• Thứ Năm, 13/11/2014 00:04 (GMT+7)

    Touch ID - Đâu chỉ là cú chạm tay

    Nguyễn Thúc
    (PCWorldVN) Việc đưa bảo mật sinh trắc học lên thiết bị di động đã đặt ra nhiều dấu hỏi về sự an toàn thực sự đối với thông tin cá nhân cũng như khả năng bảo mật của chính các giải pháp đó.

    Cùng với sự hiện diện của iPhone 5S cuối năm ngoái, Apple đã chính thức đưa tính năng bảo mật nhờ nhận diện sinh trắc học vào thiết bị di động – thứ mà họ gọi tên là “Touch ID”. Sự hiện diện của Touch ID không chỉ dừng lại ở mẫu iPhone, nó đã nhanh chóng trở thành một trào lưu trên hầu hết các dòng điện thoại thông minh khác, đặc biệt là trong các mẫu Android cao cấp. Thậm chí trong sự kiện của mình vừa qua, Apple cũng công bố đã trang bị Touch ID cho cả hai chiếc máy bảng iPad Air 2iPad Mini 3 của mình. Như thế, người dùng đã có thể dùng dấu vân tay của mình để mở khoá và thực hiện hàng loạt các tương tác tiện dụng cũng như sử dụng dịch vụ thanh toán trên các thiết bị iOS (trừ iPhone 5c vào lúc này). Tuy nhiên, liệu Touch ID có phải là giải pháp hoàn hảo?

     


    Điều gì xảy ra khi chìa khoá không còn nằm trong trí óc của bạn?

    Thực tế, giải pháp nhận diện sinh trắc học dựa trên dấu vân tay không phải là thứ mới lạ, tương tự như quét võng mạc hay phân tích mẫu máu. Đây là những thứ đã từ lâu được đưa vào đời sống thực từ những bộ phim viễn tưởng. Trước khi có mặt trên iPhone 5s và các thiết bị di động về sau này, nhận diện dấu vân tay là tính năng thường xuyên được sử dụng tại những trạm cố định như cửa ra vào cơ quan hay thậm chí là trường học, cơ sở ý tế… Thậm chí, không ít sản phẩm USB cho phép chiếc máy tính Windows của bạn có thể đăng nhập bằng dấu vân tay. Sự tiện lợi của chúng là không thể phủ nhận. Tuy nhiên, đi cùng với đó là những mối lo ngại khác hẳn với các phương thức bảo mật bằng mật khẩu hay tương tự.

    Điều gì sẽ xảy ra khi “chìa khoá” chuyển từ trong trí óc bạn ra bên ngoài?
     

    Nói một cách đơn giản, nếu như ai đó có thể khai thác mật khẩu từ bạn bằng các hình thức như đe doạ hay tra tấn và thậm chí là tận dụng các yếu tố pháp lý… cuồi cùng đều phải viện tới sự chấp nhận của bạn. Như thế, chỉ khi bạn đầu hàng, mật khẩu hay thông tin mới có thể được hé lộ. Trong trường hợp những thông tin được bảo vệ quá nhạy cảm hoặc có giá trị cao, “nạn nhân” vẫn có thể nhất quyết không khai ra mật khẩu. Tuy nhiên, các cảm biến dấu vân tay di động đã thay đổi điều này một cách đáng ngạc nhiên. Thay vì nỗ lực thuyết phục bạn – bất kể là theo hướng tích cực hay tiêu cực – thì ai đó muốn có những thông tin từ bạn chỉ cần lấy được thiết bị của bạn (quá dễ nếu đó chỉ là chiếc điện thoại di động mà bạn luôn mang theo bên mình thay vì một hệ thống gì đó cồng kềnh), đảm bảo nó không bị khởi động lại và quét nó vào tay của bạn. Nói cách khác, bạn chẳng cần phải hợp tác, việc “mở khoá” thiết bị của bạn là điều dễ dàng hơn nhiều bởi rõ ràng, việc đọc suy nghĩ để tìm ra một đoạn mật khẩu gần như là bất khả thi. Trong khi đó, trói gô ai đó lại nhằm lấy dấu vân tay lại dễ dàng hơn rất nhiều. Dĩ nhiên, “nạn nhân” sẽ phải còn sống để Touch ID có thể xác nhận thông tin bởi ít nhất theo Apple tuyên bố, ngay từ khi iPhone 5s có mặt, các cảm biến đã sử dụng tính truyền dẫn điện để quét – thứ chỉ có thể tương tác với cá thể sinh học còn sống. Suy nghĩ theo hướng này trong khi cảm nhận những tiện dụng theo kiểu “một chạm” mà Touch ID hay bất kì giải pháp tương tự nào khác mang lại, bạn có thể sẽ rùng mình khi nghĩ tới những bộ phim hình sự, hay phim chiến tranh, khi những kẻ thù có thể dễ dàng khai thác thông tin chỉ bằng việc khống chế chủ nhân máy thay vì mất hàng ngày trời thuyết phục bằng cách nào đó. Với nhiều ý kiến nhận định, liệu điều này có phải nguồn gốc của những xu hướng bạo lực mới? Từ góc độ đó, chúng ta hãy thử cân nhắc rằng liệu Touch ID có thực sự là một giải pháp an toàn tuyệt đối ?
     

    Và những lo ngại về tính riêng tư

    Ở một hướng tiếp cận khác, những mong muốn về tính tiện dụng song song với khả năng bảo vệ dữ liệu an toàn khỏi những tên trộm thiết bị di động đã luôn là động lực thúc đẩy sự phổ biến của các công nghệ sinh trắc học và thương mại hoá chúng dưới những hình thức như Touch ID. Tuy nhiên, làn sóng các công nghệ thông tin mới luôn là con dao hai lưỡi với người tiêu dùng bởi sự tiện dụng luôn đe doạ tới tính riêng tư của thông tin cá nhân. Với cách nghĩ này, Touch ID cũng không ngoại lệ.

    Với những hệ thống thu thập thông tin cá nhân cực kì hoàn thiện, bổ sung thêm dữ liệu sinh học của bạn sẽ khiến quyền riêng tư ngày càng giảm đi.
     

    Thực tế, bên cạnh việc thực hiện cuộc gọi và duyệt web đơn thuần, một chiếc điện thoại thông minh cũng không khác gì thiết bị theo dõi. Thậm chí với nhiều người đó có thể là… chức năng chính. Nhiều nghiên cứu từ 2011 cho thấy không hiếm các nhà mạng đã hợp tác với các cơ quan điều tra để cung cấp thông tin về cuộc gọi. Tại Mỹ, con số này lên tới 1,3 triệu trường hợp khác nhau và các “đối tác” của nhà mạng bao gồm từ Barney Fife cho tới FBI – chưa kể tới hệ thống theo dõi của NSA. Trong nhiều trường hợp, việc truy xuất dữ liệu cá nhân của người dùng tại quốc gia này thậm chí không cần tới lệnh từ toà án. Việc giám sát được sự di chuyển của người dùng thông qua điện thoại có thể giúp các cơ quan chức năng nhận định thói quen của họ một cách dễ dàng. Theo các chuyên gia, các đánh giá này không chỉ ở một khía cạnh cuộc sống mà thậm chí là toàn diện. Ngoài ra, một số nghiên cứu tại Anh cũng chỉ ra rằng việc xem xét thói quen di chuyển của một người với bạn bè của họ (thông qua các địa chỉ liên lạc chung trên điện thoại thông minh), việc dự đoán trước các bước đi tiếp theo là rất khả thi. Đáng nể hơn cả, theo một nghiên cứu của MIT Technology Review, với 200 người tình nguyện chịu sự giám sát, hệ thống phán đoán gần như chỉ bị sai số khoảng 20m trong việc chỉ ra trước người đó sẽ ở đâu trong 24 giờ tới.

    Dù đã có mặt từ lâu, nhưng việc đưa lên thiết bị di động cầm tay sẽ tạo ra nhiều nguy cơ mới cho bảo mật sinh trắc học.
     

    Hơn thế nữa, khi tất cả các thiết bị đều kết nối trong mạng Internet, các loại điện thoại thông minh cũng rất dễ bị tấn công từ bên ngoài thông qua các phần mềm độc, phần mềm gián điệp hoặc thiết bị theo dõi trình duyệt với chức năng lấy trộm càng nhiều dữ liệu càng tốt.. Những dữ liệu này có thể từ đơn giản như cookie trình duyệt hay hình ảnh, âm thanh từ camera và microphone của điện thoại. Đây là cái giá phải trả khi bạn có một chiếc máy tính mini trong túi áo của mình. Như thế, nếu những dữ liệu sinh trắc học được thu thập qua Touch ID hay tương tự cũng bị đánh cắp, rắc rối sẽ là rất lớn. Dĩ nhiên, những nhà sản xuất lớn như Apple hay Samsung có thể phần nào đảm bảo sự an toàn của những dữ liệu dạng này. Tuy nhiên liệu các hãng nhỏ, những công ty phát triển phần mềm… có làm được điều này? Điều gì sẽ đến nếu bạn tậu cho mình một chiếc điện thoại thông minh không tên tuổi nhưng cũng có hệ thống đầu đọc dấu vân tay? Rõ ràng, hiểm hoạ là khó lường trước.

    Trong con mắt của giới chuyên nghiệp, những giải pháp như Touch ID vẫn chưa thực sự mạnh mẽ.


    Sự lạnh nhạt của môi trường chuyên nghiệp

    Trong khi rất được ưa chuộng trong môi trường dân dụng, những tính năng tương tự như Touch ID lại không đủ sức mạnh thu hút nhóm người dùng chuyên nghiệp. Theo nhiều ý kiến từ cộng đồng này, các sản phẩm như Touch ID giống một “món đồ trang trí hơn là một tính năng bảo mật chuyên nghiệp”. Trong khi Apple liên tục khẳng định các nhà phát triển ứng dụng thứ ba của mình đang nỗ lực thúc đẩy sự phổ dụng của cơ chế xác nhận bảo mật mới của iPhone với hi vọng ngày càng có nhiều người dùng BYOD (Bring your own device) trong môi trường chuyên nghiệp sẽ chịu khó khoá máy nhằm bảo vệ ứng dụng cũng như dữ liệu bên trong đó. Đây cũng là tiền đề lý tưởng cho các thiết bị số đeo trên người. Tuy nhiên, đứng ở góc nhìn của các nhà xây dựng kiến trúc bảo mật chuyên nghiệp, Touch ID (và các giải pháp tương tự) chỉ là “thứ tốt cho người tiêu dùng và chẳng có giá trị gì cho môi trường chuyên nghiệp. Apple vẫn là Apple” – giám đốc Arctec Group, ông Gunnar Peterson, nhận định. “Dù vậy, điều đó cũng không có nghĩa rằng họ không hề có thứ gì đó hữu dụng cho môi trường chuyên nghiệp về sau này. Tuy nhiên tôi không quá mong chờ vào điều đó” – ông này phát biểu thêm. Như thế, đứng ở góc nhìn của nhóm người dùng chuyên nghiệp, Apple sẽ phải thuyết phục các nhà phát triển ứng dụng dành cho môi trường chuyên nghiệp tích hợp tính năng của mình – điều cũng là bắt buộc với các nhà sản xuất thiết bị di động dân dụng khác. Bên cạnh đó, những tính năng như Touch ID cũng cần phải tích hợp thêm các tính năng đặc thù của môi trường chuyên nghiệp như các hệ thống IAM chuyên dụng (mà các doanh nghiệp thường chi nhiều khoản khổng lồ để xây dựng) hay các tiêu chuẩn bảo mật cao cấp khác. Tuy thế, ngay cả khi điều này trở thành hiện thực, nó cũng được cho là chỉ giúp các đơn vị yên tâm hơn chút ít khi biết rằng điện thoại nhân viên của họ an toàn hơn so với trước đây. Nói cách khác, nó chưa đủ tiềm năng và sức hấp dẫn để thu hút các khoản đầu tư thực thụ như một giải pháp bảo mật tầm cỡ. Thực tế, để làm được điều này, Apple phải “mở” giải pháp của mình cho các chuyên gia bảo mật doanh nghiệp đánh giá chính xác TouchID – điều gần như không tưởng. Thực tế, Apple và nhiều nhà sản xuất điện thoại thông minh khác từ trước tới nay cũng không đình đám gì với các công cụ bảo mật của mình ( trừ BlackBerry). Do đó, họ sẽ cần thời gian để xây dựng uy tín của mình.  

    PC World VN, 11/2014
     

    ID: A1411_51