การยืนยันตัวตนด้วยลายนิ้วมือโดนแฮกได้ไหม ป้องกันอย่างไร

การยืนยันตัวตนด้วยลายนิ้วมือนั้น ถือเป็นการยืนยันตนที่ได้รับความนิยมอีกประเภทหนึ่ง ไม่ว่าจะใช้เพื่อยืนยันตนในการเข้าทำงาน การ Login เข้ามือถือ รวมไปถึงอุปกรณ์เครื่องใช้ไฟฟ้านิรภัยบางประเภท ต่างก็มีฟังก์ชันนี้ เพราะมีความสะดวกและรวดเร็ว ประกอบปัจจุบันเริ่มมีการยอมรับเทคโนโลยี Biometrics มากขึ้น ทำให้กลายเป็นสิ่งสำคัญที่ผู้ใช้นิยมเพื่อรักษาความปลอดภัยนั่นเอง แต่เมื่อมีเทคโนโลยีที่อำนวยความสะดวกเพิ่มขึ้น ย่อมมีกลวิธีการแฮกข้อมูลเพิ่มขึ้นเช่นกัน จนลืมนึกไปว่าข้อมูลลายนิ้วมือก็อาจถูกแฮกได้ แม้ว่ารหัสผ่านเมื่อโดนแฮก ยังสามารถที่จะเปลี่ยนรหัสผ่านได้ แต่ข้อมูลลายนิ้วมือหากโดนแฮก เราไม่สามารถเปลี่ยนลายนิ้วมือได้ ผู้ที่เลือกใช้การยืนยันตนด้วยวิธีนี้จึงควรรู้เท่าทันว่าแฮกเกอร์มีวิธีต่าง ๆ อย่างไรที่สามารถเจาะอุปกรณ์ที่ใช้การสแกนลายนิ้วมือนี้ได้ และมาดูกันว่า แฮกเกอร์สามารถสวมรอยนิ้วมือได้อย่างไร จนไปถึงวิธีป้องกันเพื่อรักษาความปลอดภัยของข้อมูลของเรา

1. การโจมตีโดยใช้ Masterprints

การใช้ Masterprints ก็เหมือนกับการใช้กุญแจ Master ที่สามารถไขได้ทุกห้องในบ้าน โดยถูกสร้างมาจากข้อมูลพื้นฐานของลายนิ้วมือมนุษย์ทั่วไป ซึ่งปกติเครื่องสแกนลายนิ้วมือที่มีเสปกสูง ๆ จะเน้นความแม่นยำและ จะบล็อกการพยายามเข้าสู่ระบบด้วย Masterprints แต่อุปกรณ์ที่มีระบบสแกนลายนิ้วมือที่ไม่ซับซ้อนอย่าง อุปกรณ์มือถือทั่วไป ฯลฯ อาจเสี่ยงต่อการถูกโจมตีผ่าน Masterprints ได้

วิธีป้องกัน

หากเป็นไปได้ ควรเลือกใช้เครื่องสแกนลายนิ้วมือที่มีสเปกความแม่นยำสูง ๆ แนะนำให้ศึกษาสเปกชีทของเครื่อง ฯ ให้ดี โดยดูที่ False Acceptance Rate (FAR) ซึ่งเป็นตัวเลขสถิติของลายนิ้วมือที่ไม่ได้ผ่านการตรวจสอบแต่หลุดรอดเข้าระบบได้ ยิ่งอัตราต่ำเท่าใด โอกาสที่เครื่องสแกนลายนิ้วมือจะบล็อก Masterprints ได้สำเร็จ ก็มีมากเท่านั้น

2. การขโมยลายนิ้วมือจากไฟล์รูปภาพในอุปกรณ์

รหัสผ่านสามารถเปลี่ยนใหม่ได้ แต่ลายนิ้วมือของเราเปลี่ยนไม่ได้ หากแฮกเกอร์พยายามขโมยลายนิ้วมือเราได้ ไม่ว่าด้วยวิธีการใดก็ตาม เครื่องแสกนลายนิ้วมือจะกลายเป็นสิ่งไร้ค่าทันที เพื่อให้เครื่องสแกนลายนิ้วมือสามารถระบุตัวตนได้ ต้องใช้การบันทึกภาพลายนิ้วมือของเราเพื่อตั้งค่าเริ่มต้นใช้งาน รูปภาพลายนิ้วมือจะถูกบันทึกไว้ในหน่วยความจำภายในตัวเครื่องอย่างหลีกเลี่ยงไม่ได้ ทุกครั้งที่เราสแกนลายนิ้วมือ เครื่องจะเทียบลายนิ้วมือกับรูปภาพเหล่านี้ ความเสี่ยงประการหนึ่งก็คือ อุปกรณ์หรือเครื่องสแกนลายนิ้วมือบางชนิดหรือบางยี่ห้อ จะบันทึกไฟล์ภาพลายนิ้วมือโดยไม่เข้ารหัส (Unencrypted) ซึ่งแฮกเกอร์สามารถลักลอบเข้าถึงที่แฟ้มเก็บไฟล์รูปภาพลายนิ้วมือและนำไปใช้งานได้

วิธีป้องกัน

เครื่องสแกนลายนิ้วมือที่ดีควรมีการเข้ารหัสไฟล์ภาพลายนิ้วมือเพื่อป้องกันไม่ให้บุคคลอื่นนำไปใช้งาน แนะนำให้ตรวจสอบเครื่องสแกนลายนิ้วมืออีกครั้งเพื่อเช็คว่ามีการจัดเก็บภาพลายนิ้วมืออย่างเหมาะสมหรือไม่ หากพบว่าอุปกรณ์นั้นไม่ได้บันทึกภาพลายนิ้วมือโดยเข้ารหัส (Encrypted) ควรเลิกใช้งานอุปกรณ์นั้นต่อทันที และลบไฟล์ภาพลายนิ้วมือในอุปกรณ์ออกทั้งหมด

3. การสร้างลายนิ้วมือปลอม

แฮกเกอร์บางรายเลือกที่จะสร้างลายนิ้วมือของเหยื่อขึ้นมาใหม่ มักเล็งเป้าหมายไปยังเหยื่อระดับผู้บริหารหรือตำแหน่งสูงในหน่วยงานของรัฐ เมื่อไม่กี่ปีที่ผ่านมา มีรายงานว่าแฮกเกอร์สามารถสร้างลายนิ้วมือปลอมของรัฐมนตรีว่าการกระทรวงกลาโหมของเยอรมนีได้โดยอาศัยรูปถ่ายมือของเหยื่อในระยะใกล้

มีอีกหลายวิธีที่แฮกเกอร์สามารถแปลงข้อมูลลายนิ้วมือโดยขึ้นรูปเป็นลายนิ้วมือปลอมได้ เช่น สร้างลายนิ้วมือจากมือจำลองโดยใช้ขี้ผึ้งหรือไม้ ซึ่งลายนิ้วมือที่สร้างขึ้นมาใหม่สามารถนำไปพิมพ์ลงบนกระดาษและใช้หมึกพิเศษเพื่อนำไปใช้กับเครื่องสแกนลายนิ้วมือได้

วิธีป้องกัน

ป้องกันไม่ให้ผู้ใดครอบครองลายนิ้วมือของเราได้ตั้งแต่แรกเป็นการดีที่สุด แต่ก็ไม่ถึงกับแนะนำให้สวมถุงมือเพื่อป้องกันทุกครั้ง เพียงระมัดระวังตัวไม่ถ่ายภาพใด ๆ ที่แสดงเห็นถึงลายนิ้วมือของเราก็น่าจะช่วยป้องกันได้ นอกจากนี้แนะนำให้เลือกเครื่องสแกนลายนิ้วมือกับอุปกรณ์และบริการที่น่าเชื่อถือได้เท่านั้น โดยเลือกเฉพาะอุปกรณ์ที่มีการเข้ารหัสไฟล์ภาพลายนิ้วมือไว้ จะดีมาก

4. การใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์

ซอฟต์แวร์จัดการรหัสผ่าน (Password Manager) บางตัวใช้การสแกนลายนิ้วมือเพื่อระบุตัวตนผู้ใช้ ประสิทธิภาพของซอฟต์แวร์จะดีหรือแย่ขึ้นอยู่กับระบบรักษาความปลอดภัยของซอฟต์แวร์ นั้น ๆ แฮกเกอร์สามารถโจมตีซอฟต์แวร์จัดการรหัสผ่านที่มีระบบรักษาความปลอดภัยที่แย่เพื่อขโมยลายนิ้วมือเหยื่อ

เมื่อปีที่ผ่านมา มีรายงานข้อบกพร่องในอุปกรณ์จัดการรหัสผ่านของพีซียี่ห้อ Lenovo ที่เปิดใช้งานด้วยลายนิ้วมือ แต่ระบบมีการสร้างรหัสผ่านควบคู่เอาไว้ หากแฮกเกอร์ต้องการเข้าถึงระบบ ก็เพียงแค่แฮกเอารหัสผ่านที่สามารถนำมาใช้แทนการแสกนลายนิ้วมือได้อย่างสบาย

วิธีป้องกัน

วิธีที่ดีที่สุดในการหลีกเลี่ยงการโจมตีประเภทนี้คือการเลือกใช้ผลิตภัณฑ์ที่ได้รับการยอมรับและเป็นที่นิยม แต่ในกรณีนี้แบรนด์ระดับ Lenovo ซึ่งก็ได้รับความนิยมสูงไม่น้อย ก็ยังมีช่องโหว่ให้ถูกโจมตีได้เช่นกัน ดังนั้นแนะนำให้หมั่น Update ซอฟต์แวร์ความปลอดภัยและรีบลง Patch หลังพบปัญหาช่องโหว่ทันที

5. นำคราบลายนิ้วมือของเหยื่อมาใช้ต่อ

คราบรอยนิ้วมือของมนุษย์มักติดอยู่บนวัตถุหลังจากสัมผัส คราบรอยนิ้วมือที่หลงเหลืออยู่หลังประทับนิ้วมือลงบนเครื่องสแกนลายนิ้วมือก็ไม่ต่างกับการลืมลูกกุญแจคาไว้ในรูกุญแจหลังเปิดประตูบ้าน ดังนั้นลายนิ้วมือที่ถูกคัดลอกจากเครื่องสแกนลายนิ้วมือโดยตรง รับรองได้เลยว่ามีสภาพใกล้เคียงกับลายนิ้วมือของเจ้าของมากที่สุด

อย่างไรก็ตาม แฮกเกอร์ไม่จำเป็นต้องคัดลอกลายนิ้วมือจากเครื่องสแกน ฯ ก็ได้ เนื่องจากมีรายงานว่าแฮกเกอร์สามารถ หลอกมือถือที่มีการสแกนนิ้วมือลงบนหน้าจอแสดงผลให้ยอมรับคราบรอยนิ้วมือได้ นักวิจัยบางรายหลอกเครื่องสแกนลายนิ้วมือบนมือถือโดยการนำวัตถุทึบแสงวางไว้บริเวณสแกนนิ้ว ก็สามารถสแกนเข้าเครื่องได้เช่นกัน

วิธีป้องกัน

วิธีป้องกันง่ายมาก เพียงแค่เช็ดลายนิ้วมือบนเครื่องสแกนลายนิ้วมือหลังใช้งานออกให้หมดทุกครั้งหลังปลดล็อคเครื่องได้ เพื่อป้องกันไม่ให้แฮกเกอร์ขโมยคราบนิ้วมือไปใช้

อ้างอิงที่มา



เนื้อหาที่เกี่ยวข้อง

1. Cloud Security ความปลอดภัยบน Cloud Computing

2. วิธีปิดการแสดงผล Follow info ของแอปพลิเคชัน LINE

3. New Normal กับ “ข้อมูลส่วนบุคคล” วิถีใหม่ที่ต้องให้ความสำคัญ

4. Next Generation Firewall กับ Web Application Firewall ต่างกันอย่างไร

5. เคล็ดลับ 10 ข้อ ในการเลือกและใช้เครื่องมือสื่อสารออนไลน์