Hoe veilig zijn Face ID en Touch ID?
Apple beweert dat Face ID en Touch ID veilig zijn, en voor het grootste deel is dat waar. Het is uiterst onwaarschijnlijk dat een willekeurige persoon je telefoon kan ontgrendelen. Maar dat is niet het enige type aanval om je daar zorgen over te maken. Laten we een beetje dieper graven.
Hoewel ze verschillende biometrische authenticatiemethoden gebruiken, lijken Face ID en Touch ID erg op elkaar onder de motorkap. Wanneer u zich probeert aan te melden bij uw iPhone - door de camera aan de voorzijde te bekijken of door uw vinger op de aanraaksensor te drukken - vergelijkt de telefoon de biometrische gegevens die worden gedetecteerd met de gegevens die zijn opgeslagen in de Secure Enclave - een afzonderlijke processor die het hele doel is om je telefoon veilig te houden. Als het gezicht of de vingerafdruk overeenkomt, wordt uw iPhone ontgrendeld. Als dat niet het geval is, wordt u gevraagd uw toegangscode in te voeren. Hoewel dit allemaal goed klinkt op papier, is het veilig?
Face ID en Touch ID zijn over het algemeen veilig
Over het algemeen zijn Touch ID en Face ID beveiligd. Apple beweert dat er een kans van 1 op 50.000 is dat de vingerafdruk van iemand anders je iPhone ten onrechte ontgrendeld en een kans van 1 op 1.000.000 dat het gezicht van iemand anders het zal doen. Er is 1 op 10.000 iemand die een viercijferige toegangscode kan raden en een kans van 1 op 1.000.000 dat ze je zescijferige wachtwoordcode kunnen raden (en ze krijgen drie pogingen voordat ze worden geblokkeerd). Dat zou dingen in perspectief moeten plaatsen.
De kans dat iemand je telefoon willekeurig oppakt of steelt, en deze vervolgens kan ontgrendelen met behulp van hun vingerafdruk, gezicht of zelfs door je toegangscode te raden, is ongelooflijk dun.
De enige waarschuwing hiervoor is dat identieke tweelingen of broers en zussen die er erg op lijken, eerder een vals positief effect hebben. In dat geval is er een kans dat uw broer of zus uw telefoon mogelijk kan ontgrendelen met Face ID. Een eeneiige tweeling maakt echter slechts 0,003% uit van de populatie, dus het is geen risico dat voor velen geldt. Als u zich hier zorgen over maakt, kunt u Gezichts-ID uitschakelen en alleen een beveiligd wachtwoord gebruiken.
Maar bewaken tegen dit soort casual inbraak is niet het enige waar je je zorgen over hoeft te maken.
Face ID en Touch ID kunnen kwetsbaar zijn voor gerichte aanvallen
Hoewel het vrijwel zeker is dat geen willekeurige vreemdeling in je telefoon kan komen, als je het slachtoffer bent van een gerichte aanval, kan het een beetje anders zijn.
Zowel Touch ID als Face ID zijn volledig kwetsbaar als iemand je kan dwingen om in te loggen, door je vinger tegen de sensor te houden (zelfs wanneer je slaapt) of door naar je telefoon te kijken. En die twee soorten aanvallen zijn veel gemakkelijker af te dwingen dan iemand te dwingen hun wachtwoordcode te geven.
Dus, hoe zit het met nep vingerafdrukken? Nou, Touch ID is met succes gehackt. Onderzoekers hebben nep-vingerafdrukken kunnen gebruiken om apparaten te ontgrendelen die zijn beveiligd met Touch ID. Echter, dezelfde onderzoekers noemen de techniek "alles behalve triviaal" en "nog steeds een klein beetje in het rijk van een roman van John le Carré."
Kort gezegd, wat de aanvallers nodig hebben, is een complete, niet-vlekkerige kopie van je vingerafdruk, evenals duizenden dollars aan apparatuur. In theorie zou iemand die echt vastbesloten is op deze manier waarschijnlijk in je telefoon kunnen kruipen - mogelijk zelfs van een foto van je vingerafdruk. Het punt is dat de gegevens op de iPhones van de overgrote meerderheid van de mensen eenvoudigweg de kosten en het gedoe van dit soort aanvallen niet waard zijn.
Plus, als u gegevens hebt die gevoelig of waardevol zijn, neemt u waarschijnlijk extra maatregelen om die informatie te beveiligen. Dit is niet iets dat snel gedaan kan worden aan willekeurige vreemden.
Face ID is nog niet gehackt, maar realistisch gezien zal het waarschijnlijk eindelijk vatbaar zijn voor dezelfde soort aanvallen als Touch ID. Wired besteedde duizenden dollars om het te proberen en faalde, maar dat betekent niet dat het niet kan. Marc Rogers, een hacker die Wired op het stuk adviseerde, is "nog steeds voor 90% zeker dat [hackers] dit voor de gek kunnen houden." De iPhone X is nog maar een paar maanden weg, dus we zullen zien hoe de situatie er in een jaar uitziet.
Waar het allemaal om draait is een van de gemeenplaatsen van veiligheid. Geen enkele verificatiemethode kan een voldoende bepaalde aanvaller aanklagen. Er zijn altijd fouten die kunnen worden gebruikt; het is gewoon een kwestie van hoe gemakkelijk ze zijn om van te profiteren.
Niets beschermt u tegen de regering
Geen enkele hoeveelheid beveiliging kan je ooit echt beschermen tegen een vastbesloten overheidsagentschap, VS of anders, met in wezen onbeperkte middelen en de wens om in je telefoon te stappen. Ze kunnen je niet alleen wettelijk verplichten om Touch ID of Face ID te gebruiken om je telefoon te ontgrendelen, maar ze hebben ook toegang tot tools zoals de GreyKey. GreyKey kan zogenaamd elke wachtwoordcode van het iOS-apparaat kraken, waardoor Touch ID en Face ID onbruikbaar worden. Apple werkt hard om de kwetsbaarheden apparaten zoals deze te sluiten, maar mensen die hopen op een betaaldag werken net zo hard om nieuwe te openen.
Touch ID en Face ID zijn ongelooflijk handig en kunnen - als er een sterke toegangscode voor is - door bijna iedereen dagelijks worden gebruikt. Als u echter het doelwit bent van een vastberaden hacker of overheidsinstantie, zullen ze u misschien niet lang beschermen.
Afbeelding Credits: XKCD.