Ja, ansigts godkendelse, så som Face ID, ER en sikkerheds risiko!
“Face recognition” – “Face ID” eller på dansk: ansigts genkendelse, som adgangsgiver på din smartphone ser vi nu også på den nye Apple iPhone X, ligesom at funktionen har været at finde på Samsungs Galaxy modeller i et par år.
Du holder din smartphone op foran dig og kameraet bruges til at scanne dit ansigt. Hvis smartphonen genkender ansigtet, så åbnes telefonen. Herved slipper du for at indtaste password, tegne et mønster eller holde din finger korrekt herover en knap på smartphonen. Det er jo smart og let!
Hvor både dit ansigtsdata og dit fingerafryk opbevares er en anden debat, som jeg måske causerer om en anden dag.
En pinkode, et password eller en mønsterkode er gemt væk oppe i dit hoved, og derfor umuligt at få adgang til, med mindre du trues til at udlevere det.
Oplyser du forkert pinkode/password, så låser mange smartphones sig. Nogle smartphones sletter endda indholdet, hvis forkert kode indtastes for mange gange.
Dit fingeraftryk, og nu dit ansigt, er meget lettere at bruge. Du får hurtigere adgang til din enhed. Du skal ikke have handskerne af for at indtaste en kode eller afgive dit fingeraftryk.
Jo, Apple og Samsung fortæller at ansigts genkendelse er mange gange mere sikkert end fingeraftrykket og især pin- og mønsterkoden.
Men er det nu også så sikkert ?
Jo, jeg prøvede også at holde min Samsung enhed op foran et billede af mig selv på en skærm, og måtte konstatere at min smartphone blev lukket op (en senere opdatering af softwaren har vist løst dette. Har ikke kunne genskabe det på det sidste).
Jeg har netop forsøgt det samme med en iPhone X, hvor Apple har oplyst at ovennævnte trick ikke skulle være muligt. Det har det heller ikke, kan jeg oplyse.
Herved kan din ægtefælle eller kollega ikke lige få adgang til din enhed.
Men ansigts godkendelse gør det lettere at få adgang til dine data!
I sidste uge skrev jeg om at grænse myndighederne måske vil have adgang til informationerne på din smartphone, når du står i paskontrollen i fx. USA eller Israel (link til artiklen). Herved får de også adgang til virksomhedens data, fx. dine emails, der kan indeholde stærkt fortrolige data, og dine kontakter.
Faktisk kan en grænse betjent blot holde dit smartphone op foran dit ansigt, og derved bliver din smartphone låst op!
Det forholder sig lidt anderledes med dit fingeraftryk, for det vil kræve at der anvendes tvang, hvis du modsætter dig at placere din finger på fingeraftryks læseren, og herved er fremskaffelsen af adgangen reelt ulovlig.
Men forestil dig at en myndighedsperson tager smartphonen op, holder den hen foran dig ansigt og spørger “Er dette din smartphone?………Jamen minsandten om den ikke er åben….”.
I forlængelse af min artikel forleden (link), så skal virksomhederne tage højde for dette, når de fastsætter sikkerheden på de mobile enheder, som deres medarbejdere bruger, og tager med på rejse.
Vi, medarbejdere bør også stille krav til at vores firmaer afklarer dette, så vi ikke kommer til at stå med dilemmaet, når vi rejser med familien til Disneyland.
Bliver det lettere for tyvene nu ?
Desværre er der også eksempler på at folk bliver holdt op af tyve og frarøvet deres værdier, herunder deres smartphone. Aviserne skriver om bander af unge, der tvinger deres ofre til at udlevere deres smartphones, ofte de nyeste modeller.
De bliver nu bedt om at låse deres smartphone op, så tyvene kan få fuld adgang til enheden.
Betyder det, at vi fremover vil se flere barske overfald, hvor tyvene lukker telefonen op for derved at diable sikkerheds systemerne? Måske.
Brug pinkode på visse apps!
Flere og flere apps bruger nu også ansigtgenkendelse eller fingeraftryk, som godkendelsesfaktor til betalings apps eller apps, der indeholder fortrolige data.
Jeg har en app, som kan samle alle mine passwords. I stedet for et password ind til denne app, så kan jeg bruge mit fingeraftryk. Ligeledes kan jeg let få adgang til min E-boks eller MobilePay med mit fingeraftryk.
Flere Apple apps giver dig mulighed for at logge ind med dit Face ID.
Mit råd til dig og din virksomhed:
Jeg vil opfordre dig til at bruge det gode gamle password/pinkode login på de apps, som indeholder vigtige data eller adgange til systemer for dig. Ja, der er bekvemt lige at godkende en betaling med et smil, men i mine øjne har du sænket sikkerheden på din smartphone.
For virksomhederne, der fx. benytter et Mobile Device management systemet (MDM) eller et Enterprise Mobile Management system (EMM), der vil jeg opfordre jer til at undgå at bruge ansigts godkendelse eller fingeraftryk ind til de apps, der giver adgang til virksomhedens fortrolige data.
Har vi virkeligt så travlt, at vi går på kompromis med sikkerheden ?