امن‌ترین راه برای قفل کردن تلفن هوشمند چیست؟

آی تی رسان: با عمومیت یافتن تکنولوژی‌های موبایل و بحث امنیت آن در سطح جامعه، پیشرفت در این حوزه نیز با سرعت بیشتری ادامه پیدا کرده و حالا بسیاری از ما حداقل یک دستگاه هوشمند در اختیار داریم که احساس می‌کنیم امنیت بالایی دارد. دستگاه‌های جدید به همراه به‌روزرسانی‌های نرم‌افزاری مداوم عرضه می‌شوند تا این اطمینان را داشته باشیم که بدافزارها و تهدیدات شایع در حوزه امنیت، دیگر قادر به آسیب رساندن به ما نیستند. شاید برخی از ما امیدوار بودیم که امنیت مجازی در بازار تکنولوژی‌های مصرفی کارآمدتر و مستحکم‌تر بود. اما با پیشرفت سریع تکنولوژی‌های موبایل، این امکان برای هکرها فراهم شده تا برای نفوذهای خودشان روش‌های جدیدی در این تکنولوژی‌های نوظهور پیدا کنند.

شاید علاقه‌ای به دانستن جزییات در حوزه امنیت موبایل نداشته باشید، اما مطمئنا برای حریم خصوصی خودتان ارزش قائل بوده و به همین دلیل این سوال را مطرح می‌کنیم که کدام روش برای قفل کردن گوشی هوشمندتان مناسب‌تر است؟ روش‌های امنیتی بیومتریک یا غیربیومتریک؟

بیومتریک و غیربیومتریک چه تفاوتی دارند؟

بیومتریک در واقع به معنی اطلاعات زیستی هر فرد است که می‌تواند موارد قابل دسترسی مانند اثرانگشت و یا موارد پیچیده‌تر مانند DNA هر فرد باشد. اما همان‌طور که حدس زده‌اید ما در این مطلب به تایید هویت با استفاده از اطلاعات زیستی که در گوشی‌های هوشمند جدید استفاده می‌شوند خواهیم پرداخت. در واقع به‌طور خلاصه می‌توان گفت با این روش‌های جدید تایید هویت، شما رمز عبور خودتان هستید.

در یک گوشی هوشمند این قابلیت بدین صورت انجام می‌‌شود که شما ابتدا امکان تایید هویت زیستی را فعال کرده و سپس با ارائه یک نمونه زیستی، گوشی شما آن را به اطلاعات دیجیتالی تبدیل کرده و به‌صورت فقط قابل خواندن (Read-Only) ذخیر می‌کند. از آن‌جایی که اطلاعات شما به این صورت ذخیره شده‌اند، شاید تصور کنید که دیگر قابل تغییر یا در معرض خطر نیستند. اما اشتباه نکنید، چون این اطلاعات در واقع در جایی در یک دستگاه که هر لحظه ممکن است با مشکلی مواجه شود، ذخیره شده‌اند. زمانی که بخواهید قفل گوشی خود را باز کنید، نمونه‌ای زیستی از شما خواسته می‌شود و با مطابقت دادن آن با نمونه ذخیره شده، اگر هویت شما تایید شود می‌توانید به گوشی خود دسترسی پیدا کنید و اگر این‌گونه نبود شما نمی‌توانید به آن گوشی دسترسی داشته باشید.

اما روش‌های امنیتی غیرزیستی شامل مواردی همچون رمزعبور، پین‌کد و یا الگوهای دلخواه می‌شوند. زندگی دیجیتالی ما تا همین چند وقت پیش، کاملا در سلطه رمزهای عبور بوده است. ما از این روش برای افزایش امنیت حساب‌های کاربری فیس‌بوک، توییتر، جی‌میل، یاهو و حتی حساب‌های بانکی خود استفاده می‌کردیم. حداقل بر روی کاغذ، رمزهای عبور امنیت پایین‌تری را نسبت به تایید هویت زیستی ارائه می‌دهند، اما آیا روش‌های امنیتی زیستی بدون اشکال هستند؟

بگذارید این طور بگوییم که رمزهای عبور در واقع در سطح پایینی از امنیت قرار می‌گیرند چراکه همواره ترکیب از حروف الفبا و اعداد محدود هستند. بنابراین یک هکر سخت‌کوش (و پیگیر!) با صرف زمان و آزمون و خطا ممکن است بتواند رمز عبور شما را حدس بزند. علاوه بر این ممکن است کسی در هنگام وارد کردن رمز عبور یا الگوهای نقطه‌ای، نحوه حرکات دست شما را دیده باشد و در زمان دیگری به سراغ گوشی شما رفته و با تقلید حرکات شما رمزعبور یا الگوی وارد شده را حدس بزند. البته درست است که برای رفع چنین مشکلاتی یک سری محدودیت‌ها مانند امکان وارد کردن حداکثر چندبار رمز یا الگوی اشتباه ارائه شده، اما این موارد نیز به‌هیچ عنوان نمی‌توانند به‌صورت تضمینی امنیت دستگاه و اطلاعات درونش را تامین کنند. به همین دلیل سنسورهای اثرانگشت به سرعت خود را بازار مصرفی گوشی‌های هوشمند جا انداخته و این روزها این سنسورها را حتی در گوشی‌های میان‌رده یا ارزان‌قیمت هم می‌بینیم.

"رمزعبوری که وارد کرده‌اید اشتباه است"

شاید الان این سوال برای شما مطرح شده باشد که مگر رمزهای عبور چه مشکلی دارند؟ خب همان‌طور که پیش‌تر گفتیم این رمزها ترکیبی از حروف الفبا و اعداد محدود هستند. بله درست است که یک فرد غریبه با احتمال خیلی پایین قادر به حدس زدن رمزعبور شما خواهد بود، اما همیشه این‌طور نیست. مثلا فرض کنید شما تاریخ تولد یا اطلاعاتی مربوط به خودتان را به‌عنوان رمز عبور قرار داده باشید، در چنین مواقعی اگر فرد مجرم یکی از نزدیکان و کسی که شما را به خوبی می‌شناسد باشد، شانس لو رفتن رمزعبورتان بسیار بالا می‌رود. در واقع هک شدن رمزعبور گوشی شما توسط یکی از عزیزان و نزدیکان یکی از مواردی است که باعث می‌شود یک روش امنیتی قوی‌تر را انتخاب کنید!

اما اگر از حروف بزرگ و کاراکترهای مخصوص در رمز عبور خودتان استفاده کنید چطور؟ آیا امنیت دستگاه شما افزایش پیدا می‌کند؟ در واقع پاسخ منفی است.

این نظر ما نیست و در واقع این حرف را بیل بوری می‌زند که سال‌ها برای افزایش امنیت رمزهای عبور تلاش کرده و معتقد است استفاده از حروف بزرگ، اعداد و یا کاراکترهای خاص کمکی به افزایش امنیت رمزعبور شما نخواهند کرد. گفتنی است وی مدیر سابق موسسه ملی استانداردهای حوزه تکنولوژی بوده است.

در سال ۲۰۰۳، بور یک راهنمای هشت صفحه‌ای برای آموزش کاربران جهت تولید رمزهای عبور قوی طراحی شد که هنوز هم بسیاری از رمزهای عبور ساخته شده توسط ما در واقع از همان راهنما الهام گرفته‌اند. اما بور اخیرا به‌طور صریح اعلام کرد که در آن زمان دانش بسیار محدودی نسبت به رمزهای عبور و نحوه کارشان داشته و به‌نوعی از کاربران برای این‌که آن‌ها را وادار به ساختن رمزهای عبور پیچیده و دشوار که هیچ کمکی به افزایش امنیت دستگاه‌های مختلف نمی‌کرده‌، پوزش خواسته است.

ما اکنون می‌دانیم که رمزعبوری شامل رشته کلمات ساده و نامرتبط با یکدیگر نسبت به یک رمزعبور شامل ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص، امنیت بیشتری را ارائه می‌دهد.

اما حتی اگر از این روش هم برای ساختن رمزهای عبور خودتان استفاده کنید و با تمرین و تکرار به خیال خودتان رمزهای عبور غیرقابل حدس زدن بسازید باز هم این حقیقت را نمی‌توان انکار کرد که در روزگار فعلی ما بیش از هر زمانی در معرض خطر هک شدن قرار داریم. دیگر تنها راه دسترسی شما به دنیای دیجیتالی گوشی هوشمند یا کامپیوتر شخصی‌تان نیست. ساعت‌های هوشمند، گجت‌های پوشیدنی دیگر، تبلت‌ها، هاب‌‌های متصل به اینترنت، تلویزیون‌های هوشمند و صدها وسیله و تکنولوژی متصل به اینترنت دیگر که هر روزه به تعداد آن‌ها افزوده می‌شود تنها چند نمونه از مواردی هستند که ما در آن‌ها حساب‌های کاربری و اطلاعات شخصی خودمان را نگه‌داری می‌کنیم و خبر بد این‌که مانند گوشی هوشمند شما که غیرقابل نفوذ نیست، این دستگاه‌ها نیز همواره در معرض خطر نفوذ قرار دارند.

اگر یک راه نجات و افزایش امنیت برای رمزهای عبور ترکیبی از حروف الفبا و اعداد وجود داشته باشد، آن تایید هویت دو مرحله‌ای خواهد بود. در این روش شما با وارد کردن رمزعبور، امکان دسترسی پیدا نخواهید کرد. با وارد کردن رمز عبور، شما فقط مرحله اول تایید هویت را پشت‌ سر گذاشته و حالا باید کدی (معمولا حاوی چند عدد) را که به شماره تلفن شما فرستاده شده و یا در تماس صوتی به شما گفته می‌شود نیز وارد کنید تا بتوانید به دستگاه یا حساب کاربری خودتان دسترسی پیدا کنید.

اگرچه این روش امنیت به مراتب بیشتری نسبت به رمزعبور دارد اما استفاده از آن غالبا در حساب‌های کاربری اینترنتی منطقی بوده و خیلی در زمینه قفل کردن گوشی هوشمند یا تامین امنیت آن کارایی نخواهد داشت. برای مثال اگر از این شیوه برای امنیت گوشی هوشمند خود استفاده کنید و در مکانی خارج از پوشش شبکه یا در حین پرواز باشید، از آن‌جایی که برای ارسال کد نیاز به نوعی ارتباط خواهد بود، شما امکان باز کردن قفل گوشی و استفاده از آن را از دست داده‌اید. البته برای حل این مشکل هم می‌توانید از یک اپلیکیشن در دستگاهی دیگر و یا ابزاری مانند YubiKey را مورد استفاده قرار دهید، اما طبیعتا برای کاربری که در طول روز چندین بار به سراغ گوشی خود می‌رود، این کار اصلا منطقی نیست.

الگوها نیز یکی دیگر از موارد محبوب در حوزه امنیت گوشی‌های هوشمند هستند. وارد کردن رمزهای عبور می‌تواند کمی زمان‌بر و دشوار باشد، خصوصا اگر از یک رمزعبور پیچیده استفاده می‌کنید باید تمام حواس‌تان به درست تایپ کردن آن باشد. اما الگوها روشی آسان و بسیار سریع‌تر را برای باز کردن قفل گوشی ارائه می‌دهد که حتی با یک دست هم می‌توان به راحتی از آن استفاده کرد.

برای تنظیم یک الگو شما ۹ نقطه که شامل سه ردیف سه تایی می‌شود در اختیار دارید. کافیست نقاطی که مدنظرتان هست را به یکدیگر وصل کنید. شما می‌توانید خطوطی را بین سه، پنج و یا ده نقطه بکشید و یا الگوهایی سخت و آسان را بنابر علاقه‌تان طراحی کنید. پس از ذخیره این الگوی ساخته شده، برای هر بار باز کردن قفل گوشی باید مجددا این لگو را بر روی ۹ نقطه موجود بکشید تا به گوشی خود دسترسی پیدا کنید.

علاوه بر امکان استفاده از یک دست، بسیاری از کاربران تمایل به استفاده از الگوهای نقطه‌ای برای حفظ امنیت گوشی هوشمندشان دارند. این روش باتوجه به حافظه عضلانی یا حرکتی که در هر انسانی وجود دارد، به آن‌ها اجازه می‌دهد بدون فکر کردن و زحمت تایپ رمزعبور، خیلی سریع الگوی تعیین شده را رسم کنند. اما یکی از بزرگ‌ترین معایب این روش، امکان مشاهده حرکات انگشت شما بر رو صفحه نمایش توسط افراد دیگر است. از آن‌جایی که فقط ۹ نقطه برای رسم این الگوها در نظر گرفته شده، کار هکرها یا افراد مجرم برای حدس زدن الگوی شما نسبت به رمزهای عبور بسیار آسان‌تر خواهد بود. بدتر آن‌که به گفته کارشناسان تقریبا نیمی از الگوها از گوشه بالا و سمت چپ آغاز می‌شوند.

در میان تمام روش‌های تامین امنیت غیرزیستی، رمزهای عبور بدون‌شک امن‌ترین گزینه را ارائه می دهند؛ خصوصا اگر بدانید چگونه یک رمزعبور مناسب را ایجاد کنید. اما اگر امن‌ترین راه ممکن برای تایید هویت را بخواهید، آیا باید به سراغ روش‌های زیستی بروید؟

رمزعبور خود شما هستید

تا پیش از عرضه فبلت ناکام گلکسی نوت ۷ به بازار، کاربران تنها یک گزینه برای تایید هویت برپایه اطلاعات زیستی داشتند که آن‌هم حسگرهای اثرانگشت بود. این حسگرها در واقع چند سالی است که در گوشی‌های هوشمند دیده می‌شوند. این قابلیت آن‌قدر محبوب و مهم شد که اخیرا حتی آن را در موارد ارزان‌قیمتی مانند ZTE Blade Spark و یا iPhone SE نیز مشاهده کردیم. اما این روزها قابلیت جدیدی تحت عنوان اسکنر عنبیه چشم ارائه شده که دیگر فقط محدود به گلکسی ‌S8 و نسخه پلاس و یا گلکسی نوت ۸، نیست. باید صبر کرد و دید در سال‌های آینده چه قابلیت‌های در زمینه امنیت بیومتریک معرفی خواهند شد.

بیایید با حسگرهای اثرانگشت شروع کنیم. انواع مختلفی از تکنولوژی را در این بخش می‌توان دید اما به‌طور کلی تمامی آن‌ها یک ویژگی مشترک دارند و آن‌هم خازنی(حساس به حرارت و پوست) بودن است. در این زمینه حسگرهای اولتراسونیک(فراصوت) امنیت به مراتب بالاتری را ارائه می‌دهند اما بهره‌گیری از آن‌ها در بدنه یک گوشی هوشمند چالشی است که مشخص نیست چه زمانی تولیدکنندگان در آن پیروز خواهند شد.

یک حسگر اثرانگشت خازنی از تعداد زیادی خازن کوچک تشیکل شده که با فاصله بسیار کم در کنار یکدیگر چیده شده‌اند. این خازن‌ها حساسیت بسیار بالایی نسبت به تغییرات در تخلیه بار الکتریکی دارند. زمانی که انگشت شما بر روی حسگر قرار می‌گیرد، براساس سطوح مختلف بار الکتریکی که از پستی بلندی‌های میکروسکوپی سطح پوست شما ناشی شده است، تصویری مجازی از اثرانگشت شما تشکیل می‌شود. حسگرهای نوری اثرانگشت ممکن است با یک تصویر با کیفیت از اثرانگشت شما فریب بخورند، اما در این تکنولوژی به علت آن‌که ساختار فیزیکی اثرانگشت شما به‌طور کامل اندازه‌گیری و سنجش می‌شود امکان وجود چنین مشکلاتی منتفی خواهد بود. به احتمال زیاد اثرانگشت در حال حاضر امن‌ترین شیوه‌ای است که می‌توانید امنیت گوشی هوشمند خود را با آن فراهم کنیم، اما این فناوری تا چه حدی امن است؟

متاسفانه حتی روش‌های امنیتی زیستی نیز بدون نقص نیستند. درواقع کایل لیدی، مهندس ارشد بخش تحقیق و توسعه موسسه Duo Security، معتقد است تکنولوژی زیستی در گوشی‌های هوشمند یک نوع راحتی را نسبت به روش‌های امنیتی موجود مانند رمزهای عبور یا الگوهای نقطه‌ای ارائه می‌دهد. به گفته وی، این تکنولوژی فقط از این نظر متفاوت بوده و نسبت به روش‌های مرسوم و قدیمی هیچ مزیت یا ضعفی از نقطه نظر امنیت ندارد.

این حرف درست است چرا که اکثر کاربران به علت سادگی استفاده از اثرانگشت به استفاده از این روش روی آورده‌اند. کایل می‌گوید در واقع اثرانگشت روشی سریع است که در آن امنیتی در حد یک رمزعبور مناسب و امن ارائه می‌شود. خانم کایل در شرکتی کار می‌کند که اپلیکیشن امنیتی محبوب Duo Mobile عرضه شده است. این اپلیکیشن امنیت گوشی شما را تامین کرده و از چند نوع روش تایید هویت استفاده می‌کند. به گفته کایل چیزی در حدود ۸۴ درصد از کاربران از اثرانگشت برای تایید هویت در این برنامه استفاده می‌کنند.

پروفسور دیوید راجرز، مدیرعامل موسسه مشاوره و امنیت موبایل Copper Horse و سخنران دانشگاه آکسفورد نیز دیدگاه مشابه‌ای دارد. وی به همراه دانشجویانش در چالشی جالب تصمیم گرفتند روش‌های تایید هویت موجود در گوشی‌های هوشمند جدید را به نوعی فریب دهند. اما نتیجه جالب‌تر است، آن‌ها توانستند تمام روش‌ها را به خوبی دور بزنند و برای فریب حسگر اثرانگشت نیز فقط به یک فنجان قهوه نیاز داشتند.

پروفسور راجرز می‌گوید ما با استفاده از انگشت‌های ساختگی از جنس لاستیک موفق شدیم حسگر اثرانگشت را فریب بدهیم. این نوع لاستیک که شبیه به مواد سیلیکونی است، به اندازه‌‌ی کافی اثرانگشت را جذب می‌کند تا بتوان با آن حسگر اثرانگشت خازنی را فریب داد.

وی همچنین اشاره کرد که اگر تصویری با کیفیت از اثرانگشت که با جوهرهای رسانا چاپ شده باشد در اختیار داشته باشید، می‌توانید حسگر را فریب دهید؛ چرا که این نوع چاپ می‌تواند تفاوت در بار الکتریکی را که حسگر اثرانگشت به دنبال آن می‌گردد، شبیه‌سازی کند. جالب این‌که هر دو مورد (انگشت‌های لاستیکی و جوهر رسانا) از جمله مشکلاتی هستند که از دهه ۹۰ میلادی در حوزه حسگرهای اثرانگشت وجود داشته‌اند.

اما مشکلات این روش تایید هویت به این موارد ختم نمی‌شود. تخمین‌هایی وجود دارند که نشان می‌دهند یک حسگر اثرانگشت تا چه حد دقیق و امن هستند. در واقع شرکت‌هایی مانند اپل این تخمین‌ها را به صورت آمار منتشر می‌کنند. برای مثال این شرکت اعلام کرده که به احتمال ۱ در ۵۰۰۰۰ ممکن است اثرانگشت اشتباه باعث باز شدن قفل گوشی شود. اما این آمار فقط مربوط به اثرانگشت یکی از انگشتان دست است، اگر تمام ده انگشت را در نظر بگیرید و نمونه آن توسط حسگر اثرانگشت ذخیره شده باشد، این احتمال به ۱ در ۵۰۰۰ افزایش پیدا خواهد کرد.

متاسفانه گوگل هیچ‌گونه آمار و تخمینی از میزان پایداری و امنیت حسگرهای اثرانگشت موجود در دستگاه‌های اندرویدی ارائه نداده است. پروفسور راجرز می‌گوید اگرچه سخت‌افزار و نرم‌افزار اصلی در این مورد معمولا بسیار قوی و کارآمد هستند، اما شرکت‌های تولیدکننده گوشی‌های هوشمند در اغلب موارد تغییرات گسترده‌ای در آن‌ها اعمال می‌کنند و به همین دلیل واقعا نمی‌توان گفت آیا تمام حسگرهای اثرانگشت امن هستند یا خیر.

با این تفاسیر آیا روش‌های تایید هویت زیستی بهتر از رمزهای عبور هستند؟ بگذارید این مورد را با مثالی توضیح بدهیم. فرض کنید ما هکر باشیم و می‌خواهیم به گوشی فردی نفوذ کنیم. می‌دانیم این گوشی با یک رمزعبور هشت کاراکتری محافظت می‌شود که احتمالا از حروف کوچک و بزرگ، اعداد، علائم نشانه‌گذاری و کاراکترهای خاص تشکیل شده است. اگر بخواهیم به‌صورت ریاضی حالت‌های مختلف و ممکن برای این رمزعبور هشت کاراکتری را حساب کنیم چیزی در حدود ۳.۰۲۶ × ۱۰۱۵ ترکیب خواهیم داشت. خب کدام امن‌تر است؟ این‌که حسگر اثرانگشت را فریب بدهیم یا رمزعبور را حدس بزنیم؟ واقعیت این است که حتی اگر به دفعات نامحدود قادر باشیم رمزعبور را حدس زده و وارد کنیم و البته وقت این کار را هم داشته باشیم، باز هم این دو روش امنیتی از یکدیگر متفاوت هستند و به صورت مستقیم نمی‌توان آن‌ها را مقایسه نمود.

شاید از خودتان بپرسید وقتی حسگرهای اثرانگشت امنیت بیشتری را فراهم نمی‌کنند اصلا چرا باید از آن‌ها استفاده کرد؟ خب واقعا نمی‌توان به این صورت قضاوت کرد، حتی اگر آمارها و تخمین‌های منتشر شده این‌گونه به‌نظر برسند. برای مثال شما انگشت خود را بر روی سنسور اثرانگشت قرار داده و قفل گوشی را باز می‌کنید. اگر صد نفر هم شما را در حین انجام این کار ببینند فرقی به حال‌شان نخواهد کرد، چون قادر به تقلید اثرانگشت شما نیستند. اما فرض کنید در هنگام وارد کردن رمزعبور فقط یک نفر در کنار شما ایستاده و آن را مشاهده کند.

تایید هویت با اثرانگشت تنها شیوه امنیت زیستی موجود در دستگاه‌های اندرویدی نیست. درواقع شاید تعجب کنید وقتی بدانید قابلیت تشخیص چهره قبل از محبوب شدن اثرانگشت ارائه شده بود.

تشخیص چهره که در حال حاضر در برخی گوشی‌های هوشمند اندرویدی و به‌تازگی در آی‌فون X وجود دارد، یک روش تایید هویت زیستی محسوب می‌شود چرا که چهره شما به‌عنوان رمزعبور در نظر گرفته می‌شود. اما به‌طور کلی این قابلیت قابل قیاس با اثرانگشت نیست و با یک تصویر با کیفیت از چهره فرد می‌توان به راحتی این نوع تایید هویت را فریب داد. در این زمینه یک ویدیوی جالب منتشر شده که در آن کاربری با عکس سلفی خود در گوشی گلکسی اس۷ توانست قابلیت تشخیص چهره گوشی گلکسی ‌S8 را فریب بدهد. به همین دلیل این روش ناامن به‌نظر رسیده و اساسا با اصول روش‌های امنیت زیستی در تضاد قرار می‌گیرد. البته تکنولوژی به‌کار رفته در آ‌ی‌فون X کاملا متفاوت بوده و هنوز فرصتی برای تست دقیق آن نبوده است.

نوعی دیگر از تایید هویت برپایه اطلاعات زیستی تشخیص صدا است که با عنوان Trusted Voice یا صدای تایید شده در مجموعه قابلیت‌های امنیتی گوگل (شامل مکان‌های قابل اعتماد و قفل هوشمند) ارائه شده است. به‌طور کلی این قابلیت بدین صورت کار می‌کند که شما عبارتی را که با آن دستیار صوتی گوگل را فعال می‌کنید (اوکی گوگل)، بیان کرده و گوشی با تشخیص آن از حالت قفل خارج خواهد شد. متاسفانه این روش نیز همانند تشخیص چهره امنیت بسیار پایینی را ارائه می‌دهد. در واقع زمانی که قصد فعال کردن این قابلیت را دارید، پیغام هشداری دریافت می‌کنید که به شما می‌گوید ممکن است فردی با صدای مشابه، صدای شما را تقلید کرده و به گوشی دسترسی پیدا کند. چه صدای خاص و متفاوتی داشته باشید و چه این‌طور نباشد، پیشنهاد می‌کنیم تا حد امکان از این روش استفاده نکنید.

اسکنر عنبیه چشم شیوه‌ای دیگر برای تایید هویت با استفاده از اطلاعات زیستی است که در گوشی‌های هوشمند جدید مشاهده می‌کنیم. سال گذشته این قابلیت را در فبلت گلکسی نوت ۷ دیدیم و امسال نیز این قابلیت در گوشی‌های گلکسی S8 و S8 پلاس عرضه شد. شرکت‌های دیگری مانند نوکیا، آلکاتل، یومی و ZTE نیز از این قابلیت در محصولات آینده خود استفاده خواهند کرد. گفته می‌شود اسکنرهای عنبیه چشم بهترین سطح امنیت را به کاربران گوشی‌های هوشمند ارائه می‌دهند، امنیتی حتی بالاتر از چیزی که در حسگرهای اثرانگشت دیده‌ایم. اما آیا این مطلب درست است و واقعا اسکن عنبیه چشم از اثرانگشت امن‌تر است؟

همانند اثرانگشت، عنبیه چشم (فضای بین مردک و سفیدی چشم) شامل خطوط رنگی هستند که رنگ چشم شما را تشکیل می‌دهند و از این رو منحصربه‌فرد محسوب می‌شوند. بدین منظور علاوه بر ضرورت وجود یک دوربین باکیفیت و شرایط نوری مناسب، با تابیدن نور مادون قرمز به چشم شما، این خطوط برجسته‌ و واضح‌تر شده و در نتیجه گوشی هوشمند شما آن‌ها را به راحتی تشخیص خواهد داد. پس از آن، این اطلاعات به‌صورت کدهایی ذخیره می‌شوند تا در دفعات بعدی به‌عنوان معیار تایید هویت مورد استفاده قرار بگیرند.

خب شاید الان پیش خودتان تصور کنید این دیگر امن‌ترین شیوه برای تایید هویت کاربران خواهد بود. کاری به این نداریم که فریب دادن این روش نسبت حسگرهای اثرانگشت ساده‌تر است یا دشوارتر، اما متاسفانه باید به شما بگوییم این روش نیز بدون نقص نیست. تنها یک ماه پس از عرضه گلکسی S8 و S8 پلاس، روزنامه گاردین مقاله‌ای در مورد گروهی از هکرهای آلمانی منتشر کرد که موفق شدند تکنولوژی اسکن عنبیه چشم سامسونگ را فریب بدهند. این هکرها در ابتدا عکسی با کیفیت از عنبیه چشم کاربر اصلی گوشی تهیه کرده و سپس با استفاده از پرینترهای سه‌بعدی و لنزهای تماسی یک چشم مصنوعی درست کردند. این عکس به‌صورت دید در شب تهیه شد تا با تابش اشعه مادون قرمز جزییات بیشتری را نشان بدهد. به همین دلیل نمی‌توان به‌طور کامل بر روی قابلیت اسکن عنبیه که شرکت‌های تولیدکننده گوشی‌های هوشمند از آن با افتخار صحبت می‌کنند، به‌عنوان یک راه کاملا امن برای تایید هویت حساب کرد.

در کل این واقعیت وجود دارد که تامین امنیت موبایل با استفاده از روش‌های زیستی ویژگی‌های خاص خودش را دارد. به گفته پروفسور راجرز، اگر به این موضوع فکر کنید متوجه خواهید شد که شما در واقع هر روز در حال اعلام رمزعبور خود به تمام دنیا هستید! اثرانگشت شما بر روی دستگیره‌های در، ماگ قهوه، کاغذ و یا صفحه‌کلید کامپیوتر که با آن تایپ می‌کنید، عنبیه چشم‌تان که در هر عکس سلفی منتشر شده در فضای مجازی قابل مشاهده است، همگی حاکی است که اطلاعات زیستی شما نیز همواره در معرض سوءاستفاده قرار دارند. به همین دلیل وقتی می‌خواهید گوشی نوت ۸ را به‌علت استفاده از قابلیت اسکن عنبیه چشمش بخرید و یا از قابلیت حسگر اثرانگشت گوشی هوشمند فعلی‌تان بهره ببرید، باید خوب به این واقعیت‌ها فکر کنید.

آیا طرز فکر ما پیرامون این موضوع اشتباه است؟

صحبت از امکان به سرقت رفتن اطلاعات زیستی شد و بهتر است روش‌های اصلی برای حفظ امنیت گوشی‌های هوشمند خود را بهتر بشناسیم. پروفسور راجرز معتقد است سه نوع نفوذ معمولا کاربران را درگیر می‌کند و باعث می‌شوند تا حساسیت بیشتری نسبت به روش‌های تایید هویت زیستی پیدا کنند، خصوصا اگر از اثرانگشت بهره می‌برند.

اولین نوع حملات "حمله وقتی والدین خواب هستند" نام دارد. به‌طور خلاصه این حملات زمانی که بچه‌ها از انگشت والدین خود که در خواب هستند برای بازکردن قفل گوشی استفاده می‌کنند اتفاق می‌افتد. اگر والدین بیدار نشوند، بچه می‌تواند در تمام طول شب از انگشتان آن‌ها سو استفاده کرده و مثلا خریدهای بدون اجازه‌ انجام بدهد. اگرچه در مثالی که زدیم کاربر نفوذکننده یک کودک بود، اما این اتفاق ممکن است برای هر فردی که در کنار افراد دیگر (مانند خوابگاه) زندگی می‌کند نیز بیفتد. بنابراین اگر خواب سبکی ندارید پیشنهاد می‌کنیم از رمزعبور ترکیبی حرف و عدد استفاده نمایید.

نوع دیگر حملات "تایید هویت زوری" نامگذاری شده است. این حملات زمانی اتفاق می‌افتند که فردی به‌زور شما را وادار می‌کند با استفاده از اثرانگشت یا اسکن عنبیه چشم خود، تایید هویت را انجام دهید و گوشی را از حالت قفل خارج کنید. راجرز می‌گوید این مورد معمولا در سرقت‌های خیابانی بیشتر به چشم می‌خورد.

سومین نوع حملات به سرقت رفتن اطلاعات زیستی افراد است. این مورد معمولا برای افراد رده بالا مانند سلبریتی‌ها، سیاسیون، مدیران عامل ثروتمند و امثال آن اتفاق خواهد افتاد. چند نفر از سلبریتی‌ها در این زمینه مورد سو استفاده قرار گرفته‌اند. شما همواره اطلاعات زیستی خود را در مکان‌های مختلف برجای می‌گذارید و علاوه بر این، همان‌طور که تکنولوژی‌ گوشی‌های هوشمند ما در حال پیشرفت است، افراد مجرم نیز می‌توانند روش‌هایی سریع، آسان و پایدارتر را برای دزدیدن این اطلاعات به‌کار ببرند. این موضوع خصوصا در مورد اثرانگشت بسیار گران تمام می‌شود، کافیست نمونه‌ای از این اطلاعات به دست افراد مجرم برسد تا به‌راحتی امنیت شما را به خطر بیندازند.

بهترین انتخاب کدام است؟

اگر مقاله را به‌طور کامل مطالعه کرده باشید احتمالا الان درک بهتری از شیوه‌های مختلف تامین امنیت گوشی‌های هوشمند پیدا کرده‌ و می‌دانید که بهترین و امن‌ترین روش تقریبا وجود ندارد. بر روی کاغذ شاید تایید هویت زیستی امنیت بالاتری را ارائه بدهند اما حتی در شیوه‌هایی مانند اسکن عنبیه چشم نیز نواقص امنیتی متعددی وجود دارد.

یکی از راه‌حل‌های قابل دسترس استفاده ترکیبی از شیوه‌های امنیتی زیستی و غیرزیستی خواهد بود. برای مثال گوشی‌های جدید سری گلکسی سامسونگ برای تایید هویت نیازمند اثرانگشت و اسکن عنبیه چشم کاربر به‌صورت همزمان و یا ترکیب یکی از این‌دو و یک رمزعبور هستند. همچنین اپلیکیشن‌های مختلفی برای افزایش امنیت وجود دارند. برای مثال اپ Duo Mobile با استفاده از اطلاعات زیستی شما که در گوشی ذخیره شده به کاربر امکان استفاده از تایید هویت چندمرحله‌ای را می‌دهد.

اما از سادگی استفاده، بزرگ‌ترین مزیت تایید هویت با اطلاعات زیستی نمی‌توان به راحتی گذشت. دیگر لازم نیست زحمت تایپ کردن رمز عبور عجیب و غریب را به خودتان بدهید ، کافیست انگشت خود را بر روی حسگر مخصوص گذاشته و یا گوشی را در مقابل صورت خود قرار دهید تا تایید هویت انجام شود. با پیشرفت بیشتر این نوع تایید هویت و ارائه راهکار‌های سریع‌تر، تمایل کاربران به استفاده از آن‌ها نیز افزایش پیدا خواهد کرد.

یکی دیگر از دلایلی که باعث می‌شود نتوانیم با قاطعیت بهترین و امن‌ترین شیوه تایید هویت را مشخص کنیم، شرایط متفاوت کاربران است. برای مثال اگر شما یک سلبریتی معروف یا تیم کوک نیستید، احتمالا تایید هویت با استفاده از اثرانگشت و عنبیه چشم شما امنیت بسیار بالایی را برای شما به ارمغان خواهد آورد. حداقل از این‌که رمزعبور شما توسط کسی دیده شود خیال‌تان آسوده خواهد بود!

باز هم تاکید می‌کنیم که هیچ‌کدام از روش‌های زیستی و غیرزیستی بدون نقص نیستند، بنابراین تنها کاری که ما می‌توانیم انجام دهیم این است که از بهترین روشی که با شرایط ما سازگاری دارد استفاده کرده، حواس‌مان را جمع کنیم و هر کدام از روش‌ها و محدودیت‌های‌شان را به خوبی بشناسیم.