Introduktionen av biometrisk inloggning med fingeravtryck och ansiktsigenkänning har helt klart förbättrat vår IT-säkerhet. Tack vare dessa simpla upplåsningsmetoder är det lätt för den stora allmänheten att hålla sina mobiler låsta. Förhoppningsvis väljer fler bort simpla pinkoder som 000000 när de enbart behöver ange pinkoden vid ett fåtal tillfällen. Just enkelheten som biometrisk inloggning skänker är anledningen till att vi i Bli säker-boken rekommenderar att byta skärmlåsets pinkod mot ett starkt lösenord.
Ansiktsigenkänning har brister
På de senaste årens flaggskepp har fingeravtrycksläsarna kompletterats eller ersatts av kameror för ansiktsigenkänning. Det finns tyvärr ingen standard för hur dessa kameror fungerar, vilket gör att lösningarna som de bygger på håller varierande kvalitet. Apples egna studier visar att deras ansiktsinloggning (Face-ID) är säkrare än deras fingeravtrycksinloggning (Touch-ID). Face-ID bygger samtidigt på en komplex och avancerad 3D-lösning som är för dyr eller för tekniskt invecklad för många budgetmodeller att använda. Det är därför knappast förvånande att många mobiler har bristande lösningar för ansiktsigenkänning.
Nederländska Consumentenbond har testat 110 olika mobilmodeller med ansiktsinloggning. Av dessa kunde 42 modeller låsas upp med enbart ett högkvalitativt foto på ägaren. Detta är anmärkningsvärt eftersom ett foto på ägaren är betydligt lättare att få tag i jämfört med de 3D-modelleringar som krävs för att lura de mer kompetenta ansiktsigenkänningslösningarna.
På listan över lättlurade mobiler finns bland annat följande populära modeller (ett urval för den svenska marknaden):
- Asus Zenphone 5
- HTC U11+
- Huawei P20
- Nokia 7.1
- Samsung Galaxy A7
- Samsung Galaxy A8
- Sony Xperia XZ2
- Sony Xperia XZ3.
Undersökningen visar att mobiltillverkarna använder olika lösningar för ansiktsigenkänning beroende på modellserie. Som listan ovan visar gick det att lura Samsungs mellansegmentsmodeller i Galaxy A7- och A8-serien. Samsungs flaggskepp i Galaxy S9- och Note 9-serien lät sig däremot inte luras. Det går dock inte att dra någon slutsats om att premiummodeller alltid skulle ha säkrare lösningar. Det finns nämligen också exempel på det rakt motsatta förhållandet.
Samsung är medvetna om att tekniken som de använder i Galaxy A8 inte är lika bra som den i Galaxy S9. På produktsidan för Galaxy A8 skriver de nämligen uttryckligen ”ansiktsigenkänning är inte lika säkert som mönster, pinkod eller lösenord”, något de inte gör på produktsidan för Galaxy S9.
Exempel på modeller som inte lurades av ett fotografi är:
- Apple Iphone XR
- Apple Iphone XS
- Honor 10
- HTC U12+
- Huawei Mate 20
- Motorola G6
- Oneplus 5T
- Oneplus 6
- Samsung Galaxy A9
En fullständig lista över resultatet för alla testade mobiler finns på Consumentenbonds webbplats.
Innebörden av undersökningen
Consumentenbonds undersökning bevisar att det råder stor skillnad mellan olika tekniska lösningar för ansiktsigenkänning. Det betyder dock inte att inloggning med ansiktsigenkänning bör undvikas. Merparten av mobilerna lät sig trots allt inte luras. Slutsatsen vi bör dra från undersökningen är snarare att vi bör välja mobilmodell med omsorg.
Tillverkarna av de testfallerande mobilmodellerna kan eventuellt också åtgärda problemet med en mjukvaruuppdatering som gör ansiktsigenkänningen känsligare. Vid designandet av en lösning som denna måste tillverkaren gå en balansgång mellan hur stora avvikelser som ska tillåtas och hur säker lösningen ska vara. Ju mindre avvikelser som tillåts, desto säkrare blir lösningen. Högre säkerhet sker på bekostnad av att upplåsningen tar längre tid och kräver fler upplåsningsförsök. Denna nackdel kan endast undvikas om mobilen är utrustad med bättre hårdvara, men det är onekligen inget som går att åtgärda i efterhand.
Tips! På vissa mobilmodeller kan även användaren själv reglera säkerhetsnivån (t.ex. på LG G7).
Den som äger en mobil som finns med på listan över lättlurade modeller bör inte nödvändigtvis sluta använda ansiktsigenkänning för upplåsning. Alternativen är inte alltid bättre. En angripare kan se vilken pinkod eller vilket upplåsningsmönster som används på samma sätt som angriparen kan få tag i ett högupplöst foto. Det viktiga är att vara medveten om bristerna och att välja en upplåsningsmetod som är lämplig för situationen. Om valet står mellan en bristande ansiktsigenkänning eller en värdelös pinkod (t.ex. 000000) är den bristande ansiktsigenkänningen alltid ett bättre val.
Tips! En av huvudanledningarna till att det är så viktigt att låsa mobilen är att vi har våra e-postkonton i mobilen. Varför detta är så allvarligt behandlas närmare i Bli säker-boken.
Datakälla: Consumentenbond (via Bleeping Computer).
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.