Biometria tak, ale z głową
-
- 02.06.2009
Do uzyskania czytelnego wydruku, który wystarczy do oszukania tanich czytników, wystarczy cyfrowe zdjęcie odcisku zabarwionego drobnym czarnym pyłem, takim jak toner z drukarki. Po krótkiej obróbce w programie graficznym niewielkim kosztem można przygotować silikonową lub żelatynową kopię odcisku otwierającą niejedne drzwi.
Świadomi tych słabości, producenci zaczęli wyposażać sensory w metody testowania żywotności. Większość z nich działa na zasadzie wykrywania przewodności elektrycznej i również można je oszukać, gdy wydruk został odpowiednio zwilżony. Sprawa stała się dość sławna po opublikowaniu jednego z odcinków serialu Mythbusters (Pogromcy Mitów), w którym badacze odtworzyli scenariusze udanego ataku na czytnik nie posiadający właściwych zabezpieczeń, wskazując konieczność wyposażania urządzeń w testowanie żywotności.
Najbardziej zaawansowane czytniki rozpoznające odciski palców sprawdzają obecność prawdziwego palca z wykorzystaniem zapachu palca, jego deformacji, charakterystyki impedancyjnej skóry, analizy spektrograficznej (jednoczesna analiza w świetle o różnej długości fali) lub za pomocą ultradźwięków. Jeszcze bardziej zaawansowane sprawdzają przepływ krwi w palcu za pomocą analizy efektu Dopplera.
Oko pod lupą
Znacznie lepsze bezpieczeństwo można osiągnąć wykorzystując sensory rozpoznające tęczówkę. Jest ona niepowtarzalna dla każdego człowieka i nie ulega zmianom podczas życia. Systemy te zostały już wdrożone w systemach masowej obsługi, np. przy usprawnieniu identyfikacji podczas odprawy na lotniskach. Mimo wszystko, stwierdzono, że nawet takie zaawansowane czytniki są podatne na atak. Starsze urządzenia można oszukać przedstawiając sensorowi dobrej jakości zdjęcie tęczówki oka z wyciętym otworem, za którym znajduje się źrenica oka osoby testującej. Urządzenia poprzedniej generacji borykają się też z problemem przy uwierzytelnieniu osoby, która piła alkohol, co powodowało poszerzenie naczyń krwionośnych. Skutkiem były problemy z uwierzytelnieniem. Jednakże istnieją już skuteczne testy żywotności oka dla celów biometrii, a autorem części z nich są również naukowcy z Polski, którzy w europejskim projekcie BioSec opracowali m.in. metody sprawdzające autentyczność oka z wykorzystaniem dynamiki źrenicy.
Firmy na całym świecie nierzadko rozważają zastosowanie biometrii w systemach kontroli czasu pracy. Tego typu systemy wymagają jednak doboru - poza aspektami bezpieczeństwa - właściwych metod biometrycznych uwzględniających zmienne różne. Ludzie wykonujący prace fizyczne często posiadają zatarte lub zniszczone opuszki palców, co powoduje problemy z uwierzytelnieniem. Dodatkowo należy pamiętać o rozporządzeniu GIODO, w którym określono, że dane biometryczne umożliwiające identyfikację osoby są danymi osobowymi, zatem nie mogą być przetwarzane przy identyfikacji związanej z rejestracją czasu pracy. Mogą być natomiast stosowane przy ochronie szczególnie ważnych miejsc (serwerownia, pomieszczenia zarządu) za zgodą osób tam pracujących i w połączeniu z innymi mechanizmami uwierzytelnienia (karta chipowa i PIN). Pamiętajmy jednak, że czytniki to tylko jeden z komponentów całościowego systemu biometrycznego. Ważny i zawodny, jeżeli nie zostanie wybrany spośród produktów posiadających odpowiednie zabezpieczenia. System, aby nazwać go biometrycznym, musi wykorzystywać urządzenia, które dostarczają właściwych tego typu próbek.
