PIN-kódtól az ujjlenyomatig: melyik a legbiztonságosabb telefonzár?

2

Manapság már sokféleképpen lezárhatjuk a mobilunkat, hogy illetéktelenek ne férjenek hozzá még akkor sem, ha valahogy hozzájuk kerül a készülék. De vajon a sok módszer közül melyik a leghatékonyabb?

Amikor az első mobiltelefonok terjedni kezdtek, gyorsan kiderült a gyártók számára is, hogy érdemes őket ellátni valamilyen biztonsági megoldással, hiszen ha a tulajdonosok elvesztették a készülékeiket, esetleg ellopták tőlük, az illetéktelenek azonnal elkezdhettek az ő számlájukra telefonálgatni, üzeneteket küldeni, vagy akár megtéveszteni másokat. Ez az okostelefonok megjelenésével még veszélyesebbé vált, hiszen itt már ezerféle személyes adathoz férhettek hozzá a dokumentumoktól képeken át a különféle jelszavakig, pillanatok alatt kiüríthették a bankszámlánkat, betörhettek a céges levelezésbe és így tovább.

A legelső, széles körben elterjedt készülékzár a PIN-kód volt, hiszen a néhány számból álló karaktersort még az egyszerű számbillentyűzeteken is könnyen be lehetett pötyögni. Az érintőkijelzős készülékeken aztán megjelentek alternatívák, például a pontokat összekötő vonalak kombinációi, a betű-szám-írásjel kombinációs jelszavak, később pedig az olyan biometrikus módszerek, mint az ujjlenyomat-olvasás és az arcfelismerés. Kényelmi szempontból mindenkinek más és más a kedvence, de azért azt is figyelembe kell venni, mennyire szeretnénk tényleg biztonságban tudni a mobilunkat és a rajta lévő összes adatot.

Még mindig népszerű a PIN, feljövőben az ujjlenyomat

A Statista 2021 végén publikált felmérése szerint a felhasználóknak még mindig közel harmada (32 százalék) megmaradt az egyszerűbb PIN-kódok használata mellett. Ugyanennyien válaszoltak úgy, hogy az ujjlenyomat-olvasót részesítik előnyben, ami nem csoda, hiszen manapság már a legegyszerűbb készülékekben is elérhető ez a módszer, a csúcsmodellekben pedig már egyre gyakrabban kényelmesen, az érintőkijelző alá helyezik el. Nagy ugrás után 15 a felhasználók 15 százaléka alkalmazza a többféle karaktertípusból összerakott jelszavakat, majd az arcfelismerés következik 9,6 százalékkal. Végül pedig a pont-összekötősdi marad 8,8 százalékkal, és bizony, meg kell említeni a válaszadók 1,6 százalékát, akik még mindig semmilyen készülékzárat nem alkalmaznak.

Nézzük akkor sorban a módszereket és azt, milyen előnyökkel és hátrányokkal lehet számolni, ha ezeket használjuk!

PIN-kód: egyszerű, de túlhaladott

A PIN-kód viszonylag egyszerű módszer, ráadásul a közhiedelemmel ellentétben már nem korlátozódik feltétlenül csupán négy számjegyre. Android alatt például 16 számjegyig bővíthetjük a hosszát, iPhone-on pedig hat számjegy a maximum. Egy négyjegyű PIN-kód feltörésekor a próbálkozónak tízezer lehetséges kombinációval kell számolnia, amely manapság már nem számít soknak, főleg, ha valamilyen automatikus kódtörő segédet alkalmaznak. Hatjegyű számsorral máris egymillióra nő a lehetséges kombinációk száma, míg 16 számjeggyel eljutunk a 10 kvadrillió lehetőségig, ami ugyan nagyon biztonságos, ám sima számokról beszélünk, tehát ezt a felhasználó fogja nehezen észben tartani.

A szakértők manapság úgy vélik, a PIN-kódot leginkább alternatívaként érdemes használni valamilyen biometrikus módszer mellett. Ilyenkor is törekedjünk a lehető legtöbb számjegy alkalmazására, és persze kerüljük az egyértelmű kombinációkat az 1234-től a 9999-en át a saját születési évünkig.

Ujjlenyomat: a biztos középút

Az emberek ujjlenyomata olyan egyedi jelleg, amely már a digitális korszak előtt is közel egyértelmű azonosítóként szolgált, többek között a bűnügyi nyilvántartásokban. Elméletileg a Föld jelenlegi nyolcmilliárdos lakossága mellett kizárható, hogy két embernek teljesen ugyanolyan rajzolatú ujjnyomai legyenek, tehát ebből a szempontból hiperbiztonságosnak számít a módszer, ám persze nem mindegy, milyen technológia áll mögötte. A mai mobilok általában az optikai szenzorokat használják: ezek rövid ideig alulról megvilágítják a felületre helyezett ujjbegyet, és azt olvassák be, ahogy a redők csúcsairól, valamint a közöttük levő árkokról hogyan verődik vissza a fény. Az így feltérképezett rendszert továbbadják egy olyan szoftvernek, amely képes referenciapontokat felismerni: ezt mostanában leggyakrabban az úgynevezett minutiae (azaz aprólékos) módszerrel dolgozzák fel, amely nem csak azt figyeli, hogy egyes helyeken redő, árok, egyenes vonal vagy valamilyen kanyar található, de az ilyen elemek egymáshoz képest elfoglalt helyzetét, távolságát is számításba veszi.

Az általánosan tapasztaltak szerint ma már egy belépő szintű telefonon is nagyon pontos az ujjlenyomatok feldolgozása – ráadásul a gyártók inkább szigorúbban kezelik az eredményeket, tehát lehet, hogy bosszantó néha a figyelmeztetés felugrása után újra próbálkozni, de legalább már tényleg nem lehet feloldani egy mobilt az ujjunk helyett mondjuk a macska tappancsával (ami a kezdeti időkben bizony tényleg megtörténhetett).

Jelszó: macerás, de hatékony

Ahogy számítógépeken és online szolgáltatásokban is tapasztalhatjuk, egy jól megválasztott jelszó szinte atombiztos is lehet (hacsak nem szivárog ki valamilyen adatbázisból). Természetesen itt is érvényes az a tétel, hogy minél hosszabb, bonyolultabb karaktersort használunk, annál kisebb az esélye, hogy valamilyen brute force módszerrel pont el lehessen találni a helyes kombinációt. Értelemszerűen itt is kerülni kell az egyértelmű, vagy könnyen kitalálható karaktersorokat, mint az “admin”, a “jelszo”, vagy mondjuk a házastársunk, macskánk neve.

A biztonság szintjét növeli, ha keverjük a különféle karaktertípusokat, tehát használunk kis- és nagybetűt, számot és speciális karaktereket. A nagyon hosszú és összetett jelszavak megjegyzése persze egy idő után embert próbáló lehet, főleg annak fényében, hogy érdemes minden egyes szolgáltatás és készülék esetében egyedi kódsort használni (így biztosíthatjuk, hogy ha valamelyik jelszavunk nyilvánosságra kerül, annak használatával nem lehet belépni az összes többi fiókunkba és kütyünkbe is). Erre egy jó áthidaló módszer, ha a jelszavak egy része változatlan, de valahová beépítjük, hol használjuk épp: egy Bubuka alapot először kicsit megbolondítunk, legyen mondjuk bUbuk4, és ehhez hozzácsapjuk a megfelelő helyeken a bUbuk4Mobil, bUbuka4Google, bUbuka4Facebook végződéseket. Igazán profik ebből mondjuk bUbuka4MBL!, bUbuka4GGL! és bUbuka4FCB! formátumokat generálnak, ami a jelszótörőknek már jóféle feladatot ad, de még mindig megjegyezhető marad.

Arcfelismerés: egyre jobb, de néha problémás

Ez a módszer viszonylag újkeletű, hiszen olyan kamerákra van szükség a használatához, amelyek nagyobb felbontással, a mélységélesség kezelésével képesek megkülönböztetni egy valódi arcot egy fotótól, gyenge fényviszonyok között sem mond csütörtököt, a mögöttük dolgozó szoftveres segéd pedig akkor is felismeri az arcot, ha azt részlegesen szemüveg, arcszőrzet, sapka, előre hulló haj takarja.

Épp ezért belépő szintű mobilokban még ritka is ez az azonosítási módszer, viszont a drágább készülékekben már egész jó hatásfokú megoldások dolgoznak. Az persze gyártónként változik, hogy pontosan milyen eljárások kombinációit alkalmazzák, de például az iPhone-okon használt Apple ID a vállalat szerint egy olyan 3D leképezéssel működik, amely az ujjlenyomat-olvasásnál hússzor pontosabb. Azt elsőre nehéz eldönteni, hogy egy adott készüléken mennyire pontos az arcfelismerő rendszer, de az jó indikátor lehet, hogy egy banki alkalmazás vagy egy fizetési megoldás aktiválásakor ajánlja-e a szolgáltató az adott készüléket. Ha igen, az azt jelenti, hogy bízhatunk benne, bár az tény, hogy bizonyos külső körülmények, mint a már említett fényviszonyok, esetleg az arcot takaró elemek miatt néha többször kell próbálkoznunk.

Pont-összekötősdi: megszokott, de régies

Az Android készülékeken már a hőskorban bemutatott módszerrel egy kilenc pontos rácson tudunk vonalakat húzni az egyes pontok között, és a végleges ábra ad ki egy olyan kombinációt, ami kulcsként szolgál. Használni kifejezetten könnyű, ráadásul azoknak, akik számokat és kódokat könnyen elfelejthetnek, segíthet a vizuális vagy izommemória is. Viszont itt is él az a tétel, hogy minden jelszó csak olyan erős, amilyen bonyolultra faragjuk: ha a kilenc pontból csak négyet használunk, az mindössze 1624 kombináció alatt kitalálható, de itt még a kilenc pont teljes kihasználásával is csak körülbelül 400 000-re tornászhatjuk fel az elérhető kombinációk számát. Ezt a módszert tehát a szakértők csak akkor ajánlják, ha nem nagyon érhető el biometrikus azonosítás a készülékünkön és nagyon nem szeretnénk (vagy nem tudjuk) megjegyezni a PIN-kódokat illetve jelszavakat.

Egyéb megoldások és újabb trükkök

A fenti, jelenleg leginkább elterjedtnek számító módszerek mellett folyamatosan fejlesztenek újakat is a gyártók. Egyrészt a kényelem szempontjából gondolkoznak alternatívákon, másrészt igyekeznek olyasmiket kitalálni, amelyek még nehezebben megfejthető és feltörhető eredményt adnak. Ilyen például az írisz-szkenner, amelyet korábban inkább kémfilmeken és sci-fikben láthattunk. Ez jelenleg főként csúcskészülékeken és néhány felső-középkategóriás modellen érhető el, a Samsungnál egy időben a prémium modelleken találkozhattunk vele, de egy ideje nem elérhető, és mások is csak óvatosan vezetik be: a Google a Pixel 2 családnál kísérletezett vele, de a végleges kiadásban nem volt megtalálható.

Olyan módszerek is felbukkannak, ahol a legnépszerűbbeket kombinálják, például az ujjlenyomat-olvasást az ujjunkkal húzott gesztusokkal erősítik meg. Az efféle kísérletekre azért van szükség, mert időről időre felbukkannak olyan trükközések, ahol az addig biztonságosnak számító védelmi funkciókat törik fel. Ilyen a BrutePrint, amely hamis ujjlenyomat-infókkal bombázza a készüléket, amelyben először egy szoftverfrissítés sérülékenységét kihasználva kiiktatják azt a védelmi vonalat, amely néhány sikertelen kísérlet után letiltaná az ujjnyomos bejelentkezést.

A Covid alatt megszaporodtak azok a támadások is, ahol a maszkok takarását kihasználva jóval kisebb arcfelületet tudott csak szkennelni a telefon kamerája, amit már könnyebben át lehetett verni egy hasonló arccal, esetleg sminkkel és némi speciális effekttel.

Összességében tehát az mondható el, hogy a kényelem és biztonság tengelyén az ujjlenyomat-olvasás vezet, amelyet kiegészíthetünk egy másodlagos, jelszó-alapú belépéssel (ami nagyon hasznos, ha például megsérül az ujjunk – a cikk szerzője ezt egy balul sikerült hagymapucolás után tapasztalta meg). A jelszavaknál és PIN-kódoknál pedig figyeljünk a minél nehezebb kombinációk használatára, valamint persze arra is, hogy ezeket ne osszuk meg másokkal és ne hagyjuk olyan virtuális helyeken, ahol illetéktelenek is megtudhatják.

2 HOZZÁSZÓLÁS

  1. Szia, erdekelne a forras link/info ahhoz, hogy az S23, az A54 es az A34 tartalmaz irisz olvaso hardvert es szoftvert. Barhol is keresem nem talalok erre utalast, ellenben a tema kapcsan sok helyen az jon elo, hogy az S9 volt az utolso modell, amiben volt ilyen lehetoseg, es azt hianyoljak sokan, hogy az S10-ben mar nincs (es azota egyikben sem).

    • Valóban, a Samsung egy ideje csendben kivette az írisz-támogatást. Okokat nem írtak – egyes helyeken a technológia kiforratlanságával, máshol az OEM gyártók kihátrálásával magyarázzák a dolgot. Köszi az észrevételt, javítottuk a cikket.

HOZZÁSZÓLOK A CIKKHEZ

Kérjük, írja be véleményét!
írja be ide nevét