Tại sao không nên dùng vân tay để mở khóa điện thoại?

Touch ID (khóa vân tay) từng một thời được coi là phương pháp bảo mật lý tưởng, nhưng qua thực tiễn lại bộc lộ những điểm yếu về khả năng bảo mật.

Tính năng mở khóa điện thoại bằng vân tay (Touch ID) từ lâu đã trở nên phổ biến nhờ sự tiện lợi và tốc độ. Nhiều người dùng tin rằng, vì dấu vân tay của mỗi người là độc nhất, nên việc sử dụng chúng để bảo vệ thiết bị là vô cùng an toàn. Tuy nhiên, theo các chuyên gia bảo mật, quan điểm này có thể chưa hoàn toàn chính xác. Trang AGV đã chỉ ra hai lý do quan trọng khiến bạn nên cân nhắc lại mức độ an toàn của phương pháp bảo mật bằng vân tay.

Dấu vân tay có thể bị hack

Không giống như mật khẩu chỉ tồn tại trong suy nghĩ, dấu vân tay của chúng ta được "để lại" ở rất nhiều nơi trong cuộc sống hàng ngày: trên tay nắm cửa, trên ly nước, trên bàn làm việc, và hiển nhiên là trên chính màn hình điện thoại cảm ứng của bạn. Điều này tạo ra vô số cơ hội để kẻ xấu có thể thu thập được dấu vân tay của bạn.

Khả năng tái tạo dấu vân tay từ những dấu vết để lại không chỉ là lý thuyết. Từ rất lâu, các chuyên gia bảo mật đã chứng minh điều này là khả thi. Ví dụ, Câu lạc bộ Chaos Computer Club đã gây chấn động khi vào năm 2008 họ tái tạo thành công dấu vân tay của một người chỉ từ một bức ảnh chụp. Đến năm 2013, họ còn tạo ra một ngón tay giả bằng cao su để đánh lừa cảm biến vân tay và mở khóa thiết bị. Gần đây hơn, các kỹ thuật tương tự còn trở nên đơn giản hơn, có thể thực hiện bằng những vật liệu dễ kiếm như bột nặn hay keo dán thông thường, cho thấy việc tạo ra bản sao vật lý của vân tay đang ngày càng trở nên dễ dàng.

Không chỉ dừng lại ở việc sao chép vật lý, dấu vân tay còn đối mặt với nguy cơ bị "hack" trong môi trường kỹ thuật số. Tại hội nghị Black Hat năm 2015, các chuyên gia bảo mật đã trình diễn nhiều phương thức tấn công trực tiếp vào hệ thống nhận diện vân tay. Chúng có thể bao gồm việc tạo ra các ứng dụng giả mạo màn hình mở khóa để lấy cắp dữ liệu vân tay, truy cập vào các tệp lưu trữ dữ liệu vân tay trong điện thoại để tái tạo lại hình ảnh gốc, hoặc thậm chí là tấn công trực tiếp vào đầu đọc cảm biến để lấy cắp hình ảnh vân tay mỗi khi người dùng sử dụng.

Người dùng không thể thay đổi dấu vân tay khi đã bị lộ

Đây là điểm khác biệt cốt lõi và là mối lo ngại lớn nhất. Một khi mật khẩu bị lộ, bạn có thể ngay lập tức thay đổi nó thành một mật khẩu mới để đảm bảo an toàn. Tuy nhiên, dấu vân tay là đặc điểm sinh trắc học gần như vĩnh viễn và không thể thay đổi được. Nếu kẻ xấu đã có được dấu vân tay của bạn, chúng có thể tiếp tục sử dụng nó bất cứ lúc nào và ở bất cứ đâu có hệ thống xác thực bằng vân tay. Tệ hơn nữa, dữ liệu vân tay đã bị đánh cắp có thể bị rao bán hoặc trao đổi trên thị trường chợ đen, khiến bạn đối mặt với rủi ro bảo mật kéo dài và khó kiểm soát. Mối lo ngại này càng gia tăng khi ngày càng nhiều tổ chức và dịch vụ sử dụng dấu vân tay để xác thực danh tính và giao dịch, từ ngân hàng đến các ứng dụng thanh toán.

Nhiều người dựa vào sự tiện lợi và tin vào tính độc nhất của dấu vân tay để coi nó là phương pháp bảo mật tuyệt đối. Tuy nhiên, những người thực sự am hiểu về an ninh thông tin thường không đặt hoàn toàn niềm tin vào tính năng này. Các chuyên gia cảnh báo rằng, việc mở khóa bằng vân tay không đảm bảo an toàn tuyệt đối và có những lỗ hổng cố hữu.

Mặc dù thông tin vân tay thường được lưu trữ trong một mô-đun bảo mật chuyên biệt trên điện thoại, được thiết kế để chỉ chủ sở hữu mới truy cập được, nhưng như đã đề cập ở trên, mô-đun này vẫn có thể là mục tiêu tấn công của những kẻ có ý đồ xấu. Thậm chí, trong một kịch bản đơn giản hơn, nếu điện thoại của bạn đặt trên bàn và bạn đang ngủ hoặc không để ý, kẻ gian vẫn có thể dễ dàng sử dụng ngón tay của bạn (nếu cảm biến vẫn hoạt động) để mở khóa thiết bị mà không cần bất kỳ mật khẩu nào. Rõ ràng, trong những trường hợp như vậy, mở khóa bằng vân tay kém an toàn hơn đáng kể so với yêu cầu nhập một dãy mật khẩu số hoặc ký tự.