Биометрия: Пароль, который нельзя поменять

Всё более активное использование биометрических методов определения личности и защиты данных ожидаемо вызывает всё больше критики. То, что производители предлагают нам под маской последних технических инноваций, действительно способно во многих случаях облегчить нашу жизнь. Но сделает ли это её безопаснее?

Лишь в прошлом десятилетии открытие дверей или сейфов при помощи сканера радужки глаза можно было увидеть исключительно в кино. Сегодня же этот метод используется повседневно: в банках, в дата-центрах Google, в отдельных оборонных предприятиях различных стран. Биометрические данные можно применить для разблокировки телефона, для доступа к деньгам, для получения виз. И на всё это тратятся очень значительные средства. Это создаёт ложную уверенность в абсолютной безопасности подобных мер.

Их [биометрических технологий] использование обеспечивает как фантастическое удобство, так и повышенную безопасность для клиентов.

Their use offers consumers great convenience and increased security at the same time [...]

Аргумент в пользу этого тезиса, если забыть морально-этические аспекты, один, и его не получится исключить. Сторонний доступ к биометрическим данным любого человека прост до безумия. Глаз можно сфотографировать, отпечатки пальца - снять с бокала в кафе (а то и просто отрезать палец, если на то пойдёт). Упавшего с головы волоса достаточно для определения ДНК, а ответа на невинный вопрос прохожему на улице хватит для выделения основных определяющих параметров голоса. Дальнейший доступ к "надёжно защищённым" биометрикой файлам - дело техники. А поменять скомпрометированные параметры доступа уже не выйдет. В этом и заключается немалая часть проблемы, о которой почему-то говорить совсем не принято. Вне условий отдельных сложных случаев судебной практики, по крайней мере.

Что же делать тем, кто беспокоится о сохранности своих данных? В первую очередь, не доверять не прошедшим обкатку, проверку временем, технологиям. Сканеры подушечки пальца - это не лишняя мера, но только если она совмещается с дополнительными способами определения личности: уникальный пароль, или код подтверждения операции, получаемый на доверенный номер телефона, или что угодно другое. Всё вместе, а не по отдельности.

Мы ни в коем случае не призываем впадать в паранойю, ведь, в конце концов, при должных возможностях подслушать или украсть можно всё, что угодно. Тот же доступ к чужой учётной записи Facebook или любой другой социальной сети можно получить десятками, если не сотнями, способов*. С точки зрения владельца важно всего лишь, чтобы это не было совсем уж просто: тогда возрастает вероятность, что у гипотетического вора просто закончится терпение, и он найдёт себе более простую жертву.

* Не будем голословными: вот несколько примеров из числа наиболее распространённых.

• Обычно можно всего лишь временно позаимствовать само устройство, с которого осуществляется доступ. Объяснение не требуется.
• Также можно украсть Cookies-файлы авторизации. При наличии физического доступа к целевому устройству или наличии методов дистанционного контроля не представляет сложностей даже для ребёнка. Если атакуемый компьютер имеет пароль на Windows, достаточно загрузиться с Linux-образа на флешке и скопировать себе нужные файлы.
• Социальная инженерия #1. Через взаимодействие со службой поддержки представиться атакуемой личностью, сообщить об утере доступа к аккаунту и попросить помощи в его восстановлении. Требует везения и знаний о жертве. В единичных случаях для подтверждения личности хватит ответа на пару простых вопросов и фотографии со страницей, на которой видно текст письма из тех. поддержки, на заднем плане - что можно легко устроить при наличии прямых рук и хорошего фоторедактора (привет, ВК). В чуть более сложных нужен будет доступ к телефону или почте, на которые жертва регистрировала учётную запись. Получить их не так сложно, ведь номера телефонов многие меняют аки перчатки, а пароли от почтовых сервисов в подавляющем большинстве случаев просты (или же забываются через десять минут после заведения ящика, что можно использовать как аргумент в переписке с ТП).
• Социальная инженерия #2. Представиться тех. поддержкой и выманить пароль у жертвы в личной переписке. Требует особо глупой жертвы (либо жертвы женского пола), но, как ни странно, работает весьма часто. Вариаций развития событий может быть много.
• Визуально перехватить пароль в момент набора. Камеры в помещении с компьютером, или хорошего зрения, будет достаточно.
• Физически перехватить пароль в момент набора на клавиатуре. Для этого можно применить, например, анализ микро-всплесков напряжения в сети питания (в случае с подключёнными к стационарной сети ноутбуками и компьютерами).
• Перехватить пароль в момент передачи серверу. Wi-Fi пакеты можно собирать, а затем вычленять из них нужные при помощи смартфона, или спрятанного вблизи от жертвы микрокомпьютера с автономным питанием (такие были замечены в утюгах и зарядных устройствах). Или можно при подключиться к проводной Ethernet-линии, ведущей в сторону оператора (в отдельных случаях достаточно обычного компьютера и обычного Ethernet-кабеля с отрезанными контактами на передачу). Само собой, переадресации трафика жертвы, обманные страницы, MITM-атаки и ещё более сложные методы также никто не отменял.
  
• Подобрать пароль. Требуется удача, некоторые знания о жертве и (не во всех случаях) серьёзные навыки работы с ПО.
• Взлом атакуемого сервиса. Потребует определённых финансовых вложений и определённого риска при поиске исполнителя.
• ... и так далее - не будем составлять энциклопедию для целей краткой статьи. Будьте бдительны!