Přeskočit na obsah
OwlGuardScore

Biometrie (Face ID / Touch ID)

Otisk prstu nebo sken obličeje místo hesla.

Co to je

Tvoje zařízení (mobil, laptop) si při nastavení uloží zašifrovaný „otisk" tvého obličeje nebo prstu do speciálního čipu, který je oddělený od zbytku systému. Při přihlášení se porovnává v zařízení — nikdy se nikam neposílá.

Proč to záleží

Pohodlnější a v praxi bezpečnější než heslo, které píšeš na klávesnici. Důležité ale: biometrie je „klíč", ne náhrada za 2FA — pokud někdo získá tvé zařízení odemčené, dostane se dovnitř.

Jak útok funguje

Útoky na biometrii se rozdělují na 3 kategorie:

1. Vynucení (coercion)

Útočník fyzicky drží tvé zařízení a tebe vedle něj. Odemkne tvůj telefon přiložením tvého prstu nebo zaměřením na obličej. Reálný scénář: pouliční přepadení, domácí násilí, pochybný policejní zákrok v zahraničí. iOS a Android mají záchranná pravidla:

  • iPhone: stisknutí side button + volume button 5× rychle = vynutí Lockdown Mode, biometrie přestane fungovat, nutno zadat PIN. Naučit se to provádět jednou rukou v kapse.
  • Android: dlouhý stisk power + volume down → "Lockdown" v některých verzích.

2. Spoofing (klamání senzoru)

  • Touch ID / Fingerprint: vyrobit falešný otisk z foto / silikon / lepidlo. Realistická hrozba je nízká pro běžné uživatele (potřebuje fyzický kontakt + 5+ hodin práce), ale forenzní vyšetřování to umí. Apple Touch ID 2 a moderní Android Fingerprint sensor odolávají běžnému spoofingu.
  • Face ID: vyžaduje 3D model obličeje s živým ověřením (mrkáním, pohyb hlavy). Standardní fotka neprojde. 3D maska je technicky možná, ale extrémně drahá ($10k+).
  • Levné Android telefony s 2D face unlock (kamera bez depth sensor) — ANO, dají se obejít fotkou nebo videem. Pro tyto telefony nepouštět face unlock pro citlivá data.

3. Útok přes operační systém / app vrstvu

  • Malware na zařízení může simulovat biometrické ověření aplikačně. Proti tomu chrání Secure Enclave (iOS) / Trusted Execution Environment (Android) — speciální chip, který biometrii drží mimo dosah OS. Pokud jsi nainstaloval app z důvěryhodného zdroje (App Store, Google Play), tahle obrana funguje. Sideloaded malware (z .apk) ji obejde.
  • App-level bypass — některé aplikace umožňují alternativní login (PIN, recovery e-mail). Útočník s odemčeným zařízením může změnit metodu autentizace.

Klíčový kontext: biometrie versus heslo:

  • Biometrie chrání přístup k zařízení, ne k tvé identitě. Když útočník zařízení získá odemčené (např. vyřešil biometrii nebo tě donutil), všechny aplikace, které důvěřují biometrii, jsou otevřené.
  • Heslo jsi "myšlenka" — pod nátlakem se dá tvrdit "zapomněl jsem". Biometrii pod nátlakem nezapomeneš.

Jak se chránit

Setup biometrie:

  • iPhone / Mac: Nastavení → Touch ID / Face ID → vlastní otisk + Erase Data po 10 chybných pokusech.
  • Android: Nastavení → Bezpečnost → Otisk / Face → vlastní otisk. Vyhnout se levným telefonům s 2D face unlock (bez depth sensor).
  • Vždy zachovat silný PIN jako fallback. Biometrie pro pohodlí, PIN pro recovery a nátlak.
  • PIN 6+ číslic, ne 4. Brute-force ochrana iOS dělá pokusy postupně pomalejší — 6-místný PIN trvá útočníkovi 5+ let.

Když používat biometrii / když ne:

Use caseDoporučení
Odemčení telefonu✅ Biometrie
Apple Pay / Google Pay✅ Biometrie
Bankovní aplikace pro běžné operace✅ Biometrie
Bankovní aplikace pro velké převody⚠️ Vyžadovat PIN nebo dodatečný kód (banka většinou vynucuje)
Password manager✅ Biometrie (s fallback PIN)
2FA aplikace (Authy)✅ Biometrie
Při cestování v rizikové zemi❌ Pouze PIN — biometrii dočasně vypnout

Coercion protection:

  • Naučit se rychle vynutit "PIN mode":
    • iPhone: stisk side button + volume = 5× → Emergency SOS screen → biometrie deaktivována.
    • Můžeš to udělat jednou rukou v kapse, aniž bys vytáhl telefon.
  • Při hraničních kontrolách / v rizikové zemi: zařízení vypnout před přechodem. Po zapnutí vyžaduje PIN (biometrie aktivní až po prvním PIN).
  • Pro extrémní scénáře: Apple iOS 17+ má Stolen Device Protection — biometrie + 1h delay pro citlivé akce mimo známé lokace.

Privacy aspekty:

  • Biometrie nikdy neopouští zařízení (Secure Enclave / TEE). Apple / Google ji nemají na svém serveru. Hash modelu je lokální. Toto platí pro built-in Face/Touch ID.
  • Third-party "face login" aplikace mohou data posílat na server (sledovat licenční podmínky). Vyhnout se, kde to jde — built-in biometrie stačí.
  • Reklamní face recognition (např. ve fitness apps) je separátní zdroj — to ti měří emoce / pozornost, ne odemyká telefon.

Když ztratíš zařízení:

  • Find My (iOS) / Find My Device (Android) → vzdálené uzamčení a vymazání. Vzdálené vymazání obnoví zařízení do default stavu, biometrie útočníkovi nepomůže.
  • Apple Stolen Device Protection přidává navíc 1h delay pro citlivé akce.
  • Viz [playbook Ztráta telefonu] pro konkrétní kroky.

Časté mýty

  • Mýtus"Když si zkopírujou můj otisk, mají přístup ke všemu navždy."

    RealitaOtisk prstu se neukládá jako "obrázek", ale jako matematický model uložený v Secure Enclave / TEE. Tento model je vázán **jen na konkrétní zařízení** — i kdyby útočník získal "tvůj otisk", nelze ho přesunout do jiného zařízení. Při ztrátě telefonu Apple/Google biometrii zlikvidují vzdáleně. Kompromis biometrie ve smyslu "klíče u tebe v Apple" neexistuje.

  • Mýtus"Face ID je nebezpečný, někdo mě může odemknout fotkou."

    RealitaApple Face ID (od iPhone X dál) používá 3D depth mapping (TrueDepth kamera) + ověření životnosti (mrkání, pohyby hlavy). Standardní fotka neprojde. 3D maska je technicky možná, ale stojí $10k+ a vyžaduje fyzický přístup k tobě po dlouhou dobu — to není útok proti běžnému uživateli. Riziko Face ID < riziko slabého PINu.

  • Mýtus"Když chci být v bezpečí, mám použít jen PIN — biometrie je riziková."

    RealitaV praxi je naopak. Lidé bez biometrie volí kratší PIN (4 místo 6), zadávají ho na veřejnosti (shoulder surfing), nebo používají stejný PIN všude. Biometrie jako primární + silný PIN jako fallback je v 95 % praxe BEZPEČNĚJŠÍ než jen PIN, protože nevedeš lidi k pohodlným, ale slabším volbám.

Quick checklist

Setup (jednou):

  • Touch ID / Face ID zapnuté pro odemčení telefonu.
  • PIN minimálně 6 číslic jako fallback.
  • Erase Data po 10 chybných pokusech zapnuté.
  • Biometrie pro Apple/Google Pay, banking app, password manager.

Naučit se (jednou):

  • Emergency biometrie off kombinaci (iOS: 5× side+volume).
  • Jak najít Find My / Find My Device pro vzdálené uzamčení.
  • Postup Ztráta telefonu.

Pro citlivé situace:

  • Před hraničními kontrolami / v rizikové zemi → telefon vypnout (po zapnutí PIN).
  • Aktivní hrozba pohybu / přepadení → emergency biometrie off.

Pro firemní use case:

  • Biometrie + MFA pro firemní VPN.
  • Mobile Device Management (MDM) policy pro remote wipe.
  • Žádná biometrie pro shared firemní zařízení.

Podobná témata

Souvisí s kategoriemi v testu: Zámek a šifrování zařízení, Hesla, 2FA, základy identity

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.