شرکت امنیتی سیسکو با انجام یک پروژهی تحقیقاتی برای دورزدن سیستمهای احراز هویت اثر انگشت، به موفقیت ۸۰ درصدی دست یافته است، اما کارشناسان این شرکت در برابر دستگاههای ویندوز ناموفق بودهاند.
در سالهای اخیر، بسیاری از شرکتها احراز هویت بیومتریک را بهعنوان جایگزین مطمئنتری برای رمزهای عبور سنتی معرفی میکنند. احراز هویت اثر انگشت درحالحاضر رایجترین روش مورد استفاده در تلفنهای همراه هوشمند، لپتاپها و سایر دستگاهها مانند (padlock) و درایوهای USB است.
تحقیقات انجامشده توسط سیسکو تالوس شامل جمعآوری اثر انگشت، بهطور مستقیم از کاربر موردنظر یا از سطحی که توسط قربانی لمس شده، میباشد. این شرکت سپس از پرینتر سهبعدی برای ایجاد قالب اثر انگشت استفاده کرده و با پرکردن قالب با چسب پارچهای کمهزینه، اثر انگشت جعلی را ایجاد کرده است.
سیسکو تالوس اثر انگشت جعلی خود را در برابر حسگرهای نوری، خازنی و اولتراسونیک آزمایش کرده، اما محققان از نظر امنیتی تفاوت عمدهای را میان این حسگرها پیدا نکردند. بااینحال، آنها خاطرنشان كردند كه در برابر حسگرهای اولتراسونیک، جدیدترین نوع حسگرها، بیشترین میزان موفقیت را بهدست آوردهاند.
در مورد تلفنهای همراه، محققان توانستند احراز هویت اثر انگشت را بر روی اکثر دستگاهها دور بزنند. در مورد لپتاپها نیز، اگرچه آنها در مورد MacBook Pro به موفقیت ۹۵ درصدی دست یافتند، اما در ویندوز ۱۰ که در آن از چارچوب Windows Hello استفاده میشود، موفقیتی را کسب نکردند.
محققان تالوس همچنین اثر انگشت جعلی خود را در برابر دو درایو USB رمزنگاریشده از Verbatim و Lexar آزمایش کردند، اما موفق به دورزدن احراز هویت نشدند. بااینحال، آنها احراز هویت در یک قفل قابل حمل را با موفقیت دور زدند.
در نهایت، محققان خاطرنشان كردند که اگرچه قادر به دورزدن احراز هویت در ویندوز و دستگاههای ذخیرهساز USB نبودهاند، اما این موضوع لزوماً به معنای ایمنبودن آنها نیست، بلکه ممکن است برای نقض ایمنی آنها تنها به رویکرد متفاوتی نیاز باشد.
نتایج این تحقیق نشان میدهد اگرچه فناوری اثر انگشت بهطور کلی ایمن تلقی میشود، اما این فناوری در تلفنهای هوشمند در مقایسه با سال ۲۰۱۳ میلادی، هنگامی که اپل آن را در قالب TouchID با آیفون ۵ معرفی کرد، در واقع ضعیفتر شده است. به گفتهی محققان، برای یک کاربر معمولی احراز هویت اثر انگشت مزایای آشکاری داشته و یک لایهی امنیتی بسیار بصری را ارائه میدهد. بااینحال، اگر کاربری برای انگیزههای مالی یا دسترسی برای اطلاعات حساس مورد هدف مهاجمان باشد، باید از رمزهای عبور قوی استفاده کرده و به احراز هویت دو عاملی اتکا کند.