Sebulan yang lalu, seorang jurnalis Forbes dengan jelas menunjukkan keandalan perlindungan biometrik pada perangkat tingkat konsumen. Untuk pengujian, ia memesan salinan gipsum 3D kepalanya, setelah itu ia mencoba menggunakan model ini untuk membuka kunci smartphone lima model: LG G7 ThinQ, Samsung S9, Samsung Note 8, OnePlus 6 dan iPhone X.

Salinan plester sudah cukup untuk membuka kunci empat dari lima model yang diuji. Meskipun iPhone tidak menyerah (pemindaian dalam rentang inframerah), tetapi percobaan menunjukkan bahwa pengenalan wajah bukanlah metode yang paling dapat diandalkan untuk melindungi informasi rahasia. Secara umum, seperti banyak metode biometrik lainnya.

Dalam komentarnya, perwakilan dari perusahaan yang “terkena dampak” mengatakan bahwa pengenalan wajah membuat ponsel yang dibuka menjadi “nyaman”, tetapi untuk “otentikasi biometrik tingkat tertinggi” disarankan untuk menggunakan pemindai sidik jari atau iris.

Eksperimen juga menunjukkan bahwa beberapa foto korban tidak cukup untuk peretasan nyata, karena mereka tidak akan memungkinkan Anda untuk membuat salinan 3D lengkap dari tengkorak. Membuat prototipe yang dapat diterima membutuhkan pemotretan dari berbagai sudut dengan cahaya yang baik. Di sisi lain, berkat jejaring sosial, sekarang dimungkinkan untuk mendapatkan sejumlah besar materi foto dan video, dan resolusi kamera meningkat setiap tahun.

Metode perlindungan biometrik lainnya juga bukan tanpa kerentanan.

Sidik jari

Sistem pemindaian sidik jari menjadi luas di tahun 90-an - dan segera diserang.

Pada awal 2000-an, peretas mengasah mekanisme untuk membuat salinan silikon buatan sesuai dengan gambar yang ada. Jika Anda menempelkan film tipis pada jari Anda sendiri, Anda dapat mengelabui hampir semua sistem, bahkan dengan sensor lain, yang memeriksa suhu tubuh manusia dan memastikan bahwa jari orang yang hidup melekat pada pemindai, dan bukan hasil cetakan.

Manual klasik untuk pembuatan cetakan buatan dianggap manual Tsutomu Matsumoto dari tahun 2002 . Ini menjelaskan secara rinci cara memproses sidik jari korban menggunakan bubuk grafit atau uap cyanoacrylate (superglue), cara memproses foto sebelum membuat cetakan, dan akhirnya membuat masker cembung menggunakan gelatin, susu lateks atau lem kayu.


Produksi film gelatin dengan sidik jari pada cetakan kontur dengan sidik jari. Sumber: Instruksi Tsutomu Matsumoto

Kesulitan terbesar dalam prosedur ini adalah menyalin sidik jari nyata. Mereka mengatakan bahwa cetakan dengan kualitas terbaik tetap pada permukaan kaca dan gagang pintu. Tetapi di zaman kita ada cara lain: resolusi beberapa foto memungkinkan Anda untuk mengembalikan gambar langsung dari foto.

Pada 2017, sebuah proyek diumumkan oleh para peneliti dari National Institute of Informatics di Jepang. Mereka membuktikan kemungkinan merekonstruksi gambar sidik jari dari foto yang diambil dengan kamera digital dari jarak tiga meter . Kembali pada tahun 2014, di konferensi hacker Kongres Komunikasi Chaos, mereka menunjukkan sidik jari dari Menteri Pertahanan Jerman, dibuat kembali dari foto resmi resolusi tinggi dari sumber terbuka.

Biometrik lainnya

Selain pemindaian sidik jari dan pengenalan wajah, smartphone modern belum secara besar-besaran menggunakan metode perlindungan biometrik lainnya, meskipun ada kemungkinan teoretis. Beberapa metode ini telah diuji secara eksperimental, sementara yang lain telah digunakan secara komersial di berbagai aplikasi, termasuk pemindaian retina, verifikasi suara dan pola pembuluh darah di telapak tangan.

Tetapi semua metode perlindungan biometrik memiliki satu kelemahan mendasar: tidak seperti kata sandi, karakteristik biometriknya hampir mustahil untuk diganti . Jika sidik jari Anda bocor ke publik - Anda tidak akan mengubahnya. Ini bisa dikatakan kerentanan seumur hidup.

“Ketika resolusi kamera menjadi lebih tinggi, menjadi mungkin untuk melihat objek yang lebih kecil, seperti sidik jari atau iris. [...] Setelah Anda membaginya di jejaring sosial, Anda bisa mengucapkan selamat tinggal. Tidak seperti kata sandi, Anda tidak dapat mengubah jari Anda. Jadi ini adalah informasi yang harus Anda lindungi. ” - Isao Echizen , Profesor, Institut Nasional Ilmu Komputer, Jepang

Jaminan seratus persen tidak memberikan metode perlindungan biometrik apa pun. Saat menguji setiap sistem, parameter berikut ditunjukkan, termasuk:

• akurasi (beberapa jenis);
• false positive rate (false alarm);
• persentase negatif palsu (melewatkan acara).

Tidak ada sistem yang menunjukkan akurasi 100% dengan nol tanggapan positif palsu dan negatif palsu, bahkan di bawah kondisi laboratorium yang optimal.

Parameter ini bergantung satu sama lain. Karena pengaturan sistem, Anda dapat, misalnya, meningkatkan akurasi pengenalan hingga 100% - tetapi kemudian jumlah kesalahan positif akan meningkat. Sebaliknya, Anda dapat mengurangi jumlah positif palsu menjadi nol - tetapi kemudian akurasinya akan berkurang.

Jelas, sekarang banyak metode perlindungan mudah retak karena alasan produsen terutama memikirkan kegunaan, dan bukan tentang keandalan. Dengan kata lain, mereka memiliki prioritas di atas jumlah minimum positif palsu.

Peretasan ekonomi

Seperti di bidang ekonomi, keamanan informasi juga memiliki konsep kelayakan ekonomi. Jangan sampai perlindungan seratus persen. Tetapi langkah-langkah perlindungan berkorelasi dengan nilai informasi itu sendiri. Secara umum, prinsipnya kira-kira sedemikian rupa sehingga biaya upaya peretasan untuk peretas harus melebihi nilai informasi yang ingin diterimanya. Semakin besar rasionya, semakin kuat proteksinya.

Jika Anda mengambil contoh dengan salinan plester kepala Anda untuk menipu sistem seperti Face ID, maka biaya wartawan Forbes sekitar $ 380. Karenanya, masuk akal untuk menggunakan teknologi semacam itu untuk melindungi informasi yang nilainya kurang dari $ 380. Ini adalah teknologi perlindungan yang sangat baik untuk melindungi informasi murah, dan teknologi yang tidak berguna untuk rahasia dagang perusahaan, jadi semuanya relatif. Ternyata dalam setiap kasus perlu untuk mengevaluasi tingkat perlindungan minimum yang dapat diterima. Misalnya, pengenalan wajah dalam kombinasi dengan kata sandi - seperti otentikasi dua faktor - telah meningkatkan tingkat perlindungan dengan urutan besarnya, dibandingkan dengan hanya pengenalan wajah atau hanya satu kata sandi.

Secara umum, perlindungan apa pun dapat diretas. Pertanyaannya adalah biaya upaya.

---