Apakah Kunci Sidik Jari Benar-benar bisa Amankan Smartphone Anda?

453
sidik jari
Smartphone biasanya menangkap bagian terbatas dari sidik jari penuh menggunakan sensor kecil. Beberapa sidik jari parsial ditangkap sebagai jari yang sama saat autentikasi. Gambar di atas menunjukkan satu set sidik jari parsial (b) yang diambil dari sidik jari penuh (a). (SCIENCE DAILY)

Tidak ada dua orang yang diyakini memiliki sidik jari yang sama, namun para periset di New York University Tandon School of Engineering dan Michigan State University College of Engineering, telah menemukan bahwa kesamaan sebagian di antara cetakan cukup umum untuk mengelabui sistem keamanan berbasis sidik jari yang digunakan pada ponsel dan perangkat elektronik lainnya, sehingga hal ini bisa lebih rentan dari yang diperkirakan sebelumnya.

Kerentanannya terletak pada kenyataan bahwa sistem otentikasi berbasis sidik jari memiliki sensor kecil yang tidak menangkap sidik jari lengkap dari sang pengguna. Sebagai gantinya, mereka memindai dan menyimpan sebagian sidik jari, dan banyak smartphone memungkinkan pengguna mendaftarkan beberapa jari berbeda dalam sistem autentikasi mereka. Identitas dikonfirmasi saat sidik jari pengguna cocok dengan cetakan sebagian yang tersimpan. Para peneliti berhipotesis bahwa ada cukup banyak kesamaan di antara cetakan sebagian orang yang berbeda sehingga seseorang dapat menciptakan “MasterPrint”.

Nasir Memon, seorang profesor ilmu komputer dan teknik di NYU Tandon dan pemimpin tim peneliti, menjelaskan bahwa konsep MasterPrint mengandung beberapa kesamaan dengan seorang hacker yang mencoba untuk memecahkan sistem berbasis PIN menggunakan kata kunci yang umum digunakan seperti 1234. “Sekitar 4 persen dari seluruh password, password 1234 akan berpeluang benar, yang merupakan probabilitas yang relatif tinggi saat Anda hanya menebak,” kata Memon. Tim peneliti menetapkan untuk melihat apakah mereka dapat menemukan MasterPrint yang bisa mengungkapkan tingkat kerentanan yang serupa. Memang, mereka menemukan bahwa atribut tertentu dalam pola sidik jari manusia cukup umum untuk menimbulkan masalah keamanan.

Memon dan rekan-rekannya, NYU Tandon Postdoctoral, Aditi Roy dan Profesor Universitas Ilmu Pengetahuan Alam dan Teknik Michigan State, Arun Ross, melakukan analisis mereka dengan menggunakan 8.200.000 sidik jari parsial. Dengan menggunakan perangkat lunak memverifikasi sidik jari komersial, mereka menemukan rata-rata 92 MasterPrints potensial untuk setiap batch sampel secara acak dari 800 cetakan parsial. (Mereka mendefi nisikan MasterPrint sebagai salah satu yang cocok dengan setidaknya 4 persen cetakan lainnya dalam batch sampel secara acak)

Namun, mereka menemukan satu MasterPrint sidik jari penuh dengan sampel 800 cetakan penuh. “Tidak mengherankan, ada kemungkinan lebih besar untuk salah mencetak sebagian dibandingkan secara utuh, dan kebanyakan perangkat hanya bergantung pada parsial semacam ini untuk melakukan identifi kasi,” papar Memon.

Tim peneliti menganalisis atribut MasterPrint yang diambil dari gambar sidik jari sebenarnya, dan kemudian membangun sebuah algoritma untuk menciptakan MasterPrints parsial sintetis. Percobaan menunjukkan bahwa cetakan sebagian sintetis memiliki potensi pencocokan yang lebih luas lagi, membuat mereka lebih cenderung mengelabui sistem keamanan biometrik daripada sidik jari parsial sebenarnya.

Dengan MasterPrint yang disimulasikan secara digital, tim peneliti melaporkan berhasil mencocokkan antara 26 hingga 65 persen pengguna, bergantung pada berapa banyak jejak sebagian sidik jari yang tersimpan untuk setiap pengguna dan dengan asumsi jumlah maksimum lima percobaan per autentikasi. Sidik jari yang lebih parsial pada toko smartphone yang diberikan untuk setiap pengguna, menjadi semakin rentan.

Roy menekankan bahwa pekerjaan mereka dilakukan di lingkungan simulasi. Dia mencatat, bagaimanapun bahwa perbaikan dalam menciptakan cetakan dan teknik sintetis untuk mentransfer MasterPrint digital ke artefak fisik agar dapat mengelabui perangkat menimbulkan masalah keamanan yang signifikan. Kemampuan pencocokan MasterShatch yang tinggi menunjukkan tantangan dalam merancang sistem otentikasi berbasis sidik jari yang dapat dipercaya dan memperkuat kebutuhan akan skema otentikasi multi faktor. Dia mengatakan bahwa karya penelitiannya ini bisa memberi tahu rancangan yang lebih sempurna di masa depan.

“Karena sensor sidik jari menjadi lebih kecil, sangat penting bagi resolusi sensor agar ditingkatkan secara signifikan agar mereka dapat menangkap fitur sidik jari tambahan,” kata Ross. “Jika resolusi tidak membaik, kekhasan sidik jari pengguna secara pasti akan terganggu. Analisis empiris yang dilakukan dalam penelitian ini dengan jelas mendukung hal ini.”

Memon mencatat bahwa hasil penelitian tim peneliti didasarkan pada pencocokan berbasis minutiae, yang bisa saja digunakan atau bisa saja tidak oleh vendor tertentu. Meskipun demikian, selama sidik jari parsial digunakan untuk membuka perangkat dan beberapa tayangan parsial per jari disimpan, kemungkinan menemukan MasterPrint meningkat secara signifi kan.

“Investasi NSF dalam penelitian keamanan dunia maya membangun basis pengetahuan dasar yang dibutuhkan untuk melindungi kita di dunia maya,” kata Nina Amla, direktur program di Divisi Komputasi dan Yayasan Komunikasi di National Science Foundation. “Sama seperti penelitian yang didanai NSF lainnya yang telah membantu mengidentifi kasi kerentanan dalam teknologi sehari-hari, seperti mobil atau peralatan medis, menyelidiki kerentanan sistem otentikasi berbasis sidik jari yang  menginformasikan kemajuan keamanan secara terusmenerus, memastikan perlindungan yang lebih dapat diandalkan bagi pengguna.” (Science Daily/Osc/Yant)