การยืนยันตัวตนด้วยลายนิ้วมือโดนแฮกได้ไหม ป้องกันอย่างไร
5 กันยายน 2019
การยืนยันตัวตนด้วยลายนิ้วมือนั้น ถือเป็นการยืนยันตนที่ได้รับความนิยมอีกประเภทหนึ่ง ไม่ว่าจะใช้เพื่อยืนยันตนในการเข้าทำงาน การ Login เข้ามือถือ รวมไปถึงอุปกรณ์เครื่องใช้ไฟฟ้านิรภัยบางประเภท ต่างก็มีฟังก์ชันนี้ เพราะมีความสะดวกและรวดเร็ว ประกอบปัจจุบันเริ่มมีการยอมรับเทคโนโลยี Biometrics มากขึ้น ทำให้กลายเป็นสิ่งสำคัญที่ผู้ใช้นิยมเพื่อรักษาความปลอดภัยนั่นเอง แต่เมื่อมีเทคโนโลยีที่อำนวยความสะดวกเพิ่มขึ้น ย่อมมีกลวิธีการแฮกข้อมูลเพิ่มขึ้นเช่นกัน จนลืมนึกไปว่าข้อมูลลายนิ้วมือก็อาจถูกแฮกได้ แม้ว่ารหัสผ่านเมื่อโดนแฮก ยังสามารถที่จะเปลี่ยนรหัสผ่านได้ แต่ข้อมูลลายนิ้วมือหากโดนแฮก เราไม่สามารถเปลี่ยนลายนิ้วมือได้ ผู้ที่เลือกใช้การยืนยันตนด้วยวิธีนี้จึงควรรู้เท่าทันว่าแฮกเกอร์มีวิธีต่าง ๆ อย่างไรที่สามารถเจาะอุปกรณ์ที่ใช้การสแกนลายนิ้วมือนี้ได้ และมาดูกันว่า แฮกเกอร์สามารถสวมรอยนิ้วมือได้อย่างไร จนไปถึงวิธีป้องกันเพื่อรักษาความปลอดภัยของข้อมูลของเรา
1. การโจมตีโดยใช้ Masterprints
การใช้ Masterprints ก็เหมือนกับการใช้กุญแจ Master ที่สามารถไขได้ทุกห้องในบ้าน โดยถูกสร้างมาจากข้อมูลพื้นฐานของลายนิ้วมือมนุษย์ทั่วไป ซึ่งปกติเครื่องสแกนลายนิ้วมือที่มีเสปกสูง ๆ จะเน้นความแม่นยำและ จะบล็อกการพยายามเข้าสู่ระบบด้วย Masterprints แต่อุปกรณ์ที่มีระบบสแกนลายนิ้วมือที่ไม่ซับซ้อนอย่าง อุปกรณ์มือถือทั่วไป ฯลฯ อาจเสี่ยงต่อการถูกโจมตีผ่าน Masterprints ได้
วิธีป้องกัน
หากเป็นไปได้ ควรเลือกใช้เครื่องสแกนลายนิ้วมือที่มีสเปกความแม่นยำสูง ๆ แนะนำให้ศึกษาสเปกชีทของเครื่อง ฯ ให้ดี โดยดูที่ False Acceptance Rate (FAR) ซึ่งเป็นตัวเลขสถิติของลายนิ้วมือที่ไม่ได้ผ่านการตรวจสอบแต่หลุดรอดเข้าระบบได้ ยิ่งอัตราต่ำเท่าใด โอกาสที่เครื่องสแกนลายนิ้วมือจะบล็อก Masterprints ได้สำเร็จ ก็มีมากเท่านั้น
2. การขโมยลายนิ้วมือจากไฟล์รูปภาพในอุปกรณ์
รหัสผ่านสามารถเปลี่ยนใหม่ได้ แต่ลายนิ้วมือของเราเปลี่ยนไม่ได้ หากแฮกเกอร์พยายามขโมยลายนิ้วมือเราได้ ไม่ว่าด้วยวิธีการใดก็ตาม เครื่องแสกนลายนิ้วมือจะกลายเป็นสิ่งไร้ค่าทันที เพื่อให้เครื่องสแกนลายนิ้วมือสามารถระบุตัวตนได้ ต้องใช้การบันทึกภาพลายนิ้วมือของเราเพื่อตั้งค่าเริ่มต้นใช้งาน รูปภาพลายนิ้วมือจะถูกบันทึกไว้ในหน่วยความจำภายในตัวเครื่องอย่างหลีกเลี่ยงไม่ได้ ทุกครั้งที่เราสแกนลายนิ้วมือ เครื่องจะเทียบลายนิ้วมือกับรูปภาพเหล่านี้ ความเสี่ยงประการหนึ่งก็คือ อุปกรณ์หรือเครื่องสแกนลายนิ้วมือบางชนิดหรือบางยี่ห้อ จะบันทึกไฟล์ภาพลายนิ้วมือโดยไม่เข้ารหัส (Unencrypted) ซึ่งแฮกเกอร์สามารถลักลอบเข้าถึงที่แฟ้มเก็บไฟล์รูปภาพลายนิ้วมือและนำไปใช้งานได้
วิธีป้องกัน
เครื่องสแกนลายนิ้วมือที่ดีควรมีการเข้ารหัสไฟล์ภาพลายนิ้วมือเพื่อป้องกันไม่ให้บุคคลอื่นนำไปใช้งาน แนะนำให้ตรวจสอบเครื่องสแกนลายนิ้วมืออีกครั้งเพื่อเช็คว่ามีการจัดเก็บภาพลายนิ้วมืออย่างเหมาะสมหรือไม่ หากพบว่าอุปกรณ์นั้นไม่ได้บันทึกภาพลายนิ้วมือโดยเข้ารหัส (Encrypted) ควรเลิกใช้งานอุปกรณ์นั้นต่อทันที และลบไฟล์ภาพลายนิ้วมือในอุปกรณ์ออกทั้งหมด
3. การสร้างลายนิ้วมือปลอม
แฮกเกอร์บางรายเลือกที่จะสร้างลายนิ้วมือของเหยื่อขึ้นมาใหม่ มักเล็งเป้าหมายไปยังเหยื่อระดับผู้บริหารหรือตำแหน่งสูงในหน่วยงานของรัฐ เมื่อไม่กี่ปีที่ผ่านมา มีรายงานว่าแฮกเกอร์สามารถสร้างลายนิ้วมือปลอมของรัฐมนตรีว่าการกระทรวงกลาโหมของเยอรมนีได้โดยอาศัยรูปถ่ายมือของเหยื่อในระยะใกล้
มีอีกหลายวิธีที่แฮกเกอร์สามารถแปลงข้อมูลลายนิ้วมือโดยขึ้นรูปเป็นลายนิ้วมือปลอมได้ เช่น สร้างลายนิ้วมือจากมือจำลองโดยใช้ขี้ผึ้งหรือไม้ ซึ่งลายนิ้วมือที่สร้างขึ้นมาใหม่สามารถนำไปพิมพ์ลงบนกระดาษและใช้หมึกพิเศษเพื่อนำไปใช้กับเครื่องสแกนลายนิ้วมือได้
วิธีป้องกัน
ป้องกันไม่ให้ผู้ใดครอบครองลายนิ้วมือของเราได้ตั้งแต่แรกเป็นการดีที่สุด แต่ก็ไม่ถึงกับแนะนำให้สวมถุงมือเพื่อป้องกันทุกครั้ง เพียงระมัดระวังตัวไม่ถ่ายภาพใด ๆ ที่แสดงเห็นถึงลายนิ้วมือของเราก็น่าจะช่วยป้องกันได้ นอกจากนี้แนะนำให้เลือกเครื่องสแกนลายนิ้วมือกับอุปกรณ์และบริการที่น่าเชื่อถือได้เท่านั้น โดยเลือกเฉพาะอุปกรณ์ที่มีการเข้ารหัสไฟล์ภาพลายนิ้วมือไว้ จะดีมาก
4. การใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์
ซอฟต์แวร์จัดการรหัสผ่าน (Password Manager) บางตัวใช้การสแกนลายนิ้วมือเพื่อระบุตัวตนผู้ใช้ ประสิทธิภาพของซอฟต์แวร์จะดีหรือแย่ขึ้นอยู่กับระบบรักษาความปลอดภัยของซอฟต์แวร์ นั้น ๆ แฮกเกอร์สามารถโจมตีซอฟต์แวร์จัดการรหัสผ่านที่มีระบบรักษาความปลอดภัยที่แย่เพื่อขโมยลายนิ้วมือเหยื่อ
เมื่อปีที่ผ่านมา มีรายงานข้อบกพร่องในอุปกรณ์จัดการรหัสผ่านของพีซียี่ห้อ Lenovo ที่เปิดใช้งานด้วยลายนิ้วมือ แต่ระบบมีการสร้างรหัสผ่านควบคู่เอาไว้ หากแฮกเกอร์ต้องการเข้าถึงระบบ ก็เพียงแค่แฮกเอารหัสผ่านที่สามารถนำมาใช้แทนการแสกนลายนิ้วมือได้อย่างสบาย
วิธีป้องกัน
วิธีที่ดีที่สุดในการหลีกเลี่ยงการโจมตีประเภทนี้คือการเลือกใช้ผลิตภัณฑ์ที่ได้รับการยอมรับและเป็นที่นิยม แต่ในกรณีนี้แบรนด์ระดับ Lenovo ซึ่งก็ได้รับความนิยมสูงไม่น้อย ก็ยังมีช่องโหว่ให้ถูกโจมตีได้เช่นกัน ดังนั้นแนะนำให้หมั่น Update ซอฟต์แวร์ความปลอดภัยและรีบลง Patch หลังพบปัญหาช่องโหว่ทันที
5. นำคราบลายนิ้วมือของเหยื่อมาใช้ต่อ
คราบรอยนิ้วมือของมนุษย์มักติดอยู่บนวัตถุหลังจากสัมผัส คราบรอยนิ้วมือที่หลงเหลืออยู่หลังประทับนิ้วมือลงบนเครื่องสแกนลายนิ้วมือก็ไม่ต่างกับการลืมลูกกุญแจคาไว้ในรูกุญแจหลังเปิดประตูบ้าน ดังนั้นลายนิ้วมือที่ถูกคัดลอกจากเครื่องสแกนลายนิ้วมือโดยตรง รับรองได้เลยว่ามีสภาพใกล้เคียงกับลายนิ้วมือของเจ้าของมากที่สุด
อย่างไรก็ตาม แฮกเกอร์ไม่จำเป็นต้องคัดลอกลายนิ้วมือจากเครื่องสแกน ฯ ก็ได้ เนื่องจากมีรายงานว่าแฮกเกอร์สามารถ หลอกมือถือที่มีการสแกนนิ้วมือลงบนหน้าจอแสดงผลให้ยอมรับคราบรอยนิ้วมือได้ นักวิจัยบางรายหลอกเครื่องสแกนลายนิ้วมือบนมือถือโดยการนำวัตถุทึบแสงวางไว้บริเวณสแกนนิ้ว ก็สามารถสแกนเข้าเครื่องได้เช่นกัน
วิธีป้องกัน
วิธีป้องกันง่ายมาก เพียงแค่เช็ดลายนิ้วมือบนเครื่องสแกนลายนิ้วมือหลังใช้งานออกให้หมดทุกครั้งหลังปลดล็อคเครื่องได้ เพื่อป้องกันไม่ให้แฮกเกอร์ขโมยคราบนิ้วมือไปใช้
อ้างอิงที่มา
- https://www.makeuseof.com/tag/ways-hackers-bypass-fingerprint-scanner/
- https://www.makeuseof.com/tag/protect-phone-fingerprint-pin/
- https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands
- https://gizmodo.com/lenovo-flaw-could-let-hackers-bypass-fingerprint-scanne-1822513351
- https://threatpost.com/lock-screen-bypass-bug-quietly-patched-in-handsets/139141/
บทความที่เกี่ยวข้อง