23/03/2018

Dlaczego odblokowywanie przez pokazanie twarzy jest złe

Technologie

Jeśli chodzi o smartfony, autoryzacja z wykorzystaniem wizerunku twarzy wydaje się całkiem sensownym pomysłem. Z pewnością jest wygodna — w końcu i tak patrzymy wtedy na telefon.

Wydaje się, że ogólnie branża smartfonów jest zgodna. Apple nie była pierwszą firmą, która wymyśliła odblokowywania smartfona przy użyciu twarzy. Jednak gdy zastosowała tę technologię w modelu iPhone X, podążyła za nią cała branża. Funkcję tę miał prawie każdy telefon zaprezentowany podczas targów Mobile World Congress 2018. Według mnie nie jest to dobry trend…

Nie uważam, że technologia rozpoznawania twarzy jest zła sama w sobie. Wręcz przeciwnie — właściwie wykonana, prawdopodobnie byłaby lepsza niż autoryzacja wykorzystująca odciski palców czy kody PIN. Jednak diabeł tkwi w szczegółach.

Gdy wyjaśnialiśmy, jak działa technologia Face ID, wspomnieliśmy o tym, że system rozpoznawania to złożony mechanizm: wykorzystuje on zwykły aparat, aparat na podczerwień oraz projektor punktowy, a także uczenie maszynowe, bezpieczne przechowywanie i przetwarzanie. Firma Apple włożyła wiele wysiłku i pieniędzy, aby system ten był szybki, bezpieczny i niezawodny. I chce za to całkiem niezłą sumę — iPhone X kosztuje 999 dolarów.

Taki pułap cenowy stanowi dylemat dla innych producentów smartfonów: ich urządzenia zwykle są sprzedawane za nieco mniejsze kwoty, ale równocześnie chcą oni wprowadzać różne nowości. Zaczęli więc ciąć koszty tam, gdzie nie jest to zauważalne od razu: tu zamontują tańszy głośnik, tam wolniejszą pamięć. Może nawet zrezygnują z kamery na podczerwień i projektora punktowego w module odblokowywania twarzy — ale sama funkcja nadal będzie dostępna; w końcu chodzi o to, aby była.

Możliwość używania swojej twarzy w celu odblokowania swojego telefonu to funkcja wymieniana w materiałach marketingowych, jednak nie znajdziesz nigdzie wyjaśnień, jak ona działa. Być może firmy nie chcą wyraźnie informować, że chociaż udało im się wprowadzić technologię autoryzacji z wykorzystaniem twarzy, jest ona znacznie mniej zaawansowana, mniej niezawodna — i mniej bezpieczna.

W większości przypadków rozpoznawanie twarzy w tańszych telefonach wykorzystuje wyłącznie aparat przedni i niebyt skomplikowane algorytmy, czasami do zrobienia lepszego zdjęcia używana jest lampa błyskowa. Tymczasem zwykły aparat 2D bez czujnika podczerwieni czy projektor punktowy można z łatwością oszukać przy użyciu zdjęcia (pobranego na przykład z konta w sieci społecznościowej) wydrukowanego czy wyświetlonego na ekranie. Nawet lepsze modele akceptują maski wydrukowane techniką 3D. Chociaż funkcja Face ID firmy Apple także została oszukana w ataku wykorzystującym bliźniaczą atrapę, telefony polegające tylko na zwykłych zdjęciach są tu zupełnie bezbronne.

Nie jest źle, a dobrze wcale

Szerokie rozpowszechnienie używania odblokowywania urządzenia przy użyciu wizerunku twarzy bez angażowania odpowiedniego sprzętu będzie skutkowało mniejszym bezpieczeństwem nowoczesnych telefonów. Na szczęście jeszcze nie jest to domyślna metoda autoryzacji — znacznie częściej używamy kodów i odcisków palców. A niektórzy producenci używają bezpieczniejszych systemów, np. rozpoznawania tęczówki, które znacznie trudniej oszukać.

Jednak autoryzacja przy użyciu obrazu twarzy jest modna, zatem spodziewam się, że będzie zdobywać coraz szerszą rzeszę użytkowników wśród tańszych telefonów z Androidem (w myśl zasady: Wszystko, co może twój iPhone, potrafi również mój telefon — a jest znacznie tańszy!).

Gorąco zalecamy dokładne sprawdzenie użytej w telefonie metody rozpoznawania twarzy, zanim zdecydujesz się z niej skorzystać. Musi ona być naprawdę bezpieczna, odporna na wyciek Twoich danych i nie może dać się oszukiwać zdjęciami czy maskami. Autoryzacja przy użyciu odcisku palca nie jest magicznie nieomylna, jednak w porównaniu wypada znacznie lepiej — a jeszcze lepiej wypada sześciocyfrowy kod PIN.