوجه خواهید شد که شما در واقع هر روز در حال اعلام رمزعبور خود به تمام دنیا هستید! اثرانگشت شما بر روی دستگیرههای در، ماگ قهوه، کاغذ و یا صفحهکلید کامپیوتر که با آن تایپ میکنید، عنبیه چشمتان که در هر عکس سلفی منتشر شده در فضای مجازی قابل مشاهده است، همگی حاکی است که اطلاعات زیستی شما نیز همواره در معرض سوءاستفاده قرار دارند. به همین دلیل وقتی میخواهید گوشی نوت 8 را بهعلت استفاده از قابلیت اسکن عنبیه چشمش بخرید و یا از قابلیت حسگر اثرانگشت گوشی هوشمند فعلیتان بهره ببرید، باید خوب به این واقعیتها فکر کنید.
آیا طرز فکر ما پیرامون این موضوع اشتباه است؟
صحبت از امکان به سرقت رفتن اطلاعات زیستی شد و بهتر است روشهای اصلی برای حفظ امنیت گوشیهای هوشمند خود را بهتر بشناسیم. پروفسور راجرز معتقد است سه نوع نفوذ معمولا کاربران را درگیر میکند و باعث میشوند تا حساسیت بیشتری نسبت به روشهای تایید هویت زیستی پیدا کنند، خصوصا اگر از اثرانگشت بهره میبرند.
اولین نوع حملات “حمله وقتی والدین خواب هستند” نام دارد. بهطور خلاصه این حملات زمانی که بچهها از انگشت والدین خود که در خواب هستند برای بازکردن قفل گوشی استفاده میکنند اتفاق میافتد. اگر والدین بیدار نشوند، بچه میتواند در تمام طول شب از انگشتان آنها سو استفاده کرده و مثلا خریدهای بدون اجازه انجام بدهد. اگرچه در مثالی که زدیم کاربر نفوذکننده یک کودک بود، اما این اتفاق ممکن است برای هر فردی که در کنار افراد دیگر (مانند خوابگاه) زندگی میکند نیز بیفتد. بنابراین اگر خواب سبکی ندارید پیشنهاد میکنیم از رمزعبور ترکیبی حرف و عدد استفاده نمایید.
نوع دیگر حملات “تایید هویت زوری” نامگذاری شده است. این حملات زمانی اتفاق میافتند که فردی بهزور شما را وادار میکند با استفاده از اثرانگشت یا اسکن عنبیه چشم خود، تایید هویت را انجام دهید و گوشی را از حالت قفل خارج کنید. راجرز میگوید این مورد معمولا در سرقتهای خیابانی بیشتر به چشم میخورد.
سومین نوع حملات به سرقت رفتن اطلاعات زیستی افراد است. این مورد معمولا برای افراد رده بالا مانند سلبریتیها، سیاسیون، مدیران عامل ثروتمند و امثال آن اتفاق خواهد افتاد. چند نفر از سلبریتیها در این زمینه مورد سو استفاده قرار گرفتهاند. شما همواره اطلاعات زیستی خود را در مکانهای مختلف برجای میگذارید و علاوه بر این، همانطور که تکنولوژی گوشیهای هوشمند ما در حال پیشرفت است، افراد مجرم نیز میتوانند روشهایی سریع، آسان و پایدارتر را برای دزدیدن این اطلاعات بهکار ببرند. این موضوع خصوصا در مورد اثرانگشت بسیار گران تمام میشود، کافیست نمونهای از این اطلاعات به دست افراد مجرم برسد تا بهراحتی امنیت شما را به خطر بیندازند.
بهترین انتخاب کدام است؟
اگر مقاله را بهطور کامل مطالعه کرده باشید احتمالا الان درک بهتری از شیوههای مختلف تامین امنیت گوشیهای هوشمند پیدا کرده و میدانید که بهترین و امنترین روش تقریبا وجود ندارد. بر روی کاغذ شاید تایید هویت زیستی امنیت بالاتری را ارائه بدهند اما حتی در شیوههایی مانند اسکن عنبیه چشم نیز نواقص امنیتی متعددی وجود دارد.
یکی از راهحلهای قابل دسترس استفاده ترکیبی از شیوههای امنیتی زیستی و غیرزیستی خواهد بود. برای مثال گوشیهای جدید سری گلکسی سامسونگ برای تایید هویت نیازمند اثرانگشت و اسکن عنبیه چشم کاربر بهصورت همزمان و یا ترکیب یکی از ایندو و یک رمزعبور هستند. همچنین اپلیکیشنهای مختلفی برای افزایش امنیت وجود دارند. برای مثال اپ Duo Mobile با استفاده از اطلاعات زیستی شما که در گوشی ذخیره شده به کاربر امکان استفاده از تایید هویت چندمرحلهای را میدهد.
اما از سادگی استفاده، بزرگترین مزیت تایید هویت با اطلاعات زیستی نمیتوان به راحتی گذشت. دیگر لازم نیست زحمت تایپ کردن رمز عبور عجیب و غریب را به خودتان بدهید ، کافیست انگشت خود را بر روی حسگر مخصوص گذاشته و یا گوشی را در مقابل صورت خود قرار دهید تا تایید هویت انجام شود. با پیشرفت بیشتر این نوع تایید هویت و ارائه راهکارهای سریعتر، تمایل کاربران به استفاده از آنها نیز افزایش پیدا خواهد کرد.
یکی دیگر از دلایلی که باعث میشود نتوانیم با قاطعیت بهترین و امنترین شیوه تایید هویت را مشخص کنیم، شرایط متفاوت کاربران است. برای مثال اگر شما یک سلبریتی معروف یا تیم کوک نیستید، احتمالا تایید هویت با استفاده از اثرانگشت و عنبیه چشم شما امنیت بسیار بالایی را برای شما به ارمغان خواهد آورد. حداقل از اینکه رمزعبور شما توسط کسی دیده شود خیالتان آسوده خواهد بود!
باز هم تاکید میکنیم که هیچکدام از روشهای زیستی و غیرزیستی بدون نقص نیستند، بنابراین تنها کاری که ما میتوانیم انجام دهیم این است که از بهترین روشی که با شرایط ما سازگاری دارد استفاده کرده، حواسمان را جمع کنیم و هر کدام از روشها و محدودیتهایشان را به خوبی بشناسیم.