Mấy hôm trước Apple có trình diễn công nghệ FaceID mang tính đột phá về độ trải nghiệm nhiều hơn cho người dùng. Nó là hướng đi mới sử dụng gương mặt để bảo mật smartphone. Để mở khoá smartphone, những gì bạn cần làm đơn giản chỉ là dòm vào ống kính và rồi “bing..bing” - smartphone đã nhận diện xong, và bạn tiếp tục công việc của mình.

Ngay lúc tôi viết bài này đây thì chưa một ai ngoài công ty Apple test thử độ bảo mật của FaceID cả. Do đó bài viết này nhằm mục đích khái quát về bảo mật nhận diện khuôn mặt, và một số thể loại xác thực sinh trắc học phổ biến khác.

Từ xưa đến nay, xác thực sinh trắc học được cho rằng “không bảo đảm an toàn”:
Camera có thể bị qua mặt

Giọng nói có thể bị ghi âm

Vân tay có thể bị làm giả / ăn cắp.

Ở nhiều quốc gia khác - bao gồm Mỹ - cảnh sát có thể ép buộc bạn dùng vân tay để mở khoá smartphone. Vì thế họ dễ dàng dí điện thoại vào mặt bạn để mở khoá (gọi là “mở khoá cưỡng bức”).

Nếu bạn thật sự trân trọng tính an toàn của toàn bộ dữ liệu chính mình - như email, tài khoản mạng xã hội, hình ảnh cá nhân, gia đình, lịch sử mọi địa điểm bạn đi qua (thông qua “check-in”) - thì tôi chân thành khuyên bạn đừng sử dụng xác thực sinh trắc học.

Hãy chuyển qua sử dụng passcode (mật khẩu).

Dưới đây là phân cảnh trích từ bộ phim (The Bourne Ultimatum - 2007) do Matt Damon thủ vai anh chàng cựu điệp viên đã hạ gục hàng rào bảo mật sinh trắc học 2 lớp để mở chiếc két sắt của giám đốc CIA như thế nào:

Dù đây là bộ phim Hollywood cách đây từ 10 năm nhưng đã khắc hoạ cho chúng ta những vấn đề hóc búa chưa có lời giải về bảo mật sinh trắc học.

Đã có bao nhiêu bức ảnh có gương mặt bạn ngoài kia ? Rồi những bức ảnh đó được chỉnh sửa và thậm chí đạt chuẩn mực quy tắc dựng hình 3D đủ để qua mặt FaceID - cả công nghệ quang hồng ngoại lẫn dot-projection system (nôm na là “vùng điểm ảnh vector hoá”).

Dưới đây là full demo công nghệ FaceID từ anh Táo nếu bạn tò mò thêm:

Chỉ là vấn đề thời gian trước khi đối diện với những kỹ thuật qua mặt & đánh bại FaceID của Apple, giống như hệ thống nhận diện gương mặt mới của Samsung. Điều gì khiến tôi tự tin về giả thiết của mình ? Hãy cùng bàn về máy quét vân mắt (tròng mắt).

Bạn phải suy nghĩ lại khi xem video dưới đây chính là demo của nhóm nghiên cứu bảo mật đã vượt mặt hệ thống khoá quét vân mắt của dòng smartphone SamSung Galaxy 8 hồi tháng 5. 

Họ chỉ đơn giản chỉ sử dụng 1 chiếc máy in và 1 cặp kính sát tròng.

Chưa hết, tạm bỏ qua những thứ trên và cùng bàn về nhận dạng sinh trắc được cho là mạnh nhất: ADN của chính bạn !!!

ADN đơn giản chỉ là một chuỗi ký tự dài chứa dữ liệu. Hệ gen của người gồm 3 tỷ cặp gốc. Bạn có thể lưu trữ toàn bộ hệ gen của một người nào đó vì nó chiếm chưa tới 1 gigabyte - tương đương dung lượng dữ liệu của 1 tập phim của series Game of Thrones.

Một khi chuỗi ADN bị lộ trên không gian mạng thì quả rất khó để thay đổi chúng. Nếu việc cố ý can thiệp sửa đổi thông tin ADN thì sẽ khiến phát sinh nhiều hậu quả kéo theo khó lường.

Nên đừng hy vọng quá nhiều vào xác thực sinh học. Vì có những giải pháp tốt hơn, tôi biết bạn sẽ không thích điều đó, vì nó bất tiện, lập cập nhiêu khê - nhưng lại rất hiệu quả.

Ở các dòng máy iPhone, bạn chỉ có 10 lần thử để mở khoá bằng mật khẩu

Giả sử mật khẩu của bạn thuộc PIN 4 số, nghĩa là có 10^4 cách thử. Nghĩa là người khác chỉ có 1/10000 cơ hội mở khoá thành công.

Nghe có vẻ như không an toàn như hình mẫu “chỉ 1 phần triệu” ai-đó-giống-y-hệt bạn để mở khoá iPhone. Nhưng với mật khẩu số, kẻ xấu sẽ khó thực hiện hành vi hơn. Chúng không biết liệu số đó là số nào. Nếu mật khẩu số được tạo ra ngẫu nhiên thì càng khiến chúng bảo mật hơn FaceID.

Và nếu mật khẩu số là giải pháp phụ khi hàng rào FaceID bị xuyên thủng thì hãy tạo passcode đủ khó.

Hầu hết các dòng smartphone hiện nay - gồm iPhone - hỗ trợ thiết lập passcode nhiều ký tự hơn. Nhưng cứ cho như nhu cầu bạn truy cập thiết bị nhiều lần một ngày thì mức 4 ký tự có vẻ là lựa chọn của đại đa số chúng ta.

Ví dụ, mặc định trên iOS, bạn có đọc tin nhắn đến mà không cần mở khoá điện thoại. Và bất cứ lúc nào bạn mua gì đó trên AppStore thì iOS yêu cầu bạn nhập mật khẩu dài để xác nhận giao dịch.

FaceID có thể dùng để mở khoá đặc quyền “đọc” cho những tác vụ đơn giản như đọc tin tức, báo chí, ...tức là mức tiếp nhận dữ liệu.

Còn ở đặc quyền “ghi” như bạn muốn gửi tin nhắn hoặc post một tweet thì smartphone sẽ yêu cầu nhập passcode.

Điều ấy sẽ cơ bản phần nào giải quyết bài toán “Nhu cầu truy cập thiết bị của tôi là 80 lần/ngày”. Bởi thế đừng để nhận dạng sinh trắc học can thiệp sâu vào nhiều loại dữ liệu quan trọng như các tài khoản mạng xã hội, tài khoản ngân hàng ...

Chúng ta vẫn cần nhiều cải tiến hơn nữa trong tương lai, và ngay lúc này giải pháp đơn giản nhưng hiệu quả nhất vẫn là mật khẩu (độ phức tạp tỷ lệ thuận với độ an toàn).

#################################################################

Bài gốc từ tác giả Quincy Larson
Chuyển ngữ và chỉnh sửa: Jesterϕ