Biometria tak, ale z głową

Biometria wykorzystuje cechy naszego ciała lub zachowania. Stosowana jest w celu zwiększenia wygody użytkowania systemów kontroli dostępu, a przede wszystkim zwiększenia bezpieczeństwa. Jednakże, aby system biometryczny spełniał swoje zadanie, konieczne jest korzystanie z właściwych narzędzi i procedur postępowania.

Na bezpieczeństwo systemów składa się wiele czynników, z których najważniejsze to odporność sensorów oraz ochrona przechowywanych i transmitowanych danych związanych z uwierzytelnieniem. Najczęściej przy badaniu odporności biometrii bierze się pod uwagę niedoskonałości samego czytnika. Z każdym sensorem współpracuje dodatkowo mikrokomputer, który przechowuje i porównuje dane biometryczne. Jeśli uda się te dane przechwycić i podmienić, system zawiedzie, nawet jeśli sam sensor jest doskonały. Znane są przypadki przechwycenia danych autoryzacji i podstawienia ich. Jest to łatwe przy tanich czytnikach USB i szczególnie niepokojące w systemach działających bez nadzoru człowieka. Należy jednak pamiętać, iż każdy z wymienionych elementów stanowić może narzędzie - które z reguły mają różną jakość - do budowy systemu biometrycznego. Wykorzystywanie niewłaściwych narzędzi (np. czytniki nie odróżniające obiektów żywych i nieżyjących, otwarte kanały transmisyjne), czy też niepoprawne stosowanie dobrych narzędzi nie podważa sensu stosowania technologii biometrycznych, jest jedynie oznaką niewiedzy, czy też słabości wybranych komponentów.

Ochrona danych biometrycznych

Kluczowe znaczenie mają dane biometryczne, pobierane za pomocą sensora mierzącego parametry ciała. Gdy sensor jest bezpośrednio połączony z komputerem analizującym wyniki pomiaru, sprawa transferu tych danych jest prosta, wszystko odbywa się w jednym urządzeniu. Inaczej wygląda instalacja sensora w pewnym oddaleniu od bazy danych, która przechowuje dane uwierzytelnienia. Wtedy dane pomiędzy sensorem a bazą i aplikacją muszą być odpowiednio chronione.

Standardowe szyfrowanie SSL nie wystarczy, ponadto cała baza musi być odporna na włamania. Zrealizowanie naprawdę bezpiecznego rozwiązania do biometrycznej identyfikacji wcale nie jest proste, ani tanie. Trzeba pamiętać, że dane biometryczne są danymi osobowymi, muszą więc być szczególnie chronione. Bardziej niż kody PIN, gdyż je i hasło można zmienić, w odróżnieniu od wzoru tęczówki oka, czy sposobu składania podpisu odręcznego. Najważniejszy jest wybór rozwiązań i dobre ich wdrożenie.

Można tutaj wykorzystać naturalną zmienność cech biometrycznych - "zbyt podobny" lub identyczny wzorzec biometryczny zwykle może oznaczać próbę oszustwa. Dodatkowo do wyznaczania wzorców biometrycznych najczęściej wykorzystuje się przekształcenia jednokierunkowe, powodujące iż odtworzenie surowych danych biometrycznych na podstawie wzorca jest niemożliwe. Taka cecha pozwala na zapobieganie typowym atakom polegającym na wykorzystaniu nielegalnie pozyskanych wzorców w celach ponownego uwierzytelniania PABRA (Prevention Against Biometric Replay Attack).

Oszukać sensor biometryczny

Najpopularniejsze czytniki optyczne stosowane w niektórych notebookach, palmtopach i niedrogich zamkach do drzwi są zwykle podatne na atak. W większości przypadków wystarczy silikonowa lub żelatynowa kopia odcisku, gdyż wciąż niewiele jest czytników linii papilarnych, które w skuteczny sposób realizują test żywotności. Tymczasem pozyskanie odcisku palca danej osoby wcale nie jest trudne, zostawiamy ślady na niemal wszystkich przedmiotach, które dotykamy.