Hiện nay như chúng ta đã biết thì xác thực sinh trắc học đóng vai trò rất quan trọng và với tương lai của các phương pháp xác thực. Tuy nhiên ta thấy không có một phương pháp xác thực nào là không có những sai sót. Cùng tìm hiểu về xác thực sinh trắc học.
Mục lục bài viết
1. Xác thực sinh trắc học là gì?
Sinh trắc học là một môn khoa học ứng dụng phân tích xác suất thống kê để nghiên cứu các hiện tượng sinh học hoặc các chỉ tiêu sinh học có thể đo lường được.
Xác thực sinh trắc học thực hiện thông qua các dấu hiệu nhận diện như: dấu vân tay, dái tai, võng mạc, hình dạng bàn tay, khuôn mặt hoặc chữ ký bằng văn bản. Trong đó, dấu vân tay là loại xác thực sinh trắc học được sử dụng phổ biến và lâu đời nhất. Trung Quốc thời cổ đại đã sử dụng dấu vân tay như một dấu hiệu xác thực duy nhất.
Với sự ra đời của công nghệ, số hóa và cơ sở dữ liệu, xác thực sinh trắc học đã tiến lên một tầm cao mới. Việc lăn tay lên mực rồi lưu trữ trên giấy đã chuyển sang quét trên máy và lưu trữ kỹ thuật số. Mỗi cá nhân đều có đặc điểm nhận diện sinh học riêng. Dữ liệu sinh trắc học của từng người được tích hợp với phần mềm, tạo ra mật khẩu cho các giao dịch điện tử hoặc mở khóa thiết bị di động. Phương thức này chính là “công nghệ sinh trắc đa nhân tố”.
2. Các loại sinh trắc học phổ biến:
Các phương pháp xác thực sinh trắc học ngày càng trở nên hoàn thiện hơn, nhưng vẫn không thể tránh khỏi sai sót.
Mật khẩu không phải là yếu tố xác thực duy nhất. Người dùng có thể sử dụng nhiều yếu tố khác để xác thực nhận dạng, bao gồm chứng thư số, token bảo mật và sinh trắc học. Hiện tại, sinh trắc học là phương pháp xác thực đang thịnh hành vì sự thuận tiện của nó. Thay vì phải nhớ rất nhiều mật khẩu dài và khác nhau, người dùng có thể chỉ cần đưa ngón tay vào cảm biến hoặc nhìn vào thiết bị để đăng nhập. Có thể thấy rằng, sinh trắc học dường như là xu hướng xác thực trong tương lai, ví dụ với các sản phẩm mới như Hello của Microsoft hay FaceID của Apple.
Tuy nhiên, sinh trắc học không thực sự giải quyết được tất cả các vấn đề bảo mật xác thực của người dùng. Mặc dù sinh trắc học là phương pháp xác thực khá chính xác, nhưng cũng không tránh khỏi sai sót. Sau nhiều năm, tin tặc và các nhà nghiên cứu đã vượt qua được các giải pháp sinh trắc học. Dưới đây là 04 lỗ hổng sinh trắc học hàng đầu:
2.1. Kẹo dẻo vượt qua xác thực dấu vân tay:
Đọc dấu vân tay là một trong những hình thức đầu tiên của sinh trắc học được sử dụng trong tính toán và phương pháp này đang khá phổ biến hiện nay. Tuy nhiên, đây cũng là một trong những phương pháp xác thực sinh trắc học đầu tiên mà các nhà nghiên cứu đã tìm ra cách vượt qua với mức giá rất rẻ.
Năm 2002, một nhà nghiên cứu người Nhật có tên là Tsutomu Matsumoto đã chia sẻ một phương pháp có thể vượt qua bộ đọc dấu vân tay chỉ với một viên kẹo dẻo cũ. Matsumoto đã lấy dấu vân tay từ cốc thủy tinh bằng kỹ thuật tương tự như cơ quan hành pháp. Sau đó, ông sử dụng dấu vân tay này để tạo ra công cụ như một ngón tay giả với chất liệu kẹo dẻo. Chỉ cần một chút khéo léo, những sáng tạo thủ công này đã vượt qua được các bộ đọc dấu vân tay.
Tất nhiên, sinh trắc học đã trở nên tiến bộ hơn theo thời gian. Các bộ đọc dấu vân tay hiện đại có thể đọc ở độ phân giải cao hơn hoặc yêu cầu các yếu tố mới như nhiệt độ, nhịp tim. Tuy nhiên, các kỹ thuật mà các nhà nghiên cứu sử dụng để vượt qua cũng tiên tiến hơn. Năm 2013, câu lạc bộ tin tặc mũ trắng Chaos Computer Club của châu Âu đã công bố phương pháp vượt qua bộ đọc dấu vân tay TouchID của iPhone ngay sau khi nó được công bố. Thậm chí gần đây, các nhà nghiên cứu đã vượt qua bộ đọc dấu vân tay chỉ với giấy và hồ dán.
Bộ đọc dấu vân tay giúp truy cập điện thoại thông minh dễ dàng hơn, nhưng công nghệ này vẫn còn nhiều sai sót và chưa thực sự đủ an toàn để tin tưởng.
2.2. Vượt qua xác thực quét mống mắt:
Những chiếc máy quét mống mắt hiện đại thường được thấy trong phim ảnh, và phương pháp xác thực sinh trắc học này không chỉ tồn tại trong khoa học viễn tưởng. Tuy nhiên, nó cũng không an toàn hơn dấu vân tay. Năm 2012, các nhà nghiên cứu đã chia sẻ cách vượt qua máy quét mống mắt bằng các bản sao hình ảnh của mống mắt. Đáng chú ý, phương pháp này có thể tái tạo nên các mống mắt giả dựa trên dữ liệu mống mắt được lưu trữ trong cơ sở dữ liệu của hệ thống sinh trắc học. Tương tự với việc cơ sở dữ liệu chứa mật khẩu bị rò rỉ dẫn đến việc tìm ra mật khẩu, thì cơ sở dữ liệu mống mắt bị rò rỉ có thể tạo ra các sản phẩm vượt qua máy quét mống mắt.
2.3. Giấy in hình khuôn mặt vượt qua xác thực quét khuôn mặt:
Xu hướng mới nhất hiện nay của sinh trắc học là quét khuôn mặt. Với các tính năng như Hello của Microsoft, người dùng có thể mở khóa máy tính hoặc thiết bị di động bằng cách nhìn vào thiết bị. Phương pháp này thực sự là một phương pháp xác thực rất tiện dụng, tuy nhiên vẫn còn quá nhiều thiếu sót nên vẫn có thể vượt qua dễ dàng.
Vào năm 2011, một nhà nghiên cứu đã nhanh chóng phát hiện ra rằng, người dùng có thể dễ dàng đánh lừa bộ phận quét khuôn mặt trên các thiết bị Android bằng hình ảnh tĩnh. Người dùng chỉ cần đưa ra cho thiết bị một bức ảnh tĩnh của mình là có thể đăng nhập được. Để lấy lại niềm tin khách hàng, Android đã cập nhật công nghệ quét khuôn mặt mới với khả năng thực hiện kiểm tra “thực” bằng cách tìm kiếm một số loại chuyển động, để đảm bảo khuôn mặt nhìn vào máy ảnh là của một người thực sự. Tuy nhiên, chỉ cần thêm hình ảnh nháy mắt là có thể vượt qua tính năng kiểm tra mới này. Cụ thể, việc chỉnh sửa hình ảnh khuôn mặt gốc thành hình ảnh mắt nhắm và có sự chuyển đổi giữa hai ảnh tĩnh là có thể vượt qua được tính năng kiểm tra thực này. Dù vậy, tính năng nhận dạng khuôn mặt vẫn đang tiếp tục được phát triển.
Máy in 3D vượt qua xác thực quét khuôn mặt
Năm 2017, Apple đã phát hành một tính năng quét khuôn mặt mới được gọi là FaceID. Nhìn chung, trải nghiệm của người dùng về tính năng này giống như các bộ phận quét khuôn mặt khác. Tuy nhiên, công nghệ nhận dạng khuôn mặt FaceID chính xác hơn và khó có thể bị đánh bại. Về cơ bản, công nghệ FaceID bao gồm một cảm biến (TrueDepth) gửi đi hàng nghìn tia ánh sáng hồng ngoại, từ đó vẽ ra chính xác khuôn mặt của người dùng. Điều này cho phép điện thoại lưu trữ hình ảnh kỹ thuật số 3 chiều về khuôn mặt của người dùng, có thể nhận dạng từ nhiều góc độ. Apple củng cố tính năng này bằng học máy, từ đó có thể nhận ra người dùng ngay cả khi họ đội mũ, kính hoặc các phụ kiện khác – đây là điều mà các bộ phận quét khuôn mặt với phương pháp cũ không làm được.
3. Xác thực sinh trắc học có ưu điểm và hạn chế nào?
Ưu điểm
+ Có khả năng cải thiện tính bảo mật, kiểm soát truy cập an toàn, thoải mái, tránh để lộ thông tin người dùng cho tội phạm mạng
+ Là một giải pháp bảo mật hiện đại và phức tạp nhất, có độ chính xác gần như là tuyệt đối trong quá trình xác thực
+ So với phương pháp xác thực truyền thống, bảo mật sinh trắc học có thao tác thực hiện nhanh hơn, người dùng hạn chế tình trạng quên chuỗi mật khẩu dài và phức tạp như trước kia
+ Khắc phục hiện tượng quá tải thông tin đăng nhập trên các ứng dụng hoặc thiết bị khác nhau
+ Xác thực sinh trắc học có tính linh hoạt, dễ đăng ký và triển khai sử dụng
Hạn chế
+ Các thiết bị xác thực sinh trắc học thường có chi phí đắt hơn so với thiết bị nhập mật khẩu truyền thống
+ Nhận dạng sinh trắc học không chính xác 100%. Ví dụ: Máy xác thực sinh trắc học sẽ không nhận diện được giọng nói khi người dùng bị cảm cúm hoặc không nhận diện được khuôn mặt khi người dùng tăng/giảm cân
+ Gây ảnh hưởng đến quyền riêng tư của người sử dụng