Artikel top billede

(Foto: Computerworld)

Mobiltelefoner med fingeraftryk giver falsk sikkerhed

Når medarbejdere bruger samme fingeraftryk til at logge sig ind på såvel private tjenester og apps som virksomhedsnetværk, er det en åbenlys sikkerheds-risiko. Det mener kendt sikkerhedsekspert.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Hvis du tror, at et fingeraftryk giver bedre sikkerhed end et password, kan du godt tro om igen. Det er nemlig lige så enkelt for en it-kriminel at hacke sig adgang til biometriske data som at aflure et password med bogstaver, tal og specialtegn.

I hvert fald i teorien, for i praksis er det naturligvis en kende mere besværligt. At det teknologisk kan lade sig gøre, er der dog ikke nogen tvivl om, og hvis man skal tro Senior Security Researcher David Jacoby fra sikkerhedsfirmaet Kaspersky bygger mange virksomheder derfor deres sikkerhedsstrategi på et alt for spinkelt grundlag.

”Problemet er, at fingeraftrykket rent funktionsmæssigt hverken adskiller sig fra passwordet eller giver mere sikkerhed. I hvert fald ikke hvis du bruger det samme password til at logge ind på forskellige tjenester og apps. I sikkerhedsbranchen råder vi brugerne til at anvende flere forskellige passwords, men den helt store udfordring er, at du ikke kan anvende flere forskellige fingeraftryk på hverken tablet eller smartphone. Jo, du kan have et eller flere fingeraftryk defineret som backup, men du kan ikke bede om, at ringfingeren skal bruges til at logge ind på for eksempel netbank, mens langemanden skal bruges til eksempelvis at logge ind på dit Apple eller Google ID.”

Producenterne skal på banen

Samtidig fremhæver David Jacoby, at medarbejderne i en virksomhed typisk anvender tablet eller smartphone til at logge på netværket på arbejdspladsen, så hvis de biometriske data bliver hacket, er der så at sige fri adgang til alle data lige fra bankkonto til personlige oplysninger og ikke mindst fortrolige virksomhedsdata. Fuldstændig som hvis du havde anvendt ét og samme password til de forskellige tjenester.

At der ikke er nogen producenter, der har fået øjnene op for den problemstilling undrer ham såre. Rent teknologisk er der nemlig ikke noget til hinder for, at vi som brugere kan anvende forskellige fingeraftryk til forskellige tjenester.

”Derfor synes jeg, vi skal opfordre hardwareproducenterne til at kigge på dette, for ud over at det rent sikkerhedsmæssigt er uforsvarligt, spæder brugeradfærden yderligere til en forhøjelse af risikofaktoren. En tablet og måske især en smartphone betragter vi jo som brugere ikke som værende virksomhedens, selv om det måske er vores arbejdsplads, der har købt og betalt den. En smartphone betragter vi som noget personligt, hvilket betyder, at vi ikke kun bruger den i arbejdsmæssig sammenhæng, men også til en masse private gøremål. Det medfører, at vi installerer alle mulige mærkelige applikationer på den, som kan udgøre en markant sikkerhedsrisiko,” siger David Jacoby.

Set fra virksomhedens synspunkt er det endvidere nemmere at beskytte både en stationær computer og en laptop og eksempelvis blokere for installation af visse typer af software eller spærre for adgang til kendte, usikre hjemmesider.

10 gode råd til mobil sikkerhed

Ifølge Center for Cybersikkerhed kan du selv gøre mindst 10 ting for at styrke sikkerheden på dine mobile enheder.

  1. Beskyt altid dine mobile enheder med en adgangskode og eller fingeraftryk.

  2. Lad it-afdelingen styre enhedskryptering.

  3. Lad it-afdelingen styre opdatering af styresystem og andre applikationer.

  4. Benyt en mobil app med end-to-end-kryptering, som administreres af it-afdelingen.

  5. Benyt en lagringstjeneste, som it-afdelingen driver og har kontrol over (private cloud).

  6. Benyt en VPN-udbyder, der er administreret af it-afdelingen og brug Wi-Fi med omtanke.

  7. Sørg for, at it-afdelingen slår Bluetooth og lokalitetstjenester permanent fra.

  8. Sørg for at, det kun er it-afdelingen, der kan installere apps på din enhed.

  9. Benyt en beskedtjeneste, hvor it-afdelingen administrerer end-to-end-kryptering.

  10. Brug en telefon til arbejde og en anden til private gøremål. Sørg for at konti er adskilt.

10 fingre er 10 koder

Så hvis virksomhederne tror, at den hellige grav er velforvaret bare, ved at medarbejderne anvender deres fingeraftryk til at logge ind fra deres mobile enheder, så er der altså en stor mangel i virksomhedens strategi for ”mobile device management”.

En sikkerhedsstrategi bør gå på tværs af alle typer af enheder lige fra computer over tablet til smartphone, og hvad vi ellers måtte se af mobile enheder i fremtiden, mener David Jacoby. Til spørgsmålet om, hvad der vil være den mest effektive løsning, siger han:

”Lovgivning. Ganske enkelt. Jeg håber på, at vi på et tidspunkt når derhen samfundsmæssigt, at it-sikkerhed sidestilles med en række andre lovgivningsmæssige tiltag, der kræver, at vi bruger sikkerhedssele, når vi kører bil eller bruger hjelm, når vi kører på motorcykel.”

David Jacoby er
senior security
researcher i Norden og Benelux-landene. Han er en del af Kasperskys Global Research and Analysis Team og en kendt foredragsholder på konferencer om
sikkerhed.

”Der skal defineres en standard, som opstiller en række minimumskrav, og dem skal vi have implementeret i samarbejde mellem producenterne, sikkerhedsbranchen og virksomhederne. Når vi anvender vores fingeraftryk som adgangskode, gemmes vores ID jo som en datastreng på enten enheden eller et sted i skyen, og som det er i dag, er det alt for nemt at hacke sig ind på disse data,” siger David Jacoby.

Når vi danner en adgangskode, har vi uanede muligheder, men udfordringen med fingeraftryk som password er i sagens natur, at grænsen går ved 10, nemlig antallet af vores fingre.

Kun halvdelen har sikkerhed installeret

Efterhånden som smartphones bliver teknologisk mere avancerede og billigere, bruges de overalt. Virksomhedsoplysninger, konti på sociale medier, e-mail, billeder og alle slags data lagres på de mobile enheder. Men disse data er ofte følsomme erhvervsmæssige eller personlige oplysninger, og selv om det er nyttigt at have så mange oplysninger lige ved hånden, er brugeren derfor udsat for mobile sikkerhedstrusler.

Det betyder, at antivirusbeskyttelse til smartphones nu er afgørende. Mobile trusler er rettet mod data, for eksempel kreditkortnumre, sekundær autentificeringsinformation, private oplysninger, personlige billeder og video.
En undersøgelse foretaget af Kaspersky har dokumenteret, at kun 43 procent af Apple iPhone-brugere har sikkerhedsprogrammer installeret, mens 53 procent af Android-brugere er beskyttet.

Det er imidlertid Android-brugere, der har mest at bekymre sig om. Kasperskys forskning viser, at langt hovedparten af al opdaget mobil malware er skabt til Android-platform. Da Googles Android-system er open source-software, er det mere sårbart over for trusler fra malware.

Det er dog ikke ensbetydende med, at en iOS-enhed ikke kan blive inficeret, for selv om apps til iOS er licenserede af Apple, kan de it-kriminelle sagtens finde sikkerhedshuller.

To forskellige fingeraftryk

Så hvis man tænker et skridt videre og begynder at filosofere over multifaktorgodkendelse, kunne man sagtens forestille sig, at adgang til en app eller en tjeneste kun kan ske ved anvendelse af mindst to forskellige fingeraftryk.
Det er ikke muligt i dag, men for producenterne vil det være relativt nemt at implementere den teknologi i deres enheder.

Om det så vil skabe den ultimative sikkerhed. Måske – måske ikke. Vi har vist alle sammen set en eller anden kriminalfilm, hvor skurkene skærer fingrene af deres ofre for at stjæle deres identitet. Men i den virkelige verden hører det heldigvis endnu til sjældenhederne.