Melek
Bu yazının orijinali Quincy Larson tarafından Medium‘da yayınlanmıştır.
Bourne izleyenler bilir
Bu satırlar yazılırken Apple dışında kimse FaceID’nin güvenliğini test etmiş değil. Bu sebeple bu yazı, yüz tanıma yönteminin ve genel anlamda diğer biyometrik tanımlama teknolojilerinin güvenliği ile ilgili olacak.
Bugüne dek biyometrik tanımlama hep güvensiz olageldi. Kameralar aldatılabilir, sesler kaydedilebilir, parmak izi kaldırılabilir. ABD dahil pek çok ülkede polis yasal olarak sizi, telefonunuzun kilidini açmanız için parmak izinizi kullanmaya zorlayabilir. Yani telefonunuzu yüzünüze tutarak kilidini rızanız dışında açmaları da mümkün.
E-postanız, sosyal medya hesaplarınız, aile fotoğraflarınız, telefonunuzla gittiğiniz yerlerin kaydı gibi veriler sizin için önemliyse, biyometrik tanıma seçeneğini tercih etmeniz önerilmez. Bunun yerine kilidi açmak için (passcode) parola kullanın. Parolanızı değiştirmek, yüzünüzü değiştirmekten daha az zahmetlidir.
2007 yapımı The Bourne Ultimatum filminde Matt Damon’ın canlandırdığı karakterin 2 faktörlü biyometrik tanıma önlemini kırarak bir kasayı açtığı sahne. 10 yıl öncesinin filmi olsa da biyometrik tanımlamanın bazı yapısal sorunlarını iyi yansıtıyor.
Yüzünüzün kaç fotoğrafı var? Bu görseller, kızılötesi ışınlı ve nokta yansıtma sistemli FaceID’yi atlatacak doğruluk derecesinde, 3 boyutlu olarak birleştirilmek üzere toplanabilir mi? FaceID’nin nasıl çalıştığını merak edenler bu videoya göz atabilir.
Sadece filmlerde mi oluyor?
Apple’ın FaceID sistemini ve buna benzeyen diğerlerini alt edecek bir tekniğin ortaya çıkması an meselesi. Peki neden? Iris tarayıcılarını ele alalım. İris içinde milyonlarca hücre barındıran ve her insanda benzersiz olan bir yapıdır. Biyometrik tanıma için oldukça iyi bir aday gibi görünüyor değil mi?
Geçtiğimiz Mayıs ayında güvenlik araştırmacılarının, Samsung Galaxy 8’in iris tarayıcısını kırmak için sadece bir yazıcı ve kontak lens kullanması yeterli oldu.
Bir parça geriye gidip bir kişi olarak sizi tanımlayabilecek nihai biyometrik aracı değerlendirelim: DNA’nız.
DNA’nız uzunca bir veri şerididir. İnsan genomu 3 milyar baz çiftinden oluşur. Bir kişinin tüm genomunu saklamak için ihtiyacınız olan 1 gigabayttan da az bir alandır. – yani Game of Thrones’un 1 bölümü ile eşit miktarda bir veriden söz ediyoruz.
Ayrıca genom sıralamak son derece maliyetsiz bir işlemdir. Genom sıralamanın maliyeti, genel anlamda diğer hesaplama maliyetlerine göre çok daha hızla düşmeye devam etmektedir.
Şayet DNA şeridiniz sızdırılır ve açığa çıkarsa, değiştirilmesi pek de mümkün değildir. Sesinizi, parmak izinizi, yüz yapınızı değiştirmek de zor olacaktır.
Bu yüzden biyometrik tanıma teknolojisine güvenmeyin. Daha basit bir yolu var ve bundan hoşlanmayacaksınız – çünkü daha az pratik. Ama işe yarıyor.
Rakamsal Parolalar: Tahmini güç, değiştirilmesi kolay ve yasal olarak korunuyor
iPhone, parola ile giriş için sadece 10 hak tanır. Varsayalım parolanız 4 haneli sayısal bir PIN, bu durumda 10⁴ kadar olası kombinasyon vardır. Bu da telefon kilidini açmaya çalışan kişinin binde bir başarı olasılığı olduğu anlamına gelir.
Size, telefon kilidinizi açmasına yetecek derecede benzeyen bir kişinin olması ihtimali kadar düşük bir ihtimal olmasa da, sayısal parola yöntemi, saldırıda bulunanın elini kolunu bağlayabilecek bir çözümdür. Sayının ne olabileceği hakkında bir fikirleri yoktur. Gerçekten rastgele bir sayıysa FaceID’den daha güvenlidir. Parolanız, FaceID’nin çalışmaması durumunda onun yedeği görevi göreceği için, FaceID kullansanız da kullanmasanız da gerçekten iyi bir parola oluşturmanız gerekir.
Yaygın olarak kullanılan 4 haneli sayısal parolalara göz atarak bunlardan birini kullanmadığınızdan emin olun.
Veri kaynağı: The Datagenetics Blog
Yeni yaklaşımlar
iPhone’un da aralarında bulunduğu pek çok telefon çoklu sayısal parolaları destekler. Fazladan her rakam 10 kata kadar fazladan güvenlik sağlar. Fakat bunu gün içinde defalarca kez tuşlayacağınızı göz önünde bulundurursak, belki de en sürdürülebilir seçenek 4 haneli paroladır.
ABD mahkemeleri kişiyi parolasını vermeye zorlayamaz. Bu parola kafanızın içindedir ve sadece size aittir. Sizin malınızdır ve sizi suçlamak için ya da rızanız olmadığı halde verilerinize erişmek için kullanılamaz.
Sağlayacağı güvenlik ve kafa rahatlığı, parola girmek için 2 saniye harcamaya değer.
Mevcut ‘ya hep ya hiç’ (tanınırsın ya da tanınmazsın) yaklaşımı yerine cihaz üreticileri, kademeli bir yaklaşım benimsemeli ve farklı uygulamalara ve verilere erişim için farklı seviyelerde doğrulama yapısını tercih etmeli. Bu yazılımdaki geleneksel rol bazlı erişime benzer bir yapıyı ifade eder. Telefonlar bunu ekran kilitleri ile zaten yapıyor.
Örneğin iOS’ta varsayılan ayarlara göre telefonunuzun ekran kilidini açmadan gelen mesajları okuyabilirsiniz. App Store’dan bir şey satın almaya çalıştığınızda ise iOS, alışverişinizi doğrulamanız için sizden uzunca bir parola girmenizi ister.
FaceID gibi bir şey, bilgi tüketilen (gazete uygulamaları gibi) daha önemsiz uygulamalar için okuma yetkinizi açabilir. Ancak mesaj ya da tweet yazmak için yazma yetkisi istediğinizde telefonunuz parolanızı girmenizi talep edebilir.
Kolaylık mı güvenlik mi?
Bu aslında büyük oranda bir ‘telefonumun kilidini günde 80 kere açmak zorundayım’ sorunu – iPhone kullanıcılarının yüzde 89’unun TouchID’yi tercih etmesinin ardında yatan ana sebep de muhtemelen bu.
Farklı seviyelerde doğrulama yapısı, insanların kullanmakta oldukları dahil, tüm iPhone’larda gerçekleştirilebilecek bir yazılım değişimi gerektirir ve bunu yapmak herkesin daha güvende olmasını sağlar.
Güvenlikte akıcılığın ve kolaylığın tatlı bir yanı var. Fakat tüm telefonunuzun kilidini – tüm verinizi, sosyal medya ya da banka hesaplarınızı da – sadece yüzünüzü göstererek açmak? İşte o denli bir rahatlığa erişmek için daha çok yolumuz var.
Şimdilik parola kullanmanız ve bunların güçlü parolalar olduğundan emin olmanız önerilir.
Kaynak: medium.freecodecamp
