फिंगरप्रिंट आणि मोबाईल सुरक्षा

मंदार कात्रे's picture
मंदार कात्रे in काथ्याकूट
19 Oct 2018 - 10:06 am
गाभा: 

एक रास्त शंका :
फिंगरप्रिंट सेन्सर वापरून आपण आपला मोबाईल अनलॉक करतो ...
म्हणजे तो फिंगरप्रिंटचा डिजिटल डाटा मोबाईलमध्ये सेव्ह असतो ...
चायनीज सर्व्हर्स कडून हा डाटा हॅक झाला तर... ( जे की सहज शक्य आहे कारण बहुतांश भारतीय चायनीज मोबाईल वापरतात व त्यांचा क्लाऊड स्टोरेज चीनमध्ये आहे .)
अशा परिस्थितीत आपल्या इतर माहितीसह सेन्सिटिव्ह असा फिंगरप्रिंट डाटा आपण चायनीज मोबाईल कंपन्याच्या ताब्यात देत आहोत . समजा एखाद्या व्यक्तीचा आधार नंबर या चायनीज हॅकर्स ना मिळाला व सोबत त्याचा फिंगरप्रिंट डाटा ही मिळाला तर ?
आपली ऑनलाईन सुरक्षा आपणच धोक्यात आणत आहोत का ?

प्रतिक्रिया

कंजूस's picture

19 Oct 2018 - 10:42 am | कंजूस

शक्यता आहे.

सुहासवन's picture

22 Oct 2018 - 3:39 pm | सुहासवन

फिन्गर प्रिन्टचा डेटा असला तरी जो पर्यन्त हा डेटा आधार च्या मेन सर्वर बरोबर वॅलिडेट होत नाही तो पर्यन्त कोणीही काहीही करु शकत नाही. त्यासाठी योग्य लायसन्स असावे लागते.

डॉ सुहास म्हात्रे's picture

22 Oct 2018 - 5:53 pm | डॉ सुहास म्हात्रे

अधिकृत/रजिस्टर्ड संस्थेमधील,
अधिकृत/रजिस्टर्ड मशीनवरील,
अधिकृत/रजिस्टर्ड प्रणालीवर,
अधिकृत/रजिस्टर्ड माणसाने लॉगइन करून घेतलेले तुमच्या बोटांचे डिजिटल ठसे (किंवा इतर बायोमेट्रिक डेटा)... आधारच्या सर्वरवर साठवलेल्या डेटाबरोबर जुळतात की नाही हे तपासण्यासाठी पाठवले जातात.

आधारचा सर्वर, पाठविणार्‍या प्रणालीच्या संबंधातील वरील सर्व गोष्टी बरोबर (पक्षी : अधिकृत/रजिस्टर्ड) आहेत याची खात्री करून मगच, आलेला डेटा व सर्वरवरील डेटाशी जुळतो आहे की नाही, केवळ इतकाच अहवाल देतो. आधार सर्वर त्याच्यावर साठवलेला कोणताही डेटा कोणालाही पुरवत नाही.

थोडक्यात, बायोमेट्रिक डेटा मिळवणे आणि तो आधार सर्वरकडे पाठवणे या प्रक्रियेत अनेक अधिकृत/रजिस्टर्ड मशीन व मानवी पायर्‍या आहेत. त्यामुळे, फोनवरचा एका बोटाचा ठसा किंवा चेहर्‍याचा फोटो, अनधिकृतरित्या मिळवून आधार प्रणालीला फसवणे व्यावहारीकरित्या शक्यता नाही.

गामा पैलवान's picture

23 Oct 2018 - 7:34 pm | गामा पैलवान

डॉ सुहास म्हात्रे,

मला वाटतं की धागाकर्त्यास वेगळीच समस्या अभिप्रेत आहे. आधारच्या विदासेवका कडून विदा गळण्याची शक्यता नाही. मात्र हातातल्या चिनी फिरस्त्यावरून विदा चोरला जाऊ शकतो.

आ.न.,
-गा.पै.

डॉ सुहास म्हात्रे's picture

23 Oct 2018 - 9:08 pm | डॉ सुहास म्हात्रे

फोनवरचा एका बोटाचा ठसा किंवा चेहर्‍याचा फोटो, अनधिकृतरित्या मिळवून आधार प्रणालीला फसवणे व्यावहारीकरित्या शक्यता नाही. हे प्रतिसादातले शेवटचे वाक्य समस्या नाही हेच सांगते. बाकीचा मजकूर ते का, हे विशद करण्यासाठी होता.

गामा पैलवान's picture

25 Oct 2018 - 6:04 pm | गामा पैलवान

डॉक्टर सुहास म्हात्रे,

धागालेखक आधारप्रणालीस येडं बनवण्याविषयी सांगत नाहीयेत. त्यांची काळजी वेगळीच आहे. आधारसाठी जो विदा लागतो तो विदा चिनी फिरस्त्यांमुळे परदेशी आस्थापनांना मिळतोय का, असा तो प्रश्न आहे. मिळंत असेल तर ते सुरक्षेच्या दृष्टीने कितपत उचित ठरेल?

आ.न.,
-गा.पै.

डॉ सुहास म्हात्रे's picture

25 Oct 2018 - 8:30 pm | डॉ सुहास म्हात्रे

अहो, जर माझा पहिला प्रतिसाद नीट वाचलात तर "सुरक्षेच्या दृष्टीने काळजीचे कारण नाही" हेच ध्यानात येईल.

सत्याचे प्रयोग's picture

24 Oct 2018 - 1:09 pm | सत्याचे प्रयोग

https://resident.uidai.gov.in/biometric-lock येथे जाऊन आपले थंब इम्प्रेशन कुलूपबंद करू शकता हवे तेव्हा कुलूप उघडू शकता . हवे तेव्हा बंद करू शकताआहे काय न नाय काय , मी तर केलंय

अभ्या..'s picture

25 Oct 2018 - 6:44 pm | अभ्या..

अरे काहीपण,
मोबाईलला कोणत्याही बोटाचा ठसा चालतो, त्याला अंगठा की तर्जनी की करांगळी तीही कोणत्या हाताची हे कळत नाही, एक आर्टिफिशिअल रबरी बोट करून त्याचा ठसा असाईन केला तरी चालून जाईल. आधारला तसे नसते. विशिष्ठ व्यक्ती आणि त्याचे प्रत्यक्ष विशिष्ट बोट हा डेटाबेस मॅच व्हावा लागेल.

डॉ सुहास म्हात्रे's picture

26 Oct 2018 - 12:24 pm | डॉ सुहास म्हात्रे

+१

याशिवाय बोटाचा ठसा (किंवा इतर बायोमेट्रिक डेटा)...
अधिकृत/रजिस्टर्ड संस्थेमधील,
अधिकृत/रजिस्टर्ड प्रणालीवर,
अधिकृत/रजिस्टर्ड माणसाने लॉगइन करून,
अधिकृत/रजिस्टर्ड मशीन वापरून मिळवून (या मशिन्समध्ये कोणताही वैयक्तिक मोबाईल गणला जात नाही),
तो आधारच्या सर्वरकडे पाठवणे आवश्यक असते.

त्यामुळे, मोबाईलवर (किंवा इतर कोठेही) अगोदरपासून साठवलेला बायोमेट्रिक डेटा कितीही अचूक असला तरी त्याचा उपयोग करता येणार नाही. आधार सर्वरसाठी उपयुक्त डेटा देण्यासाठी त्या डेटाच्या मालक व्यक्तीने, दर वापराच्या वेळेस, अधिकृत मशीनपर्यंत जाऊन स्वतः बोटांचे ठसे (किंवा इतर प्रकारचा बायोमेट्रिक डेटा) देणे आवश्यक आहे.

गामा पैलवान's picture

26 Oct 2018 - 12:35 pm | गामा पैलवान

डॉक्टर सुहास म्हात्रे,

प्रश्न थोड्या वेगळ्या शब्दांत विचारतो.

तुमच्या बोटांचे ठसे व आधार क्रमांक चिनी आस्थापानास ठाऊक असायचं काही कारण नाही. बरोबर? पण तुमच्या नकळत जर यांची नोंद चिन्यांकडे होत असेल तर ती तशी होऊ द्यावी का?

आ.न.,
-गा.पै.

डॉ सुहास म्हात्रे's picture

26 Oct 2018 - 11:06 pm | डॉ सुहास म्हात्रे

गामासाहेब,

तुम्ही वरच्या प्रतिसादात, प्रश्न थोड्या वेगळ्या शब्दांत विचारतो असे केलेले नाही तर, संपूर्ण वेगळा प्रश्न विचारलेला आहे. :)

आतापर्यंत, तुमचा प्रश्न आधारच्या सुरक्षेबद्दल होता. त्याबद्दल, तेच ते उत्तर अनेकदा दिल्यावर बहुदा तुमच्या ध्यानात आलेले दिसते आहे की, आधारच्या सुरक्षेला धोका नाही.

आताचा तुमचा मुद्दा, "तुमच्या बोटांचे ठसे व आधार क्रमांक चिनी आस्थापानास ठाऊक असायचं काही कारण नाही", इकडे, पक्षी वेगळ्या गोलपोस्टकडे वळवलेला आहे ! :)

थोडक्यात, आधारच्या सुरक्षिततेचा मुद्दा सोडून, आता तुम्ही "चीनी कंपन्यांकडून डेटा चोरी केली जाण्याची शक्यता?" हा मुद्दा पुढे ढकलला आहे.

काही हरकत नाही.
"मोबाईलमधला बायोमेट्रिक डेटा चोरी केली जाण्याची शक्यता" हा मुद्दासुद्धा रोचक आहे. त्रोटक उत्तरामुळे होणारा गैरसमज टाळण्यासाठी त्याचे सविस्तर उत्तर जरूर आहे असे वाटले. इथे आवांतर करण्यापेक्षा ते वेगळ्या लेखात लिहिणे योग्य वाटले. ते उत्तर इथे वाचता येईल.

टर्मीनेटर's picture

26 Oct 2018 - 12:50 pm | टर्मीनेटर

@ अभ्या..

मोबाईलला कोणत्याही बोटाचा ठसा चालतो, त्याला अंगठा की तर्जनी की करांगळी तीही कोणत्या हाताची हे कळत नाही,

अगदी बरोबर.

एक आर्टिफिशिअल रबरी बोट करून त्याचा ठसा असाईन केला तरी चालून जाईल.

हि गोष्ट सर्वच मोबाईलस च्या बाबतीत लागू पडते कि नाही माहित नाही कारण हायर एंड मोबाईल फोन्स मध्ये (उदा. आयफोन) पेमेंट करण्यासाठीही थंब इम्प्रेशन वापरण्याची सोय उपलब्ध असल्याने त्यात विशिष्ठ सेन्सर्स वापरून ठशाची पडताळणी केली जाते. मानवी शरीराच्या सामान्य तापमाना पेक्षा काही अंश उणे अधिक तापमानात हि पडताळणी यशस्वी होते पण त्यापेक्षा काही अंश उणे अधिक बोटाचे तापमान असेल वा बोट थोडेसे ओलसर असेल तर फोन ठसा स्वीकारत नाही.

@ डॉ सुहास म्हात्रे.

त्यामुळे, मोबाईलवर (किंवा इतर कोठेही) अगोदरपासून साठवलेला बायोमेट्रिक डेटा कितीही अचूक असला तरी त्याचा उपयोग करता येणार नाही. आधार सर्वरसाठी उपयुक्त डेटा देण्यासाठी त्या डेटाच्या मालक व्यक्तीने, दर वापराच्या वेळेस, अधिकृत मशीनपर्यंत जाऊन स्वतः बोटांचे ठसे (किंवा इतर प्रकारचा बायोमेट्रिक डेटा) देणे आवश्यक आहे.

करेक्ट.

डॉक्टर सुहास म्हात्रे,

आतापर्यंत, तुमचा प्रश्न आधारच्या सुरक्षेबद्दल होता.

असा तुमचा समज झाला असल्यास क्षमा असावी. मला वाटतं की माझं मत मी पहिल्या प्रतिसादात स्पष्टपणे नोंदवलं आहे. ते म्हणजे :

आधारच्या विदासेवका कडून विदा गळण्याची शक्यता नाही. मात्र हातातल्या चिनी फिरस्त्यावरून विदा चोरला जाऊ शकतो.

आ.न.,
-गा.पै.

१) बोटांच्या ठश्याच्या वापराने भ्रमणध्वनी उघडता येतो. पण हा डेटा कुठल्याही सर्वर वर जात नाही. हा डेटा फक्त तुमच्या मोबाईल मध्ये साठवलेला असतो.

२) बोटांच्या ठश्याच्या वापराने जेव्हा आपण आपल्या कुठल्या तरी खात्यात प्रवेश करतो तेव्हा बोटाचा ठसा मोबाईल मधल्या बोटाच्या ठश्याशी जुळवून पहिला जातो आणि जर तो जुळला तर आपण त्याच्या आधी त्या खात्यात जेव्हा प्रवेश केला त्या वेळी मिळालेले टोकन वापरून नवीन ताजे टोकन मिळवले जाते. जर नाही जुळला तर पासवर्ड टाकायला लावला जातो आणि जे नवीन टोकन मिळेल ते साठवून ठेवले जाते. योग्य टोकन असल्याशिवाय बोटाचा ठसा वापरून लॉगिन करता येत नाही.