Wstępniak na nowy tydzień: obowiązkowa biometria w interesie wszystkich?

Wstępniak na nowy tydzień: obowiązkowa biometria w interesie wszystkich?01.02.2016 15:50

Nie byłem nigdy dotąd zwolennikiem stosowania biometrii jakomechanizmu zabezpieczającego – przynajmniej w takich schematachuwierzytelniania, w których jakiś cielesny aspekt użytkownikastaje się jego hasłem. Nie tak dawno wpadł mi w ręce (do testów)smartfon z czytnikiem linii papilarnych tak sprawnym, że praktycznienikt spośród tym, którym go pokazałem nie miał wątpliwości, żewoli do czytnika przyłożyć palec niż wpisywać PIN. Wygodawygrała z bezpieczeństwem, a moje uwagi w rodzaju „a co zrobisz,jak napastnik obetnie ci palec” traktowane były raczej jako żart.Panie i panowie, wygląda na to, że rok 2016 będzie rokiem realnegowejścia biometrii pod strzechy, rozwiązując jednocześnieproblemy użytkowników z hasłami, jak i problemy tzw. służb zhasłami.

Tani chiński telefon to tylko jedna z biometrycznych jaskółek,jakie pojawiły się na horyzoncie, i to wcale nie najważniejsza. Odzeszłego roku słychać dudnienie kroków nadciągającego ku namgiganta, stowarzyszenia FIDO, przekonanego że hasła to problembezpieczeństwa dla całego Internetu. Jego członkami są m.in.Google, Microsoft, Samsung i PayPal, a ich wspólnym dziełem jestukończona już specyfikacja standardu zarówno jedno- jak idwuetapowego uwierzytelnienia, w którym nie ma miejsca na hasła.Specyfikacja to nic – FIDO ogłosiło program certyfikacji dlaaplikacji, mający zapewnić, że będą one poprawnie przetwarzałydane biometryczne i działały na każdym zgodnym ze specyfikacjąsystemie. Biznes jest zachwycony, choć deklaracja Microsoftu, że zcertyfikowaniem Windowsa 10 dla FIDO poczeka do kolejnej wersjistandardu uświadomiła, że jeszcze sporo jest tu do zrobienia.

Tam jednak gdzie Microsoft jest względnie ostrożny, Googletryska entuzjazmem. Na liście najważniejszych projektów firmy zMountain View na ten rok znalazł się Project Abacus, mający nazawsze skończyć z hasłami, zastąpionymi przez zbiórbiometrycznych pomiarów. Urządzenia i aplikacje miałyby byćblokowane i odblokowywane w oparciu o punktację zaufania, biorącąsię z prowadzonej 24 godziny na dobę biometrycznej analizyużytkownika. Tak, byśmy byli bezpieczniejsi, Google chce, bysmartfony obserwowały nas non stop, gromadząc dane o naszejlokalizacji, wyglądzie, a nawet sposobach chodzenia, pisania imówienia. Nakarmione tymi danymi urządzenia będą po prostuwiedziały, że Kowalski to Kowalski bez konieczności przechodzeniajakichkolwiek sformalizowanych procesów uwierzytelniania.

Zdaniem inżynierów Google'a, Abacus ma być znacznie lepszy, niżstosowane do tej pory dwuetapowe uwierzytelnianie z wykorzystaniemsmartfonu. Jego piętą achillesową jest ryzyko związane z utratąsmartfonu – ukradziony czy zgubiony, zabiera ze sobą dostęp dowszystkich kluczowych usług online, do prywatnych danych ikontaktów. Tutaj, cokolwiek by się z użytkownikiem nie stało,Abacus i tak sobie poradzi. Nie masię co obawiać, że po tym jak złamiemy nogę, Abacus odmówidostępu do poczty. W końcu rozpoznajemy naszych znajomych nawetwówczas, gdy mają nogę w gipsie… chyba że ich w całości„zmumifikowano”. Ale to tylko detal, zapewne ktoś, kto zostałbytak fizycznie uszkodzony, by Abacus nie mógł go rozpoznać, miałbypewnie większe problemy, niż niemożność zalogowania się doGmaila.

Google I O 2015 Project Abacus ATAP

Prezentację prototypu Abacusamogliśmy zobaczyć podczas zeszłorocznego Google I/O. Prowadzącaje wtedy p. Regina Dugan stwierdziła wówczas, że tenalgorytmiczno/probabilistyczny system scoringu tożsamościużytkownika, wykorzystując analizę gestów, ruchów, pisaniamówienia i twarzy jest dziesięciokrotnie bezpieczniejszy (podwzględem dostarczanej entropii) niż zwykły czytnik liniipapilarnych i stokrotnie bezpieczniejszy od zwykłego czterocyfrowegoPIN-u.

I trudno się z tym nie zgodzić.Multimodalne zabezpieczenie byłoby znacznie trudniejsze dosforsowania dla hakerów niż samo hasło, a nawet hasło wspieraneskanem linii papilarnych. Z tym, że urządzenia mobilne nieustanniegromadzą dane o aktywności swoich użytkowników ludzie zdołalisię już pogodzić. Prywatność łatwo się składa w ofierze naołtarzu wygody, oferowanej przez dostawców usług internetowych.Jeśli więc Abacus zostanie dopracowany, dostanie ładny izrozumiały dla końcowego użytkownika interfejs, można sobiewyobrazić, że może stać się podstawowym mechanizmemuwierzytelniania w którymś z kolejnych wydań Androida, a możenawet zostać dostarczonym na starsze urządzenia, w ramach jakiejśdostarczonej producentom smartfonów łatki bezpieczeństwa.

W ten sposób Google rozwiązałobyproblem bezpieczeństwa danych użytkowników w sposób jaknajbardziej zgodny z trendami informatycznej mody… a zarazemrozwiązałoby jeszcze jeden problem, o którym jednak publiczniemówić nie wypada. Chodzi o bezpieczeństwo danych użytkownikówprzed organami ścigania. Jak potwierdzają wysocy rangą agencisłużb wywiadowczych i oficerowie policji, postęp w dziedzinietechnik kryptograficznych uczynił czynności operacyjne znacznietrudniejszymi niż kiedyś. Nie trzeba tu żadnych specjalnychurządzeń ni kosztownego, lub trudnego w obsłudze oprogramowania –nawet popularne smartfony oferują dziś mechanizmy zabezpieczeniadanych, którego służby nie potrafią złamać. Schwytaniepodejrzanego z takim smartfonem w ręku daje zwykle mniej tropów czydowodów rzeczowych, niż kilkadziesiąt lat temu jeszcze dawałozłapanie podejrzanego z notesikiem.

Konsekwencje takiego stanu rzeczyzaczęły pojawiać się bardzo szybko. Coraz więcej państw, naczele z Wielką Brytanią (krajem, który przypomnijmy uczynił jużprzestępstwem odmowę wydania kluczy czy haseł do zaszyfrowanychdanych) zaczyna mówić o delegalizacji urządzeń, którewykorzystywałyby kryptografię niemożliwą do sforsowania przezorgany ścigania. Która korporacja w obliczu groźby delegalizacjiswojego produktu się nie ugnie i nie zdecyduje na wprowadzenie dooprogramowania furtek? Jednak takie rozwiązanie ma bardzo krótkienogi – tylna furtka dla służb to jednocześnie tylna furtkawpierw dla utalentowanych hakerów, a z czasem nawet dlascript-kiddies, które po którejś tam konferencji DEFCON zacznąkorzystać z gotowych modułów Metasploita do obchodzeniazabezpieczeń Androida czy iOS-a.

Silny biometryczny systemuwierzytelniania stanowi rozwiązanie znacznie pewniejsze. Z jednejstrony będzie skutecznie chronić Zwykłego Użytkownika, który doukrycia ma jedynie zdjęcia (pełnoletniej) narzeczonej i dostęp dokonta w banku, z drugiej w razie czego, gdyby jednak trzeba było dodanych na telefonie dotrzeć, to nie ma problemu – zgarniającZwykłego Użytkownika ze smartfonem, zgarniamy jednocześnieucieleśniony login i hasło do jego danych.

Powiecie pewnie, że niewiele sięzmienia, że hasło do zaszyfrowanego urządzenia można zawszewydobyć za pomocą kryptoanalizy gumową pałką, ale to nie dokońca tak jest – pobicie przesłuchiwanego nie wchodzi w grę wwiększości nowoczesnych demokracji. O tym zaś, że są ludzie,których nie przeraziło więzienie za odmowę wydania klucza/hasłaniech świadczy sprawa z 2007 roku, kiedy to kilku obrońców prawzwierząt zostało w Wielkiej Brytanii skazanych na kilkanaściemiesięcy kary pozbawienia wolności właśnie za odmowę wydaniahaseł. Wszystko to na mocy ustawy Regulation of Investigatory PowersAct 2000, zdaniem wielu naruszającej prawo podejrzanych do odmowyzeznań przeciwko sobie.

Na tle krajów Zachodu Polskawypada póki co jeszcze bardzo dobrze; choć trudno wskazaćkonkretne przepisy odnoszące się do takich akurat spraw. KodeksPostępowania Karnego jasno określa, że oskarżony może skorzystaćz prawa do odmowy zeznań, ustanowionego po to, aby nikt nie byłzmuszony do dostarczania dowodów choćby tylko pośredniowymierzonych przeciwko niemu samemu (182 § 3 i 416 § 3 kpk). Znówjednak sytuacja, w której telefon sam się odblokowuje w samej tylkoobecności podejrzanego, z trudem mogłaby być podciągnięta podzmuszanie do złożenia zeznań.

Idzie więc nowe – i nie bardzowiadomo, jak je zatrzymać, skoro tak korzystne jest dla wszystkichzainteresowanych, za wyjątkiem być może tych, którzy przecież sądomyślnie „źli” – terrorystów, pedofilów, handlarzynarkotyków i innych zakał społeczeństwa. Co prawda jeszcze w 2010roku komisja bioetyki przy francuskim rządzie, kierując sięniewątpliwie myślą filozoficzną Michela Foucaulta, uznałabiometrię za część rozwoju państwa totalnego, w którymprzekształcenie ludzkiego ciała w zbiór biometrycznych parametrówprowadzić ma do odczłowieczenia osoby i naruszenia godnościczłowieka. Któż jednak by się przejmował ostrzeżeniamifilozofów, gdy w grę wchodzi władza i zysk? Wartośćbiometrycznej identyfikacji jest przecież większa dla korporacjiniż dla jednostek, które z niej by korzystały.

Tyle na początek nowego tygodniai nowego miesiąca od rednacza. A co na naszym podwórku? Zajmiemysię kwestią jakości muzyki w modelu psychoakustycznym, sprawdzimyjak znaleźć pomoc w razie problemów z autem, sprawdzimy, czyOLED-y faktycznie są tak dobre, jak je malują i zobaczymy, czymożna użyć słów „poczta elektroniczna” i „prywatność”w jednym zdaniu. Przetestujemy też najlepsze aplikacje dozarządzania osobistymi finansami, a w labie pojawi się kilkaciekawych urządzeń. Zapraszam!

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na