Xác thực sinh trắc học như chúng ta biết ngày nay đóng một vai trò rất quan trọng và kéo theo đó là tương lai của các phương thức xác thực. Tuy nhiên, chúng tôi không thấy một phương thức xác thực nào không có sai sót.
1. Xác thực sinh trắc học là gì?
Theo Wikipedia: “Sinh trắc học là khoa học áp dụng phân tích thống kê để nghiên cứu các hiện tượng sinh học hoặc các chỉ số sinh học có thể đo lường được.”
Xác thực sinh trắc học được thực hiện bằng các dấu hiệu nhận dạng như: vân tay, dái tai, võng mạc, bàn tay, khuôn mặt hoặc chữ ký viết tay. Trong số này, dấu vân tay là loại xác thực sinh trắc học được sử dụng phổ biến nhất và lâu đời nhất. Trung Quốc cổ đại sử dụng dấu vân tay như một dấu hiệu nhận dạng duy nhất.
Với sự ra đời của công nghệ, số hóa và cơ sở dữ liệu, xác thực sinh trắc học đã đạt đến một tầm cao mới. Tập quán lăn mực bằng tay rồi lưu trữ trên giấy đã chuyển sang quét máy và lưu trữ kỹ thuật số. Mọi người đều có một bản sắc sinh học độc đáo. Dữ liệu sinh trắc học của mỗi người được tích hợp với phần mềm để tạo mật khẩu cho các giao dịch điện tử hoặc mở khóa thiết bị di động. Cách tiếp cận này được gọi là “sinh trắc học đa yếu tố”.
2. Các loại sinh trắc học phổ biến:
Các phương pháp xác thực sinh trắc học ngày càng tốt hơn nhưng sai sót vẫn xảy ra.
Xác thực bằng mật khẩu ẩn chứa nhiều rủi ro về bảo mật. Người dùng vẫn chọn mật khẩu ngắn, dễ đoán hoặc sử dụng cùng một mật khẩu cho nhiều tài khoản. Đồng thời, các tổ chức được ủy thác nắm giữ dữ liệu khách hàng thường gặp các sự cố như rò rỉ thông tin, mất thông tin đăng nhập, bảo mật thông tin khách hàng. Do đó, mật khẩu như một tiêu chuẩn xác thực không còn được tin cậy nữa.
Mật khẩu không phải là yếu tố xác thực duy nhất. Người dùng có thể xác thực bằng nhiều yếu tố khác, bao gồm chứng chỉ kỹ thuật số, mã thông báo bảo mật và sinh trắc học. Hiện nay, sinh trắc học là một phương pháp xác thực phổ biến do sự tiện lợi của chúng. Thay vì phải nhớ nhiều mật khẩu dài và khác nhau, người dùng có thể đăng nhập đơn giản bằng cách đặt ngón tay lên cảm biến hoặc nhìn vào thiết bị. Có thể thấy sinh trắc học dường như là xu hướng xác thực trong tương lai, chẳng hạn như sản phẩm hello mới của Microsoft và faceid của Apple.
Tuy nhiên, sinh trắc học thực sự không thể giải quyết tất cả các vấn đề về bảo mật xác thực người dùng. Mặc dù sinh trắc học là một phương pháp xác thực khá chính xác, nhưng chúng không tránh khỏi sai sót. Nhiều năm sau, tin tặc và các nhà nghiên cứu đã bẻ khóa các giải pháp sinh trắc học. Dưới đây là 4 lỗ hổng sinh trắc học hàng đầu:
2.1. Marshmallow đã thông qua xác thực dấu vân tay:
Đọc vân tay là một trong những hình thức sinh trắc học sớm nhất được sử dụng trong điện toán và phương pháp này rất phổ biến ngày nay. Tuy nhiên, nó cũng là một trong những phương pháp xác thực sinh trắc học đầu tiên mà các nhà nghiên cứu nhận thấy có thể bỏ qua rất rẻ.
Năm 2002, một nhà nghiên cứu người Nhật tên là tsutomu matsumoto đã chia sẻ một cách để qua mặt đầu đọc dấu vân tay chỉ bằng những viên kẹo dẻo cũ. Matsumoto trích xuất dấu vân tay từ cốc bằng kỹ thuật tương tự được sử dụng bởi các nhân viên thực thi pháp luật. Sau đó, anh ấy đã sử dụng dấu vân tay này để tạo ra một công cụ giống như ngón tay giả từ vật liệu kẹo dẻo. Với một chút khéo léo, những sáng tạo thủ công này thông minh hơn đầu đọc dấu vân tay.
Tất nhiên, sinh trắc học đã trở nên tiên tiến hơn theo thời gian. Đầu đọc dấu vân tay hiện đại có thể đọc ở độ phân giải cao hơn hoặc yêu cầu các yếu tố mới như nhiệt độ, nhịp tim. Tuy nhiên, kỹ thuật mà các nhà nghiên cứu sử dụng để vượt qua cũng tiên tiến hơn. Vào năm 2013, Câu lạc bộ máy tính Chaos của các hacker mũ trắng châu Âu đã công bố một phương pháp vượt qua đầu đọc dấu vân tay TouchID của iPhone, ngay sau khi nó được công bố. Thậm chí gần đây, các nhà nghiên cứu đã vượt qua đầu đọc dấu vân tay chỉ sử dụng giấy và keo dán.
Trình đọc dấu vân tay giúp truy cập điện thoại thông minh dễ dàng hơn, nhưng công nghệ này vẫn còn thiếu sót và không đủ an toàn để tin cậy.
2.2. Xác thực bằng cách quét mống mắt:
Máy quét mống mắt hiện đại thường xuất hiện trong phim nhưng phương pháp xác thực sinh trắc học này không chỉ tồn tại trong khoa học viễn tưởng. Tuy nhiên, nó cũng không an toàn hơn dấu vân tay. Vào năm 2012, các nhà nghiên cứu đã chia sẻ cách vượt qua máy quét mống mắt bằng cách sử dụng các bản sao của hình ảnh mống mắt. Đáng chú ý, phương pháp này có thể tái tạo mống mắt nhân tạo từ dữ liệu mống mắt được lưu trữ trong cơ sở dữ liệu hệ thống sinh trắc học. Tương tự như cách cơ sở dữ liệu mật khẩu bị rò rỉ có thể dẫn đến việc khám phá mật khẩu, cơ sở dữ liệu mống mắt bị rò rỉ có thể tạo ra các sản phẩm đi qua máy quét mống mắt.
2.3. Xác thực bằng khuôn mặt:
Xu hướng mới nhất trong sinh trắc học là quét khuôn mặt. Với các tính năng như Hello của Microsoft, người dùng có thể mở khóa máy tính hoặc thiết bị di động của họ bằng cách nhìn vào thiết bị. Phương pháp này thực sự là một phương pháp xác thực rất thuận tiện, nhưng nó vẫn có quá nhiều thiếu sót, có thể dễ dàng vượt qua.
Vào năm 2011, một nhà nghiên cứu đã nhanh chóng phát hiện ra rằng người dùng có thể dễ dàng đánh lừa máy quét khuôn mặt trên thiết bị Android bằng cách sử dụng hình ảnh tĩnh. Người dùng chỉ cần đưa một bức ảnh tĩnh của mình lên thiết bị để đăng nhập. Để lấy lại lòng tin của khách hàng, android đã cập nhật công nghệ quét khuôn mặt mới, có khả năng thực hiện kiểm tra “thực tế” bằng cách tìm kiếm một số loại chuyển động để đảm bảo rằng khuôn mặt đối diện với camera là người thật từ người khác. Tuy nhiên, kiểm tra mới này có thể được thông qua bằng cách thêm hình ảnh nháy mắt. Cụ thể, có thể bỏ qua bước kiểm tra thực tế này bằng cách chỉnh sửa hình ảnh khuôn mặt ban đầu thành hình ảnh nhắm mắt và thực hiện chuyển đổi giữa hai hình ảnh tĩnh. Tuy nhiên, nhận dạng khuôn mặt vẫn là một công việc đang được tiến hành.
4. máy in 3d vượt qua xác thực quét khuôn mặt
Vào năm 2017, Apple đã phát hành một tính năng quét khuôn mặt mới có tên là faceid. Nhìn chung, trải nghiệm của người dùng với tính năng này cũng giống như các máy quét khuôn mặt khác. Tuy nhiên, công nghệ nhận dạng khuôn mặt faceid chính xác hơn và khó bị đánh bại hơn. Về cơ bản, công nghệ faceid bao gồm một cảm biến (truedepth) phát ra hàng nghìn tia hồng ngoại để lập bản đồ khuôn mặt người dùng một cách chính xác. Điều này cho phép điện thoại lưu trữ hình ảnh kỹ thuật số 3D của khuôn mặt người dùng, có thể nhận dạng được từ nhiều góc độ. Apple đã tăng cường tính năng này bằng công nghệ máy học để có thể nhận ra người dùng ngay cả khi họ đội mũ, đeo kính hoặc các phụ kiện khác – điều mà các máy quét khuôn mặt cũ không thể làm được.
3. Ưu điểm và nhược điểm của xác thực sinh trắc học là gì?
Ưu điểm
+ Khả năng nâng cao tính bảo mật, kiểm soát truy cập an toàn, tiện lợi, tránh lộ thông tin người dùng cho tội phạm mạng
+ là giải pháp bảo mật hiện đại và tinh vi nhất với độ chính xác gần như tuyệt đối trong quá trình xác thực
+ So với các phương thức xác thực truyền thống, bảo mật sinh trắc học có tốc độ hoạt động nhanh hơn, người dùng sẽ không bị quên những chuỗi mật khẩu dài và phức tạp như trước
+ Khắc phục tình trạng quá tải thông tin xác thực trên các ứng dụng hoặc thiết bị khác nhau
+ Xác thực sinh trắc học linh hoạt, dễ đăng ký và sử dụng
Hạn chế
+ Thiết bị xác thực sinh trắc học thường đắt hơn thiết bị nhập mã PIN truyền thống
+ Sinh trắc học không chính xác 100%. Ví dụ, khi người dùng bị cảm, máy xác thực sinh trắc học sẽ không nhận dạng được giọng nói, khi người dùng tăng/giảm cân, máy xác thực sinh trắc học sẽ không nhận dạng được khuôn mặt
+ Ảnh hưởng đến quyền riêng tư của người dùng