;
Hlavní navigace

S biometrií by se to nemělo přehánět, tvrdí experti

26. 10. 2015
Doba čtení: 2 minuty

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Biometrická data, např. otisky prstů, se shromažďují příliš často a často bez řádného zabezpečení. Bezpečnostní experti varují, že biometrie by se měla využívat mnohem opatrněji. Na rozdíl od přístupového hesla totiž nelze biometrické údaje v případě úniku změnit.

Podle bezpečnostních expertů ze společnosti Protegrity USA se otisky prstů v současné době využívají příliš často a bez řádného zabezpečení.

„Mnoho velkých bank využívá biometrické údaje pro přístup k účtu z mobilního telefonu. Nahrazování hesel biometrickými údaji je pro uživatele pohodlné. Mnoho firem však k biometrickým technologiím přistupuje příliš lehkovážně.

Podle výzkumné agentury Gartner  bude mít do roku 2016 okolo 40 % chytrých telefonů biometrické snímače.

Na konferenci Black Hat letos v létě zatím výzkumníci ze společnosti FireEye ukázali, jak z mobilních zařízení získávat otisky prstů ve velkém. Podle nich neukládají někteří výrobci otisky prstů bezpečně – namísto šifrovaného uložení v systémové části úložiště v podobě prostého textu na místě dostupném komukoli. Na příklad telefon HTC One Max ukládal otisky prstů jako obrazový soubor dostupný jakémukoli neprivilegovanému procesu nebo aplikaci.

Pokud jsou biometrické údaje uložené i jinde, rizika narůstají.

Hrozba není jen teoretická. Ze serverů amerického úřadu pro personální řízení ve státní správě (Office of Personnel Management) bylo nedávno ukradeno na 5,6 milionu otisků prstů, včetně otisků federálních zaměstnanců s bezpečnostními prověrkami a přístupem k tajným materiálům.

ICTS24

Je-li ukradeno heslo, je poměrně snadné jej nahradit, avšak otisky prstů, hlas nebo duhovka nahradit (zatím) příliš dobře nelze. Vzhledem k trvalé hodnotě se budou biometrické údaje nejspíš stále častěji stávat cílem útoků. Podle odborníků by měly být užívány pro sekundární ověření uživatele, tedy k autorizaci, nikoli autentifikaci, například při změně hesla nebo adresy, platbě u nového obchodníka či pro přístup k obzvlášť citlivým podnikovým systémům.

Zdroj: IDG News Service