Boğaziçi Üniversitesi'nde bir ekip nabız ölçümünü şifre olarak kullanmak istiyor. Fakat bu gibi biyometrik bilgiler erişilebilir yerlerde saklanması durumunda çok büyük tehlike arz ediyor.
https://haberler.boun.edu.tr/tr/haber/bogazicinden-sifremi-unuttum-sorununa-nabiz-cozumu
Cep telefonları parmak izlerini bir donanımda saklıyor ve bu çip dışında bir yerde depolamıyor. Şifreniz çalınırsa değiştirirsiniz fakat parmak iziniz çalınırsa geçmiş olsun. Aynı şekilde bu projede bir detay verilmemiş ama sanıyorum akıllı saat nabzı ölçüp sizi doğruluyor. Ölçümün kendisini asla cep telefonuna bildirmiyor olmalı.
Bu konuda ne düşünüyorsunuz? Parmak izlerinin çalındığı haberlerini görmüştüm. Gerçekten de bunu teorik olarak çalınamaz hale getirecek bir yöntem olabilir mi?
Bildiğim kadarıyla açıklayayım; Web sitelerine kaydolurken şifreniz tek yönlü/ tersi hesaplanamayan bir fonksiyona tabi tutulur ve bu işlem sonucu bir "hash" elde edilir, bu işleme hashing denir. elde edilen hash sadece sizin şifrenize ait olup, içerisinde şifrenize ait bir bilgi içermez. Bu hash f(x), Server (Host) makineye aktarılır ve sizi database'ine bu şifre ile kaydeder. Log in yapacağınız zaman; yine şifrenizin (x), hash'i hesaplanır f(x) ve makinaya aktarılır, Host makina bu gelen hash ile database'indeki hash i karşılaştırdığında, login işleminin gerçekleştirmiş olursunuz. Böylece şifreniz kendi giriş yaptığınız bilgisayarı asla terk etmemiş olur. Bu yöntem, parmak izi okuyuculardan, FaceID'ye kadar anahtar özelliği taşıyan her fiziksel/sanal "şifrede" kullanılabilir. Kullanılan hash algoritmasının, tersi alınamazlığından emin olunduğu sürece elde edilen parmak izi ve yüzünüzün 3 boyutlu haritası, hash'lenerek anlamsız karakterlerden oluşan bir dizi (cipher/hash) elde edilir ve sistemlere kaydedilmek üzere bu bilgi yönlendirilir. Böylece sensörün çıkışından, işlemciye giden fiziksel/elektriksel yapıda, sizin şifrenize ait herhangi bir veri bulunmaz. Tersi alınamaz olması önemlidir nitekim bir zamanlar hash olarak kullanılan "md5" yöntemi, kırılmış ve artık kullanılmaz olmuştur. Bunun yerine kırılması çok çok daha zor, çok daha yüksek performanslı bilgisayarların bile çok uzun sürede kırabileceği SHA256 / SHA512 gibi metodlar kullanılmakta. Fakat insanların yüzü / parmak izi gibi işlemlerde, belki çok daha kompleks şifreleme yöntemleri kullanılması gerekebilir. Bir çok marka/modelde ve Apple T2 çipinin, bu işlemi yaptığını biliyorum fakat diğer marka/modellerde benzeri bir şifreleme yoksa eğer, belki de yapan biz olmalıyız ? Konuyla ilgili aşağıdaki linklere göz atabilirsiniz
https://en.wikipedia.org/wiki/Fingerprint_(computing) https://medium.com/@Triaslab/one-way-hash-function-a-fingerprint-to-get-message-7a14e9268596