Hiện nay, việc sử dụng mật khẩu trong bảo mật thông tin đã cho thấy nhiều bất cập. Không ít người dùng chuỗi những ký tự dễ đoán, nhưng ngay cả khi tạo đoạn mã đủ dài, hacker vẫn có thể tìm ra, nhờ các phần mềm gián điệp cài trên thiết bị của người dùng hay lợi dụng việc người dùng để lộ mật khẩu trên các website. Theo đó, việc sử dụng bảo mật vân tay bằng sinh trắc học hiện đang được trên thế giới thực hiện nhiều.
Tuy nhiên, nhiều chuyên gia bảo mật công nghệ thông tin cảnh báo, việc bảo mật vân tay sinh trắc học vẫn có nhiều rủi ro do chúng ta để lại quá nhiều dấu vân tay mỗi lần chạm vào các đồ vật. Vì thế, bất kỳ ai cũng có thể khai thác kẽ hở này vào mục đích xấu.
Bảo mật vân tay vẫn nhiều nguy cơ rủi ro. |
Có thể thấy, lần đầu tiên hãng điện thoại “quả táo cắn dở” cho ra điện thoại bảo mật vân tay bằng cảm biến Touch ID trên iPhone 5S, đánh dấu một bước tiến đầu tiên về bảo mật thông tin của smartphone trên thế giới. Thế nhưng, hacker người Đức Jan Krissler đã rất rất hào hứng với cảm biến Touch ID trên iPhone 5S và ông mua ngay một chiếc, tìm cách bẻ khóa thiết bị và kết luận: “Việc đó quá dễ dàng”.
Thủ thuật của Krissler là lấy mẫu vân tay (điều rất đơn giản), sau đó tạo một bản sao trên chất liệu cứng. Tiếp đến, ông phủ một lớp keo mỏng để in nổi vân tay với các đường vân rõ ràng. Việc đó giống như làm giả chiếc chìa khóa nhà. Số tiền hacker này bỏ ra không quá 5 USD.
Trên thực tế, việc đánh cắp vân tay rất dễ, ngay cả khi chụp ảnh. Chỉ cần một ống kính đủ tốt, với ánh sáng đèn chiếu phòng họp, hình ảnh chụp lại đủ tiết lộ những thông tin cá nhân nhạy cảm. Điều tương tự cũng có thể xảy ra với bất kỳ ai nếu một bức ảnh đủ nét của họ được tung lên mạng, chưa kể không ít bạn còn hồn nhiên tải ảnh chụp hộ chiếu, chứng minh thư lên Facebook.
Ngày 27/9 vừa qua, Kaspersky cũng đã lên tiếng về mối nguy hiểm đe dọa trong tương lai gần đối với ATM khi sử dụng bảo mật vân tay vì đã cuất hiện skimmer (đầu đọc thẻ giả) sinh trắc học. Có thể nói, ATM là mục tiêu của những kẻ chuyên săn thông tin thẻ tín dụng. Mọi việc bắt đầu khi skimmer đầu tiên được gắn vào ATM có khả năng đánh cắp thông tin từ dải từ và mã PIN của thẻ được hỗ trợ bằng bàn phím ATM hoặc camera giả. Về sau, thiết kế của những thiết bị này được cải tiến giúp chúng khó phát hiện hơn. Ngành ngân hàng ứng phó với vấn đề này bằng phương pháp xác định danh tính mới, trong đó có nhiều giải pháp dựa trên sinh trắc học.
Đã xuất hiện skimmer sinh trắc học trên máy ATM. |
Thế nhưng, điều đáng nói là nếu dùng mật khẩu thông thường, trong trường hợp phát hiện tài khoản bị hack, người dùng chỉ việc thay đổi mật khẩu, thêm ít ký tự hoặc xóa bớt chữ là vấn đề được giải quyết. Tuy nhiên, bất kỳ điều gì liên quan đến nhận dạng sinh học sẽ rất khó để thay đổi. “Bởi có một thực tế là dù dấu vân tay của mỗi người khác nhau, nhưng chúng tồn tại mãi mãi mà không thay đổi (trừ trường hợp bị biến dạng bề mặt ngón tay hoặc can thiệp bằng dao kéo). Hacker chỉ cần đánh cắp một lần và dùng “cả đời”. Vì thế, đó là phương thức bảo mật kém an toàn hơn cả việc đặt mật khẩu”, ông Jimmy, đại diện Kaspersky chia sẻ.
Nhiều lỗi đã được phát hiện ở loại skimmer mới này trong bài kiểm tra trước khi được ra mắt vào tháng 9/2015. Vấn đề chính ở đây là việc sử dụng module GSM để chuyển dữ liệu sinh trắc học: chúng quá chậm và không thể chuyển đi lượng thông tin lớn mà chúng nhận được. Và sau đó, nhiều phiên bản của skimmer sử dụng những công nghệ khác có thể truyền dữ liệu nhanh hơn.
Nghiên cứu sâu hơn vào thế giới ngầm của tội phạm mạng, Kaspersky Lab đã phát hiện ít nhất 12 kẻ kinh doanh skimmer có thể đánh cắp dấu vân tay của nạn nhân và ít nhất 3 kẻ nghiên cứu thiết bị có thể lấy dữ liệu từ hệ thống nhận diện bằng mạch máu trong lòng bàn tay và nhãn cầu.
Kaspersky Lab nhận định rằng, vì không thể thay đổi dấu vân tay hoặc hình ảnh nhãn cầu nên một khi đã bị tấn công thì việc sử dụng phương pháp xác định danh tính này không còn an toàn nữa, khác với khi sử dụng mật khẩu hay mã PIN có thể dễ dàng thay đổi được.
Đáng lo ngại hơn, dữ liệu sinh trắc học còn được lưu lại trên loại hộ chiếu mới – hộ chiếu điện tử - và visa. Do đó, nếu kẻ tấn công có được hộ chiếu điện tử thì chúng không những sở hữu chúng mà còn kèm theo dữ liệu sinh trắc học. Chúng đã đánh cắp danh tính của một người.
Trong khi đó, sử dụng công cụ có khả năng xâm nhập dữ liệu sinh trắc học không phải mối đe dọa mạng duy nhất mà ATM đang đối mặt. Hacker sẽ tiếp tục thực hiện tấn công bằng phần mềm độc hại, tấn công blackbox và mạng lưới để lấy cắp dữ liệu mà sau đó có thể dùng để đánh cắp tiền từ ngân hàng và người dùng.
Ngoài ra, dấu vân tay được mã hóa để làm “vật đối chứng” mỗi lần cần xác minh cũng có những lỗ hổng nhất định. Thông tin mã hóa có thể tồn tại trên thiết bị người dùng, thẻ từ hoặc trong cơ sở dữ liệu của tổ chức nào đó. Hacker sẽ lấy được dấu vân tay cũng giống như mật khẩu thông qua hình thức tấn công, đánh cắp dữ liệu.
Trước đây, cơ quan chính phủ các nước đã sử dụng bảo mật hai lớp, bao gồm cả mật khẩu và dấu vân tay. Tất cả đều được mã hóa trong thẻ. Nhưng vụ tấn công đánh cắp hàng loạt thông tin nhân sự của Mỹ đã khiến các nhà chức trách phải nghĩ tới việc thêm yếu tố bảo mật thứ ba.