Биометрия в смартфоне: насколько на самом деле надёжны отпечаток пальца и Face ID?

817
Биометрия в смартфоне: насколько на самом деле надёжны отпечаток пальца и Face ID?

Биометрия в смартфоне давно стала привычной: телефон открывается по отпечатку пальца, лицо подтверждает оплату, банковское приложение не просит каждый раз вводить пароль. Удобство здесь очевидно, но надежность зависит не от самого слова биометрия, а от конкретной реализации. Face ID на iPhone, Touch ID, ультразвуковой сканер отпечатка в Android-смартфоне и простое распознавание лица через фронтальную камеру - это разные уровни защиты.

Биометрия не заменяет код-пароль. Она работает как быстрый способ доказать смартфону, что перед ним владелец. Но после перезагрузки, нескольких неудачных попыток, долгой паузы без разблокировки или изменения настроек устройство все равно потребует код. Поэтому слабый PIN-код вроде 1234 портит всю схему, даже если датчик отпечатка или Face ID сами по себе работают хорошо.

Что смартфон хранит на самом деле

Смартфон не должен хранить фотографию лица или картинку отпечатка в виде обычного файла. При настройке система создает биометрический шаблон - набор данных, по которому потом сравнивает новые попытки входа. У Apple данные Face ID и Touch ID обрабатываются на устройстве и защищаются отдельным компонентом Secure Enclave. Это описано в руководстве Apple по безопасности.

На Android единых цифр для всех смартфонов нет. Слишком разные датчики, процессоры, камеры, прошивки и оболочки. Официальная документация Android делит биометрию на три класса: Class 3, Class 2 и Class 1. Class 3 - самый строгий уровень, раньше он назывался Strong. Class 1 ближе к удобной разблокировке экрана и не подходит для чувствительных операций в приложениях. Поэтому оценивать нужно не только способ входа, но и уровень биометрии на конкретном устройстве.

Face ID и Touch ID: какие цифры дает Apple

Apple публикует оценки вероятности случайного совпадения. Для Face ID вероятность того, что случайный человек сможет разблокировать iPhone или iPad Pro, меньше 1 к 1 000 000 при одном зарегистрированном лице. Для Touch ID вероятность случайного совпадения меньше 1 к 50 000. Эти данные указаны в справке Apple и в руководстве по защите платформы.

Эти цифры не означают, что любой вход по лицу надежнее любого отпечатка пальца. Они относятся к конкретным технологиям Apple. Face ID использует систему TrueDepth: инфракрасную камеру, точечный проектор и датчики глубины. Простое распознавание лица на некоторых Android-смартфонах может работать иначе и быть заметно слабее.

Метод Где силен Где есть риск
Face ID Хорошо защищен от обычных фото и видео, учитывает объем лица, удобен для платежей и входа в приложения Риск выше для близнецов, очень похожих родственников и детей младше 13 лет
Touch ID и сканер отпечатка Быстрый вход, удобство в темноте, не зависит от маски, очков и положения лица Палец может быть мокрым, поврежденным или грязным; отпечатки остаются на поверхностях
Распознавание лица на Android Может быть удобным и быстрым, на отдельных моделях достигает сильного класса биометрии На части смартфонов это менее строгая проверка по камере, которая хуже защищает от подмены

Отпечаток пальца: удобный, но не секретный

Сканер отпечатка обычно хорошо защищает от случайного доступа. Постороннему человеку трудно подобрать палец, который совпадет с зарегистрированным шаблоном. Но отпечаток пальца нельзя считать тайной. Мы оставляем следы на стаканах, дверных ручках, экранах, корпусе телефона и рабочих поверхностях.

Для обычного пользователя это редко становится реальной угрозой. Чтобы воспользоваться чужим отпечатком, атакующему нужны физический доступ, подходящие материалы, время и понимание конкретного датчика. Но для целевой атаки, конфликта внутри семьи или доступа к корпоративному устройству такой риск уже нельзя полностью игнорировать.

Сканеры тоже бывают разными. Емкостный датчик считывает электрические свойства кожи, оптический датчик под экраном фактически получает изображение рисунка пальца, ультразвуковой строит более сложную карту поверхности. Надежность зависит не только от типа сенсора, но и от проверки живого пальца, защиты шаблона, ограничений на число попыток и качества прошивки.

Face ID: сильная биометрия, но не без исключений

Face ID устойчивее к бытовым попыткам обмана, чем обычная камера. Фотография на другом телефоне, распечатанный снимок или видео не должны проходить проверку, потому что система смотрит не только на плоское изображение. После пяти неудачных попыток Face ID требует код-пароль.

У Face ID есть настройки, которые влияют на безопасность. На iPhone они находятся в разделе «Настройки» > «Face ID и код-пароль». В этом разделе можно выбрать, где использовать Face ID, настроить «Face ID в маске», добавить «Альтернативный внешний вид» и сбросить данные через «Сброс Face ID». Apple описывает этот путь в справке по Face ID.

Параметр «Требовать внимание для Face ID» лучше оставлять включенным. Тогда iPhone проверяет, что глаза открыты и взгляд направлен на устройство. Это снижает риск разблокировки, когда человек спит, плохо контролирует ситуацию или не хочет открывать телефон.

Android: почему нельзя обобщать

На Android один и тот же термин может скрывать разные технологии. У одного смартфона распознавание лица подходит только для разблокировки экрана. У другого оно может относиться к более сильному классу биометрии и использоваться в приложениях. Отпечаток пальца тоже зависит от конкретного сенсора и реализации производителя.

Поэтому не стоит оценивать Android-смартфон по формуле есть лицо - безопасно или есть отпечаток - безопасно. Лучше смотреть, принимает ли биометрию банковское приложение, платежный сервис и менеджер паролей. Если приложение не дает подтвердить платеж или вход лицом, а просит отпечаток или код, значит система считает такой способ недостаточно надежным для чувствительного действия.

Точные названия настроек на Android отличаются. На разных моделях нужные пункты могут называться «Биометрия и безопасность», «Безопасность и конфиденциальность», «Блокировка экрана», «Отпечаток пальца», «Распознавание лица» или «Разблокировка по лицу». Если производитель предупреждает, что распознавание лица менее безопасно, эту подсказку лучше воспринимать буквально.

Когда биометрия проигрывает паролю

  • При слабом коде. Биометрия опирается на код-пароль. Если код короткий и очевидный, устройство остается уязвимым.
  • При физическом давлении. Палец можно попытаться приложить к датчику, лицо - показать камере. Для спорных ситуаций лучше заранее отключать биометрию временной блокировкой.
  • При слабом распознавании лица. Простая проверка через фронтальную камеру хуже защищает от фото, видео и похожего человека.
  • При лишних биометрических данных. Чем больше пальцев, лиц и альтернативных внешностей добавлено, тем шире поверхность риска.
  • При старой прошивке. Биометрия зависит от системной защиты, драйверов датчиков, хранилища ключей и исправлений безопасности.

Как настроить iPhone безопаснее

  1. Откройте «Настройки» > «Face ID и код-пароль» или «Touch ID и код-пароль».
  2. Проверьте, что задан код-пароль. Apple указывает путь через «Вкл. код-пароль» в справке о код-пароле.
  3. Нажмите «Параметры код-пароля» и выберите не четырехзначный код, а длинный цифровой или буквенно-цифровой.
  4. Оставьте включенным «Требовать внимание для Face ID».
  5. Не добавляйте «Альтернативный внешний вид» для другого человека.
  6. Проверьте список функций в разделе «Использовать Face ID для» или «Использовать Touch ID для» и отключите лишнее.
  7. Для телефона с чувствительными данными включите «Стирание данных» после десяти неудачных попыток, если готовы к риску потери данных без резервной копии.

Как настроить Android безопаснее

  1. Откройте настройки безопасности. Название раздела зависит от производителя: чаще встречаются «Безопасность и конфиденциальность», «Биометрия и безопасность» или «Блокировка экрана».
  2. Поставьте длинный PIN-код, пароль или надежный графический ключ. Не используйте дату рождения, повторяющиеся цифры и простые последовательности.
  3. Добавьте отпечаток пальца, если датчик работает стабильно. Не регистрируйте пальцы других людей.
  4. Если включаете распознавание лица, прочитайте предупреждение производителя. Если система пишет, что способ менее безопасен, не используйте его для важных данных.
  5. Проверьте, какие приложения принимают лицо, а какие требуют отпечаток или код. Для банковских приложений и менеджеров паролей это хороший практический индикатор.
  6. Включите автоматические обновления системы и исправлений безопасности.

Биометрию можно временно отключить без удаления отпечатков и лица. На iPhone для этого можно вызвать экран экстренного вызова или выключения, после чего устройство потребует код-пароль. На Android у многих производителей есть режим временной блокировки, но название и доступность отличаются.

Такой прием полезен перед досмотром, ремонтом, передачей телефона другому человеку, конфликтной встречей или ситуацией, где есть риск физического принуждения. Биометрия хороша для повседневного удобства, но в спорной ситуации код-пароль дает больше контроля.

Биометрия в смартфоне: насколько на самом деле надёжны отпечаток пальца и Face ID? И как их правильно настроить

Можно ли доверять биометрии

Да, если не путать надежность и неуязвимость. Face ID, Touch ID и качественный сканер отпечатка лучше, чем отсутствие блокировки или короткий PIN-код. Они защищают от случайного доступа, потери телефона, любопытных знакомых и большинства бытовых попыток открыть устройство.

Для чувствительных данных схема должна быть строже: длинный код-пароль, актуальные обновления, минимум зарегистрированных биометрических данных, включенная проверка внимания на iPhone и осторожность с распознаванием лица на Android. Биометрия отвечает за удобный вход, а код-пароль остается последней линией защиты.

FAQ: коротко о биометрии в смартфоне

Face ID надежнее отпечатка пальца?

В устройствах Apple заявленная вероятность случайного совпадения у Face ID ниже, чем у Touch ID. Для Android такого общего сравнения нет: надежность зависит от класса биометрии и конкретного устройства.

Можно ли обмануть Face ID фотографией?

Обычная фотография или видео не должны пройти Face ID, потому что система использует датчики глубины и инфракрасную проверку. Простое распознавание лица через камеру на некоторых Android-смартфонах может быть слабее.

Что безопаснее: отпечаток или PIN-код?

Длинный PIN-код или пароль надежнее как последний рубеж. Отпечаток удобнее для повседневного входа, но должен дополнять сильный код, а не заменять его.

Стоит ли отключать биометрию?

Для обычного использования чаще нет. Но перед рискованной ситуацией стоит временно заблокировать биометрию, чтобы телефон требовал код-пароль.

Нужно ли добавлять несколько пальцев?

Можно добавить два-три своих пальца для удобства, но не стоит регистрировать чужие пальцы. Чем больше биометрических вариантов, тем выше шанс нежелательного доступа.

биометрия Face ID Touch ID
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Вебинар · 8 июля · 14:00

Как машинное обучение находит хакера, скрытого в сети

ML-кластеризация и риск-скоринг хостов — новый уровень детектирования атак

Регистрируйтесь на вебинар →
Реклама. 16+ ООО «Гарда Технологии» ИНН 5260443081

Техно Леди

Технологии и наука для гуманитариев