Odemykáte telefon obličejem a bojíte se, že to někdo obejde fotkou? Miliony lidí tomu věří, ale je to nemožné

Redakční test s vytištěnou fotografií a papírovou maskou dopadl jednoznačně, telefon se ani nepohnul, aby se odemkl.

Zdroj fotografie: Pexels

Na stůl jsme položili OnePlus Nord 3 5G, k němu čerstvě vytištěnou fotku majitele v životní velikosti a ještě papírovou masku s vystřiženými otvory pro oči. Výsledek? Telefon zůstal zamčený. Pokaždé. Bez zaváhání. Jenže jeden test na jednom modelu ještě nedělá univerzální pravdu. Abychom mohli říct, proč prostě fotka u dnešních telefonů obvykle neuspěje, a kde naopak opatrnost stále dává smysl, museli jsme se ponořit do toho, jak rozpoznávání obličeje skutečně funguje a čím se liší napříč značkami.

Jak telefon „vidí“ váš obličej

Při prvním nastavení Face Unlock telefon pořídí sérii snímků z různých úhlů a vytvoří matematický model obličeje. Ten zůstává uložený lokálně v zařízení. Při každém odemčení kamera sejme nový obraz a porovná ho s uloženým modelem, a tady začínají zásadní rozdíly.

Apple Face ID používá takzvanou TrueDepth kameru, která promítá tisíce neviditelných infračervených bodů a vytváří hloubkovou mapu. K tomu přidává IR snímek, kontrolu pozornosti (telefon ověří, že se na něj díváte otevřenýma očima) a dedikované neuronové sítě proti spoofingu. Podle Apple je pravděpodobnost, že Face ID odemkne náhodný cizí člověk, menší než jeden ku milionu.

OnePlus Nord 3 5G má 16megapixelovou přední kameru a softwarový Face Unlock bez veřejně deklarovaného IR nebo hloubkového senzoru. Přesto v našem testu fotku i masku odmítl. Přesný mechanismus výrobce neprozrazuje, jde o kombinaci obchodního tajemství a bezpečnostní opatrnosti.

Proč fotka nestačí a kde je háček

Google tenhle typ útoku zná a systematicky ho měří. Oficiální protokol Androidu přímo jmenuje vytištěné fotografie, snímky a testovací videa zobrazená na displeji i 3D tištěné masky jako scénáře, proti nimž se biometrie hodnotí. U papírových masek dokonce doporučuje ohnout „tváře“ a vystřihnout otvory pro oči, aby se prověřila detekce živosti. Jinými slovy: útok fotkou není žádná novinka, je to první věc, kterou platforma testuje.

Jenže Android není jeden systém. Biometrika se dělí do tří tříd:

• Třída 1 – nejslabší, slouží jen k odemčení obrazovky, výrobce musí uživatele varovat, že „fotka vás může telefon odemknout“.
• Třída 2 – smí ověřovat i některé aplikace, ale ne platby ani přístup ke kryptografickým klíčům.
• Třída 3 – nejpřísnější, plný přístup ke keystore, povinné zabezpečené prostředí a doporučená detekce živosti.

A právě tady vzniká mýtus. Varování „fotka vás může odemknout“ platí pro nejslabší třídu a starší telefony. Lidé ho ale přenášejí na všechna zařízení bez rozdílu.

Samsung, Pixel, iPhone – tři různé světy

Rozdíly mezi značkami jsou propastné. Samsung v oficiálním manuálu řady Galaxy S23 uvádí, že rozpoznávání obličeje je méně bezpečné než PIN, vzor nebo otisk prstu a že zařízení může odemknout „někdo nebo něco“, co vypadá jako váš obraz. Samsung to neříká proto, že by jeho telefony byly špatné, ale proto, že je poctivý ohledně limitů 2D kamery bez hloubkového senzoru.

Google u Pixelu 8 a novějších modelů posunul Face Unlock výš: lze jej použít i pro přihlášení do aplikací a schvalování plateb, což odpovídá vyšší biometrické třídě. Zároveň ale platí omezení vůči podobně vypadající osobě nebo identickým sourozencům a situacím, kdy někdo telefon přiloží k vašemu obličeji.

Apple stojí v tomto srovnání nejpevněji. Face ID kombinuje hloubkovou mapu, infračervený obraz a anti-spoofingové neuronové sítě. Vytištěná fotka ani 2D digitální snímek jednoduše neobsahují hloubková data, která systém vyžaduje. Po pěti neúspěšných pokusech o shodu navíc iPhone vyžaduje zadání kódu.

Funkce	iPhone (Face ID)	Pixel 8+	Samsung Galaxy S23	OnePlus Nord 3
Hloubkový / IR senzor	Ano (TrueDepth)	Neveřejně	Ne	Ne
Platby	Ano	Ano	Ne	Ne
Výrobce varuje před fotkou	Ne	Ne	Ano	Nezveřejňuje se
Pravděpodobnost náhodné shody	< 1 : 1 000 000	Neuvádí	Neuvádí	Neuvádí

Co vás ohrožuje víc než fotka na papíře

Pokud někdo chce do vašeho telefonu, vytištěná A4 je v roce 2026 asi ten nejlepší způsob. Reálnější scénáře, které sami výrobci přiznávají:

• Podobně vypadající člověk – dvojče, sourozenec, u dětí do 13 let i vzdálenější příbuzný.
• Fyzické donucení – někdo vám telefon přiloží k obličeji, třeba ve spánku. Apple to řeší kontrolou pozornosti; pokud ji vypnete, ochrana slábne.
• Slabý PIN – Android i Apple často říkají, že primární autentizace (PIN, heslo, vzor) je základ bezpečnosti. Biometrie je pohodlnější vrstva nad ní, není náhrada.

Praktická rada je prostá: mějte silný PIN, ideálně šestimístný nebo alfanumerický. Pokud váš telefon nabízí otisk prstu, kombinujte ho s obličejem. A pokud máte Samsung bez hloubkového senzoru, berte Face Unlock jako komfort pro domácí pohovku, ne jako trezorový zámek.

Co se stane, když to někdo přece jen zkusí

Systémy počítají s útokem hrubou silou. Android API definuje dočasný lockout po pěti neúspěšných pokusech, třicet sekund pauza. Při dalším opakování přichází permanentní zablokování biometrie, dokud nezadáte PIN nebo heslo. Apple má stejný limit: pět neúspěšných pokusů a telefon vyžaduje kód. Útočník s fotkou tedy nedostane neomezený počet pokusů. Dostane pět. A pak zeď.

Vytištěná fotka jako nástroj k odemčení telefonu patří do kategorie městských legend, které mají reálný základ: slabší implementace skutečně existovaly a u některých vybraných zařízení existují dodnes. Ale přenášet tuhle obavu na telefony střední a vyšší třídy v roce 2026 je jako zamykat auto řetězem, protože v devadesátkách se dala nastartovat šroubovákem.