Odnedavno se, osim lozinki, pinova i drugih različitih metoda otključavanja pametnih telefona koriste i otisci prstiju. Otisak prsta je biometrijska metoda otključavanja – metoda koja autentificira korisnika uz pomoć nekih jedinstvenih bioloških značajki vezanih za svakog čovjeka, a koju uz skeniranje šarenice oka možemo pronaći na mobitelima. Postoje više vrsta čitača otisaka prsta – optički, kapacitivni, ultrasonični, te se mogu nalaziti na različitim pozicijama na mobitelu, a u novije vrijeme su jako zastupljeni čitači ispod ekrana. Postavlja se pitanje koliko je metoda otključavanja otiskom sigurna, postoje li razlike između raznih vrsta čitača što se tiče sigurnosti te je li moguće krivotvoriti otisak i na koji način.

Otisci prsta se već duže vremena koriste kako bi potvrdili identitet osobe u drugim područjima zato što svatko ima jedinstveni otisak prsta. Primjerice, početkom 20. stoljeća su priznati kao valjana metoda identifikacije, počinju se koristiti u forenzici, te se počinju graditi baze otisaka prstiju za kriminalne i policijske svrhe. Danas je recimo potrebno dati otisak prsta prilikom izdavanja osobne iskaznice. Od tada se otisak prsta sve više koristi i u komercijalne svrhe – kao recimo čitač otiska za otključavanje mobitela. Svojstva otiska prsta odlično odgovaraju u teoriji – jedina osoba koja može otključati mobitel je vlasnik, no je li zaista tako?

To što svatko ima svoj jedinstveni otisak prsta ne znači nužno da nije moguće rekreirati nečiji otisak prsta. Postoji više načina kako je moguće dobiti pristup mobitelu zaključanim s otiskom prsta. To mogu biti ili pravi otisak prsta (recimo osoba pod prijetnjom ili odrezani prst), ili ono što je nama zanimljivije za ovu temu - lažni otisci (isprintani, kopije od lateksa, želatine ili drugih materijala…). Postoji više radova koji su dokazali učinkovitost lažnih otisaka, recimo u jednom radu [1] su koristili glinu, Play-Doh i neke ostale materijale kako bi stvorili kalup na način da se prst otisne na materijal te udubi u oblik kalupa, te se u kalup kasnije ulije mlijeko od lateksa koje se nakon nekog vremena stvrdne i nastane lažni otisak. Rezultat je pokazao kako je moguće s modelima lažnog otiska prsta prevariti određene modele mobitela – uglavnom modele sa starijim verzijama čitača otisaka. Noviji modeli čitača otisaka imaju ugrađenu zaštitu protiv lažnih otisaka koji bi trebali biti otporniji na takve stvari [2]. Nažalost, ni najnoviji čitači nisu 100% otporni na lažne otiske. Pokazano je kako je i najnovije čitače moguće prevariti metodom 3d printanja otiska [3].

Razlog zbog kojeg vjerojatno nije moguće dostići 100% sigurnost na lažne otiske je to što svaki senzor ima određenu marginu pogreške koja dozvoljava manja odstupanja. Da nema margine pogreške, registriranje otiska ne bi bilo praktično iz perspektive korisničkog iskustva - zato što bi bilo mnogo lažno negativnih očitanja (korisnika s pravim otiskom bi recimo radi prljavih ruku, drugačije pozicije ili slično odbacilo kao neispravan otisak, a margina pogreške omogućuje takve stvari). Zbog toga je trenutno potrebno napraviti kompromis između razine sigurnosti i poboljšanja korisničkog iskustva. Iz tog razloga se razvijaju algoritmi koji se ponajviše fokusiraju na 'liveness detection' [4], a mogu se primijeniti na razini hardware-a ali i na razini software-a (ili oboje). Cilj je prepoznati kada je prst od prave osobe a kada nije (lažni isprintani primjerak ili slično). Primjer hardware unaprjeđenja bi bio očitanje pulsa korisnika koji ima nedostatak što je dosta skuplji i troši više energije. Software unaprjeđenje bi recimo predstavljali mnogobrojni algoritmi strojnog učenja koji bi se mogli uvoditi i poboljšavati preko software ažuriranja, slično kako se anti-virus software ažuriraju s otkrićem novih vrsta virusa.

Korištenje otiska prsta na mobitelu je jedna od najjednostavnijih i najsigurnijih metoda za autentifikaciju korisnika, no moramo biti svjesni njenih ograničenja i kompromisa zbog koji mogu biti prilagođeni tako da osiguraju bolje korisničko iskustvo nauštrb lošije sigurnosti. Sustavi koji koriste otisak prsta a osiguravaju recimo bankovni sef ili neki drugi visoko rizično objekt bi trebali imati manju marginu pogreške kako bi sigurnost bila što veća, dok kod pametnih mobitela u komercijalne svrhe to ipak nije tako, iako se brzo rade poboljšanja i na tom području te je već sada sve teže probiti sigurnost čitača otiska prstiju.

[1] Tuličić D., Žagar M.: Analysis of the Security of Smartphone Fingerprint Authentication

[2] https://www.qualcomm.com/products/features/fingerprint-sensors

[3] https://www.spiria.com/en/blog/tech-news-brief/3d-sonic-sensor-spoofed-by-a-3d-printer/

[4] Protecting Against Fingerprint Spoofing in Mobile Devices

https://ferhr-my.sharepoint.com/:p:/g/personal/dm51724_fer_hr/ETj7AoD5XxVAjxWjJFfyb3cBxj2Dv9F4Rw84DnbGgFkPiw?e=gbTFW6