Аутентификация по отпечатку пальца – удобная альтернатива паролям и PIN-кодам. Кому захочется тратить время на набор длинной строки цифр, букв и символов, когда достаточно простого нажатия?
К сожалению, за это удобство приходится платить. Потому что, в отличие от обычного пароля, вы оставляете отпечаток пальца на дверях такси, экранах iPhone и бокалах вина в местном ресторане.
В этой статье команда Kraken Security Labs показывает, насколько легко злоумышленникам обойти ваш любимый метод входа в систему.
Кража отпечатков пальцев
Нам даже не нужен прямой доступ к вашему отпечатку пальца, чтобы взломать ваше устройство или учетную запись. Все, что вам нужно сделать, это сфотографировать поверхность, которой вы коснулись (со стола в местной библиотеке до оборудования в ближайшем тренажерном зале).
Фотография отпечатка пальца жертвы на экране компьютера.
Имея это фото в нашем распоряжении, час в фотошопе дает достойный негатив:
Отпечаток пальца негатива с предыдущего фото.
Затем мы распечатаем изображение на ацетатном листе с помощью лазерного принтера – тонер создает на листе трехмерную структуру отпечатка пальца.
Ацетатный лист с нашим свежим принтом.
На последнем этапе мы добавляем немного столярного клея поверх отпечатка, чтобы оживить ложный отпечаток пальца, который мы можем использовать на сканере.
Создание синтетического отпечатка пальца.
Начать атаку
Держа отпечаток пальца в руке, просто поместите его на сканер.
Наш отпечаток пальца работает на MacBook Pro.
Нам удалось запустить эту хорошо известную атаку на большинство устройств, которые пришлось тестировать нашей команде. Если бы это была настоящая атака, у нас был бы доступ к широкому спектру конфиденциальной информации.
Защита от нападения
Отпечаток пальца не следует рассматривать как безопасную альтернативу надежному паролю. Таким образом, ваша информация – и, возможно, ваши криптовалюты – будут уязвимы для атак даже самых неопытных злоумышленников.
К настоящему времени должно быть ясно, что, хотя ваш отпечаток пальца уникален для вас, им все еще относительно легко пользоваться. В лучшем случае вам следует использовать его только как аутентификацию второго уровня (2FA).
Вы хотите повысить свою гигиену безопасности? Обязательно посмотрите наши Руководства центра поддержки для других советов по предотвращению распространенных ошибок безопасности.
Купить крипту на BINANCE и получить ваучер на 100USDT! Успей сейчас, предложение ограничено!