Embora eles usem métodos de autenticação biométrica diferentes, a identificação facial e a identificação por toque são muito semelhantes sob o capô. Quando você tenta fazer login no seu iPhone, seja olhando a câmera na frente ou colocando o dedo no sensor de toque, o telefone compara os dados biométricos detectados com os dados salvos no Secure Enclave, um processador separado que é todo o propósito é manter seu telefone seguro. Se o rosto ou a impressão digital corresponderem, o iPhone será desbloqueado. Caso contrário, você será solicitado a inserir sua senha. Enquanto tudo isso soa bem no papel, é seguro?
A identificação facial e a identificação por toque são geralmente seguras
Em geral, a ID de toque e a ID de rosto são seguras. A Apple alega que há uma chance em 50.000 de que a impressão digital de outra pessoa destrava seu iPhone falsamente e uma probabilidade de 1 em 1.000.000 de que o rosto de outra pessoa o faça. Há um 1 em 10.000. Alguém poderia adivinhar uma senha de quatro dígitos e uma chance de 1 em 1.000.000 de poder adivinhar sua senha de seis dígitos (e obter três tentativas antes que elas fiquem bloqueadas). Isso deve colocar as coisas em perspectiva.
A chance de alguém pegar aleatoriamente - ou roubar - seu telefone e depois desbloqueá-lo usando a impressão digital, o rosto ou até mesmo adivinhando sua senha é incrivelmente pequena.
A única ressalva para isso é gêmeos idênticos ou irmãos que parecem muito semelhantes são mais propensos a criar um falso positivo. Nesse caso, existe a possibilidade de o seu irmão poder desbloquear o seu telefone com o ID Facial. No entanto, gêmeos idênticos representam apenas 0,003% da população, portanto não é um risco que se aplica a muitos. Se isso for algo com o que você está preocupado, desative a identificação facial e use apenas uma senha segura.
Mas, proteger-se contra esse tipo de invasão casual não é a única coisa para se preocupar.
ID de rosto e ID de toque podem ser vulneráveis a ataques direcionados
Embora seja quase certo que nenhum estranho aleatório será capaz de acessar seu telefone, se você for vítima de um ataque direcionado, as coisas poderão ser um pouco diferentes.
Tanto a ID de toque quanto a de rosto são completamente vulneráveis se alguém forçar você a fazer login, seja segurando seu dedo contra o sensor (mesmo quando estiver dormindo) ou fazendo com que você olhe para seu telefone. E esses dois tipos de ataques são muito mais fáceis de serem executados do que forçar alguém a ceder sua senha.
Então, e quanto a falsificar impressões digitais? Bem, o Touch ID foi hackeado com sucesso. Os pesquisadores conseguiram usar impressões digitais falsas para desbloquear dispositivos protegidos com o Touch ID. No entanto, os mesmos pesquisadores chamam a técnica de "tudo menos trivial" e "ainda um pouco no reino de um romance de John le Carré".
Basicamente, o que os invasores precisam é de uma cópia completa e não borrada de sua impressão digital, bem como milhares de dólares em equipamentos. Em teoria, alguém que estava realmente determinado provavelmente poderia entrar em seu telefone dessa maneira - possivelmente até de uma foto de sua impressão digital. O problema é que os dados dos iPhones da grande maioria das pessoas simplesmente não valem o custo e o incômodo desse tipo de ataque.
Além disso, se você tiver dados confidenciais ou valiosos, provavelmente tomará medidas extras para proteger essas informações. Este não é o tipo de coisa que pode ser feita rapidamente para estranhos aleatórios.
![O ID facial ainda não foi invadido, mas, de maneira realista, ele provavelmente ficará suscetível ao mesmo tipo de ataque que o Touch ID. A Wired gastou vários milhares de dólares tentando fazê-lo e falhou, mas isso não significa que não possa ser feito. Marc Rogers, um hacker que assessorou a Wired na peça, “ainda tem 90% de certeza de que [hackers] podem enganar isso.” O iPhone X só saiu há alguns meses, então vamos ver como é a situação em um ano.](https://i.technology-news-hub.com/images/blog/how-secure-are-face-id-and-touch-id-1-p.webp "O ID facial ainda não foi invadido, mas, de maneira realista, ele provavelmente ficará suscetível ao mesmo tipo de ataque que o Touch ID. A Wired gastou vários milhares de dólares tentando fazê-lo e falhou, mas isso não significa que não possa ser feito. Marc Rogers, um hacker que assessorou a Wired na peça, “ainda tem 90% de certeza de que [hackers] podem enganar isso.” O iPhone X só saiu há alguns meses, então vamos ver como é a situação em um ano.")
Tudo se resume a um dos truísmos da segurança. Nenhum método de autenticação jamais será usado por um invasor suficientemente determinado. Sempre há falhas que podem ser usadas; é apenas uma questão de como eles são fáceis de aproveitar.
Nada protege você do governo
Nenhuma quantidade de segurança pode realmente protegê-lo de uma agência governamental determinada - dos EUA ou não - com recursos essencialmente ilimitados e o desejo de entrar em seu telefone. Não só eles podem obrigar legalmente você a usar a ID de toque ou a ID de rosto para desbloquear seu telefone, mas também têm acesso a ferramentas como a GreyKey. O GreyKey pode supostamente decifrar qualquer senha do dispositivo iOS, o que torna inútil a ID de toque e a ID de rosto. A Apple trabalha duro para fechar os dispositivos de vulnerabilidades como este exploit, mas as pessoas que esperam por um dia de pagamento trabalham igualmente duro para abrir novas.
O ID de toque e o ID facial são incrivelmente convenientes e, se eles são salvos em um código de acesso seguro, são seguros para uso diário por quase todos. Se você é o alvo de um determinado hacker ou agência governamental, no entanto, eles podem não protegê-lo por muito tempo.
Créditos da Imagem: XKCD.
