Chuyên Mục

Đâu là cách khóa điện thoại an toàn nhất? (phần 3)

TTO - Bảo mật bằng công nghệ sinh trắc học (biometric), nói đơn giản là dùng chính bạn làm mật khẩu cho chiếc điện thoại của mình.

Đâu là cách khóa điện thoại an toàn nhất? (phần 3) - Ảnh 1.

Những công nghệ xác thực sinh trắc học vẫn tiềm ẩn những lỗ hổng bảo mật nhất định - Ảnh: ANDROID AUTHORITY

Trên thực tế những năm qua, cảm biến vân tay đã xuất hiện ngay cả trên những loại điện thoại giá rẻ như ZTE Blade Spark và iPhone SE có giá dưới 200 USD.

Hiện tại chúng ta cũng đã thấy tính năng bảo mật quét mống mắt và công nghệ này cũng đã không còn chỉ giới hạn với những thiết bị như Samsung Galaxy S8 hay S8 Plus và Galaxy Note 8.

Một điều chắc chắn, và chỉ còn là vấn đề thời gian, chúng ta sẽ sớm chứng kiến các dạng thức xác thực sinh trắc học khác được tích hợp trên các thiết bị di động trong vài năm tới đây.

Tốc độ và sự tiện lợi

Tuy nhiên ngay cả các biện pháp bảo mật sinh trắc học cũng không hẳn đã là an toàn tuyệt đối. Thậm chí, kỹ sư nghiên cứu và phát triển cấp cao Kyle Lady của công ty Duo Security, cho rằng chưa chắc bảo mật sinh trắc học trên smartphone đã thực sự tốt hơn so với các phương pháp bảo mật phi sinh trắc học.

Theo chuyên gia này, công nghệ sinh trắc học trên smartphone cho thấy một sự thay đổi phương thức bảo mật hầu như chỉ ở sự cách tiếp cận. Nó không tốt hơn, không tồi hơn mà chỉ khác.

Thêm nữa, một trong những lý do chính mà phương pháp xác thực sinh trắc học với smartphone thực sự cất cánh thời gian qua là vì việc sử dụng vân tay khá dễ dàng và thuận lợi. Chuyên gia này nêu quan điểm:

Căn cứ vào tốc độ xác thực (các phương pháp sinh trắc học nhanh hơn 1 mật khẩu được bảo mật hiệu quả) tôi sẽ nói rằng lợi thế lớn nhất của việc áp dụng phương pháp sinh trắc học để bảo mật điện thoại di động chính là sự dễ dàng trong cách thiết đặt chế độ

Công ty của bà Kyle đã phát triển một ứng dụng bảo mật phổ biến có tên là Duo Mobile giúp bảo mật smartphone bằng phương pháp xác thực nhiều nhân tố. Theo chuyên gia Kyle có khoảng 84% số người dùng ứng dụng này đang sử dụng phương pháp xác thực vân tay.

Giáo sư David Rogers, CEO của hãng tư vấn và bảo mật Copper Horse, đồng thời là giảng viên tại Đại học Oxford cũng đồng tình với quan điểm này.

Cùng với các sinh viên của mình, vị giáo sư này đã thử đánh lừa từng phương pháp xác thực sinh trắc học hiện đang được tích hợp trên nhiều loại smartphone hiện đại.

Theo đó họ đã có thể giải quyết từng công nghệ một, trong đó có cả vấn đề cảm biến vân tay với chi phí không nhiều hơn giá một tách cà phê.

Trong một cuộc trao đổi về vấn đề này, giáo sư Rogers lý giải cách thức mà ông cùng các sinh viên đánh lừa công nghệ xác thực ra sao. Theo đó họ dùng những ngón tay mô phỏng được làm bằng cao su có thể sao chép dấu vân tay của người dùng để đánh lừa thiết bị cảm ứng trên điện thoại.

Cũng tương tự, những cảm biến vân tay cũng có thể bị đánh lừa bởi các bức ảnh chụp dấu vân tay được in bằng loại mực truyền dẫn điện (conductive ink) với độ phân giải cao. Theo đó có thể bắt chước những khác biệt trên dấu vân tay thật.

Các kỹ thuật đánh lừa công nghệ xác thực sinh trắc học như vừa nêu thực tế đã là những vấn đề được biết tới ít nhất là từ những năm 1990.

Giáo sư Rogers đề cập rằng mặc dù phần cứng cơ bản và phần mềm thường rất chắc chắn nhưng vẫn có thể có một số thay đổi đáng kể liên quan tới các thuật toán do các nhà sản xuất thiết bị gốc (OEM) can thiệp.

Điều này xảy ra khi hệ điều hành Android phải trải qua rất nhiều công đoạn xử lý từ việc triển khai công nghệ bảo mật sinh trắc học tại Google đến việc tích hợp các cảm biến sinh trắc học vào một thiết bị di động.

Nói một cách đơn giản, theo giáo sư Rogers các thuật toán dùng để hỗ trợ công nghệ bảo mật sinh trắc học sẽ phải "làm việc với rất nhiều người khác nhau".

Đâu là cách khóa điện thoại an toàn nhất? (phần 3) - Ảnh 3.

Công nghệ xác thực bằng nhận diện gương mặt của Samsung - Ảnh: ANDROID AUTHORITY

Có an toàn hơn mật khẩu?

Vậy thì câu hỏi đặt ra là xác thực sinh trắc học có tốt hơn là sử dụng một mật khẩu không? Để trả lời câu hỏi này và chúng ta hãy giả định tình huống mình là các hacker và muốn xâm nhập vào điện thoại của một ai đó.

Chúng ta cũng biết là chiếc điện thoại cụ thể này cần một mật khẩu gồm 8 ký tự và có thể bao gồm các ký tự in hoa, in thường, các số, các dấu câu và những kí tự đặc biệt. Đồng thời nó cũng phải có ít nhất một trong những kí tự đó.

Nếu chúng ta làm một phép toán để tính toán những khả năng thì sẽ có khoảng 3.026 x 1015 số kết hợp các mật khẩu. Trong khi đó Google chưa từng công bố những ước tính về mức độ bảo mật của cảm biến vân tay với thiết bị Android.

Như vậy về mặt thống kê thì trường hợp nào sẽ có rủi ro cao hơn, một kết quả xác thực giả ở cảm biến vân tay hay việc đoán ra được mật khẩu chính xác?

Ngay cả khi chúng ta có thử số mật khẩu vô hạn trong một khoảng thời gian vô tận thì chắc chắn hai phương pháp xác thực này vẫn rất khó để so sánh bình đẳng hai phương pháp này.

Điều này rõ ràng không thể phân biệt như kiểu giữa trắng và đen nhưng vẫn sẽ có những yếu tố để bạn cân nhắc.

Chẳng hạn khi bạn đặt ngón tay lên một cảm biến vân tay thì nếu có ai theo dõi bạn và quan sát được ngón tay của bạn thì chuyện đó cũng không gây nguy cơ gì vì vân tay chỉ là của bạn, là thứ họ không thể giả mạo bắt chước.

Tuy nhiên ngược lại, người ta có thể đánh cắp mật khẩu của bạn bằng cách theo dõi cách bạn nhập mật khẩu trên thiết bị. Đây rõ ràng là bất lợi rất lớn đối với các mật khẩu.

Xác thực bằng vân tay không phải là dạng thức bảo mật sinh trắc học duy nhất và chúng ta thấy ứng dụng trên các thiết bị Android.

Chẳng hạn nhận diện gương mặt cũng được tính là một phương pháp xác thực sinh trắc học.  

Các dữ liệu thông tin sinh trắc học có thể bao gồm dấu vân tay, gương mặt hay quét mống mắt. Trong khi đó công nghệ bảo mật phi sinh trắc học bao gồm một mật khẩu, một mã PIN hoặc một hình zích zắc.

Mặc dù công nghệ này cũng đáp ứng được về mặt kỹ thuật với phương pháp xác thực sinh trắc học tuy nhiên quan điểm chung dường như vẫn cho rằng nhận diện gương mặt không tương tương với phương pháp xác thực bằng vân tay. Bởi lẽ người ta hoàn toàn có thể đánh lừa công nghệ xác thực này bằng một bức ảnh.

Các dạng thức xác thực sinh trắc học khác

Cũng có một dạng thức xác thực sinh trắc học nữa cũng đang dần trở nên phổ biến hơn là nhận diện giọng nói.

Phương pháp xác thực này thường được sử dụng thông qua một tính năng gọi là Trusted Voice. Đây là một phần trong bộ tính năng bảo mật của Google gồm Trusted Places, Trusted Devices và On-Body Detection, với các thiết bị Android được gọi là smart lock.

Về cơ bản Trusted Voice sẽ cho bạn mở khóa thiết bị bằng cách sử dụng lệnh tương tự như cách bạn đã dùng để kích hoạt tính năng Google Assistant hoặc kích hoạt các tính năg khác bằng lời.

Sau khi đã cài đặt công cụ Trusted Voice bạn chỉ cần nói Ok Google để kích hoạt và mở khóa điện thoại.

Điều đáng tiếc là tính năng Trusted Voice thực sự rất không an toàn bởi những lý do cũng tương tự như việc tại sao công nghệ nhận diện gương mặt lại không đáng tin cậy.

Trên thực tế, ngay khi bản thiết lập tính năng này thì một thông báo đã xuất hiện để cảnh báo công nghệ xác thực bằng giọng nói có thể bị đánh lừa nếu một người nào khác cũng có giọng nói tương tự bạn.

Cho dù bạn có tự tin hay không tự tin về tính độc nhất trong giọng nói của mình, cõ lẽ cũng không nên "đặt tất cả các trứng trong cùng một rổ" trong khi hiểu rất rõ "cái rổ" đó rõ ràng đã có một vài lỗ hổng khá nghiêm trọng dưới đáy.

Quét mống mắt là một dạng thức xác thực sinh trắc học khác nữa cũng đã xuất hiện trên các smartphone hiện nay. Chúng ta đã thấy công nghệ này trong chiếc Galaxy Note 7 ra mắt năm ngoái của Samsung cũng như rất nhiều thiết bị khác thuộc dòng Galaxy của Samsung.

Các nhà sản xuất thiết bị gốc OEM khác cũng đã nỗ lực để có thể tích hợp công nghệ này trên sản phẩm của họ gồm NOKIA, VIVO, ALCATEL, UMI và ZTE.

Công nghệ quét mống mắt đang ngày càng được nhắc tới như một phương pháp bảo mật tốt nhất cho thiết bị di động của bạn, thậm chí còn tốt hơn cả vân tay. Nhưng chính xác thì công nghệ này hoạt động ra sao và tại sao chúng lại tốt hơn xác thực vân tay?

Giống với vân tay thì mống mắt cũng là một bộ phận chỉ có duy nhất ở bạn mà thôi. Do đó đây chính là lợi thế quan trọng trong so sánh khi các chuyên gia cân nhắc những giải pháp cho công nghệ xác thực sinh trắc học.

Tuy nhiên sẽ cần một camera có độ phân giải siêu cao và những điều kiện ánh sáng tối ưu để có thể bắt được những đặc điểm duy nhất trong mống mắt của bạn.

Tiếp đó chiếc smartphone của bạn sẽ phải chuyển những dữ kiện thông tin về mống mắt ấy thành mật mã thành một mã để sử dụng xác thực quyền truy cập thiết bị của bạn sau đó.

Rất nhiều khách hàng cảm thấy ấn tượng đến nỗi họ nghĩ rằng công nghệ quét mống mắt trong tương lai sẽ trở thành một cách thức an toàn nhất để bảo mật điện thoại và ngăn ngừa những kẻ cố tình bẻ khóa thiết bị.

Tuy nhiên bất kể việc công nghệ này khó để đánh lừa hơn so với cảm biến vân tay nhưng cũng đã có những dữ kiện thông tin cho thấy ngay cả công nghệ quét mống mắt cũng không an toàn tuyệt đối.

Thực tế thì chưa đầy một tháng sau khi Samsung ra mắt Galaxy S8 và S8 Plus, tờ báo Guardian của Anh đã công bố bài viết cho thấy một nhóm hacker của Đức đã có thể đánh lừa được công nghệ quét mống mắt của Samsung.

Trong video do báo Guardian dẫn lại dưới đây, nhóm hacker này đã sử dụng một mắt nhân tạo dùng một máy in và kính áp tròng cũng như những bức ảnh độ phân giải cao chụp mống mắt của người dùng chủ nhân chiếc điện thoại và đã đánh lừa được công nghệ của Samsung. 

Video: CHAOS COMPUTER CLUB

quan tâm D. KIM THOA
Top