Nhận định, soi kèo Valencia vs Atletico Madrid, 0h30 ngày 23/2: Bám đuổi

Quy trình nhận diện của cảm biến quét mống mắt (nguồn: AllAboutCircuits)

Tương lai và triển vọng của quét mống mắt là vậy, nhưng ứng dụng nó trên các thiết bị di động như smartphone thì sao? Phải nhớ lại rằng, trước đó Microsoft đã từng đưa tính năng quét mống mắt lên bộ đôi Lumia 950/950XL, nhưng phải đến Note7 và gần đây là Galaxy S8 mới khiến công nghệ này trở thành "hướng đi mới" cho bảo mật di động. Tuy nhiên, sự việc một nhóm thử nghiệm đã "hack" thành công cảm biến mống mắt trên Galaxy S8 khiến viễn cảnh "phổ cập" công nghệ quét mống mắt nói riêng và sinh trắc học nói chung trở nên mịt mù.

Về cơ bản, công nghệ nhận diện mống mắt trên điện thoại thường tích hợp một bộ cảm biến ở mặt trước máy, bao gồm 2 phần chính là đèn chiếu tia hồng ngoại đến mắt và các ống kính camera. Chùm tia phản xạ từ mắt đến phần ống kính sẽ được phân tích và từ đó ghi lại đặc điểm các đường vân mống mắt.

Vì sao cảm biến mống mắt (iris scan) ít phổ biến trên các thiết bị di động? Thứ nhất, phải đảm bảo việc lấy mẫu trong vùng ghi nhận hồng ngoại NIR (Near Infrared Region). Thứ hai, thời gian xử lý chậm hơn quét vân tay. Thứ ba, xác thực mống mắt có tỷ lệ từ chối (FRA) cao do việc kết hợp phức tạp. Chưa kể thói quen cầm điện thoại lên rồi phải "nhìn trừng trừng" vào nó để mở khóa (bằng quét mống mắt) rất gượng ép và không thực sự "tự nhiên" so với cảm biến vân tay.

Đặc biệt, . Đây cũng là điều mà nhóm nghiên cứu quốc tế và Bkav vừa hack thành công cảm biến mống mắt của Galaxy S8 thực hiện. 

Video demo cảnh qua mặt cảm biến mống mắt của Galaxy S8 bằng máy ảnh và... keo dán giấy. (Nguồn: Bkav)

Rõ ràng điểm yếu của bảo mật mống mắt trên điện thoại đã bị phơi bày, có lẽ các nhà nghiên cứu lẫn phía Samsung sẽ phải mất thêm thời gian để đưa các công nghệ xác thực chéo vào điện thoại nhằm đảm bảo mẫu mống mắt sử dụng để quét là từ cơ thể sống, chứ không phải là một... ảnh chụp hay mô hình giả mạo.

Chưa hết, đó không phải là vấn đề tiềm ẩn duy nhất với sự nhận biết mống mắt. Các nhà nghiên cứu về an ninh còn nhận ra rằng, có một số lỗ hổng cho phép kẻ xấu có thể sao chép dữ liệu số hóa của mống mắt và tái tạo chúng theo ý muốn, và sẽ là một thảm họa bảo mật khi điều đó xảy ra.

Vẫn chưa rõ những điều này sẽ ảnh hưởng như thế nào tới việc triển khai các hệ thống quét mống mắt cũng như nhận diện sinh trắc học của các hệ thống an ninh trong tương lai. Nhưng có vẻ như không chỉ có Microsoft, Samsung mà Apple cũng đang muốn tích hợp phương thức bảo mật này vào các thế hệ iPhone sắp tới. Nếu điều đó xảy ra, chắc chắn Apple sẽ phải làm nhiều việc để nó không trở nên "mong manh" như cách mà Samsung đã làm trên Galaxy S8.

Trước khi quét mống mắt được chú ý thì cảm biến vân tay đã kịp "phổ cập" trên điện thoại, đến mức hiện cảm biến này đã có mặt trên hầu hết các phân khúc smartphone bán ra trên thị trường, từ giá rẻ đến các mẫu flagship mới nhất. 

Về cơ bản, giải pháp xác thực bằng vân tay đã được chứng minh có độ tin cậy cao trong suốt nhiều năm qua, một phần vân tay hiện được sử dụng để xác thực danh tính phổ biến trên thế giới. Do vậy, việc đưa cảm biến vân tay vào điện thoại được coi là bước tiến lớn, thay đổi phiền toái của việc nhập liệu mật khẩu thủ công trước đây.

Video demo tình huống cảm biến vân tay TouchID trên iPhone bị lừa bằng một bản in giả bằng các thiết bị mà bất kỳ ai cũng có thể mua.

Phương pháp này hiện có nhiều công nghệ khác nhau (Touch ID của Apple là một ví dụ), nhưng tất cả đều dựa trên nguyên tắc lấy mẫu các điểm đặc trưng trên vân tay của con người. Trong đó, hệ thống cảm biến vân tay hoạt động dựa trên sóng vô tuyến, cho phép chụp lại không chỉ bề mặt lồi lõm trên đầu ngón tay mà thậm chí là cả lớp da ở dưới ngón tay để xác định danh tính.

Tuy nhiên, cũng như cảm biến mống mắt, giải pháp bảo mật này đã bị các nhà nghiên cứu chỉ ra điểm yếu ngay từ khi mới xuất hiện. Gefahren von Kameras - một nhà nghiên cứu sinh trắc học người Đức - đã cho thấy hầu hết các thiết bị sinh trắc học mà chúng ta nghĩ là an toàn thực sự đều dễ dàng bị thâm nhập, kể cả quét vân tay. Từ việc "con mượn tay bố để mở khóa iPhone" cho tới việc tạo ra các mẫu vân tay giả bằng keo dựa trên ảnh chụp. 

Có thể nói vân tay, mống mắt hay giọng nói là đặc điểm nhận diện mang tính "độc nhất vô nhị" của bạn và là đặc trưng gần như "bất biến" theo thời gian. Nhưng với đà tiến bộ của các công nghệ hình ảnh và âm thanh thì việc tái tạo các bản sao mô phỏng để đánh lừa các hệ thống nhận diện trở nên khả thi hơn,và một khi được ứng dụng rộng rãi cũng đồng nghĩa với việc phải đối mặt với nhiều thách thức về bảo mật hơn.

Một vân tay bằng cao su dùng để đánh lừa hệ thống nhận diện vân tay của iPhone. Liệu bạn có thể... đổi vân tay sau khi bị lộ và sử dụng như vậy? (Ảnh: TheVerge)

Tuy nhiên, câu hỏi lớn nhất của các nhà bảo mật là nếu các cơ sở dữ liệu sinh trắc học này (bao gồm vân tay, mống mắt...) bị đánh cắp và tái tạo bất hợp pháp thì hậu quả sẽ như thế nào? Đây vẫn là bài toán nan giải hiện nay, bởi không giống như mật khẩu bằng ký tự hay hình vẽ pattern - những thứ vốn có thể thay đổi sau khi bị "lộ", chúng ta không thể "thay đổi" các đặc điểm nhận dạng của bản thân dễ dàng. Cụ thể, bạn sẽ không thể đổi vân tay hay mống mắt, cũng khó để thay đổi giọng nói hay các đặc trưng bảo mật khác trên cơ thể. 

Điều các nhà nghiên cứu chỉ có thể làm hiện nay là cố gắng đưa thêm các phép xác thực chéo để kiểm tra đối tượng quét có phải là con người hay không? Tuy nhiên nó chỉ là một giải pháp phụ chứ không giải quyết triệt để được lỗ hổng này.

Sau khi xem xét những tình huống trên, có lẽ viễn cảnh tồi tệ nhất là khi ta phải chứng kiến các biện pháp an ninh tốn hàng ngàn đô la để bảo mật cho các ngân hàng và các cơ quan chính phủ lại có thể bị lừa bằng một bức ảnh đơn giản, trong nhiều trường hợp thậm chí chỉ từ một chiếc smartphone.

Dù bạn dùng mật khẩu sinh trắc học hay mật khẩu truyền thống thì cũng phải giữ chúng thật an toàn. Đây là một video minh họa Gefahren von Kameras trình diễn màn hack một chiếc iPhone (Nguồn: Media.CCC.de)

Theo chuyên gia Ravindra Gadde hiện đang làm tại Siemens, một số công ty hiện nay còn đưa vào các thuật toán để xác định xem mẫu mống mắt được quét liệu có phải là "tế bào sống" hay không để loại bỏ các chiêu trò gian lận. Tuy nhiên, cho đến khi các "bản vá" bảo mật được thực hiện với các giải pháp sinh trắc học thì bạn nên củng cố và "cách ly" chúng khỏi Internet trong mức có thể, bởi dấu vân tay đến mống mắt đều có thể bị đánh cắp ngay từ bức ảnh selfie của bạn trên Facebook.

Đến lúc này, có thể nói đặt cược tốt nhất của bạn vẫn đang sử dụng các dịch vụ an toàn mã hóa dữ liệu và mật khẩu đủ mạnh, kết hợp với các giải pháp xác thực hai bước từ các dịch vụ lớn và đáng tin cậy như Microsoft, Apple hoặc Google, nhất là trong bối cảnh chiếc điện thoại của bạn đang nắm giữ quá nhiều thông tin riêng tư. Bên cạnh đó, cũng phải nhớ rằng, không giải pháp nào là an toàn tuyệt đối và khi chúng càng phổ biến thì càng bị các hacker khai thác lỗ hổng.