Biometria to wciąż niedoskonała technologia

Systemy uwierzytelniania wykorzystujące analizę cech biometrycznych to w masowych zastosowaniach wciąż rozwiązania zawodne i niedokładne. Świadczą o tym wyniki testów 700 różnych rozwiązań do analizy odcisków palców i 450 algorytmów rozpoznawania twarzy przeprowadzone w laboratoriach NIST.

Źródło: Pexels.com, Cleyton Ewerton

Bezpieczeństwo oparte na systemach autoryzacji wykorzystujących hasła jest powszechnie uznawane za rozwiązanie przestarzałe, bo hasła są względnie łatwe do złamania lub wykradzenia przy zastosowaniu phishingu, a więc mało bezpieczne. Mimo to systemy takie dalej funkcjonują, choć obecnie najczęściej są wspomagane przez dodatkowe metody uwierzytelniania wieloskładnikowego.

Już od wielu lat największe nadzieje na zwiększenie poziomu bezpieczeństwa wiąże się z popularyzacją mechanizmów biometrycznych. Oparta na unikalnych cechach biometrycznych człowieka identyfikacja osób jest uważana za technikę, która pozwoli zapewnić efektywną, szybką i dokładną identyfikację osób i dlatego wiązane są nią duże nadzieje na zwiększenie poziomu bezpieczeństwa.

Zobacz również:

  • Tym rozwiązaniem 1Password sygnalizuje, że chce odejść od haseł
  • Ukraina zaczęła używać technologii rozpoznawania twarzy Clearview AI podczas wojny

Jednocześnie systemy biometryczne stają się coraz powszechniej dostępne i standardowo instalowane na przykład w notebookach lub smartfonach. Jest to bardzo ważne dla ich popularyzacji, bo nie wymaga od użytkownika ponoszenia kosztów i samodzielnego instalowania dodatkowych rozwiązań sprzętowych lub programowych.

Mechanizmy bezpieczeństwa wykorzystujące biometrię są często uważane za metodę, która zmieni sposoby uwierzytelniania użytkowników i uniemożliwi lub zasadniczo utrudni hakerom uzyskanie dostępu do atakowanych kont i systemów IT.

Niestety dokładne analizy wykazują, że bardzo wiele wdrożeń mechanizmów biometrycznych daje bardzo niedokładne wyniki i nie zapewnia oczekiwanego poziomu bezpieczeństwa.

Metody uwierzytelniania oparte na technikach biometrycznych są od lat uważane za podstawowy element nowoczesnych systemów bezpieczeństwa, a niektóre z nich, takie jak skanowanie odcisków palców lub rozpoznawanie twarzy są zaczynają być coraz szerzej instalowane w standardowych urządzeniach klienckich.

Jakie są wyniki praktycznych testów systemów biometrycznych

Testy systemów biometrycznych i wykorzystywanych w nich algorytmów są od lat wykonywane między innymi w laboratoriach amerykańskiego NIST (National Institute of Standards and Technology). Każda firma opracowująca lub sprzedająca takie systemy może zgłosić je do oceny przez ten instytut.

Do NIST wpłynęło już ponad 700 różnych rozwiązań do analizy odcisków palców i 450 algorytmów rozpoznawania twarzy. Oznacza to, że laboratoria instytutu uzyskały sporą liczbę rozwiązań do testowania co pozwala na wyciągnięcie wniosków na temat stanu rozwoju najbardziej popularnych technologii biometrycznych.

Roger Grimes, specjalista ds. cyberbezpieczeństwa w firmie KnowBe4, opublikował na LinkedIn podsumowanie wyników testów przeprowadzonych przez NIST oraz ocenę perspektyw zastosowań biometrii i wciąż istniejących problemów.

Niestety wiele wdrożeń systemów biometrycznych wykorzystujących skanowanie odcisków palców lub algorytmy rozpoznawania twarzy daje bardzo niedokładne wyniki i trudno je zakwalifikować jako rozwiązania zwiększające bezpieczeństwo, uważa Roger Grimes.

W niezależnych testach, wiele systemów nie osiąga obiecywanych przez producenta parametrów. Jednocześnie wielu sprzedawców, w tym Apple i Google, ze względów marketingowych wprowadza domyślne ustawienia niskiego poziomu dokładności uwierzytelniania, żeby nie zniechęcać użytkowników, których urządzenia zostają zablokowane, bo ich odciski palców lub skan twarzy nie są prawidłowo rozpoznawane.

Jednocześnie systemy niektórych producentów są wyposażane w awaryjną możliwość uruchomienia urządzeń przy wykorzystaniu hasła. „Z perspektywy bezpiecznego uwierzytelniania, taki system biometryczny to żart” uważa Roger Grimes. Bo wszystko, co musi zrobić atakujący, to raz lub kilka razy podjąć nieudaną próbę logowania, a następnie poradzić sobie z łatwiejszym do złamania hasłem.

Według NIST, by uznać technologię biometryczną za spełniającą wymagania bezpieczeństwa, powinna ona mieć dokładność na poziomie około 1:100 000, co oznacza jeden błąd na 100 000 testów. Określenie błąd dotyczy zarówno przypadków fałszywie pozytywnych, jak i fałszywie negatywnych (czyli błędnej autoryzacji nieuprawnionej osoby lub odrzucenia uprawnionego użytkownika).

Obecnie jest to cel bardzo trudny do osiągnięcia. Nawet nie zbliżył się do niego żaden z testowanych przez NIST algorytmów i systemów. Większość rozwiązań ma wskaźnik błędu na poziomie 1,9%, co oznacza prawie dwa błędy na każde 100 testów.

W profesjonalnych systemach instalowanych w firmach sytuacja jest niewiele lepsza. „Byłem zaangażowany w wiele korporacyjnych wdrożeń systemów biometrycznych o dużej skali i z reguły praktyczna dokładność daje błędy na poziomie 1:500 lub niższym” pisze Roger Grimes.

Teoria i praktyka

„Istnieje wiele praktycznych powodów, dla których biometria nie działa dobrze w prawdziwym świecie” uważa Roger Grimes, a dokładność teoretyczna często ma niewiele wspólnego z dokładnością osiąganą w świecie rzeczywistym.

Porównajmy na przykład dwie najbardziej popularne metody biometrycznego uwierzytelniania: rozpoznawanie twarzy i odcisków palców. W teorii, rozpoznawanie twarzy jest o wiele bardziej precyzyjne, bo z reguły uwzględnia większą liczbę punktów danych. W praktyce jednak, metoda ta musi radzić sobie ze zmianami oświetlenia, kosmetykami, zmianami fryzury i dziesiątkami innych czynników wpływających na dokładność i niezawodność skanowania. Żaden z tych czynników nie wchodzi w grę w przypadku rozpoznawania odcisków palców. Ale w tym drugim przypadku też mogą pojawiać się problemy, bo nie każdy system rejestracji odcisków jest w stanie prawidłowo je zeskanować u każdej osoby.

Główni producenci smartfonów używają biometrii mniej dla zapewniania wysokiego poziomu bezpieczeństwa, a bardziej dla wygody użytkowników, którzy mogą uzyskać dostęp do urządzenia bez konieczności wpisywania kodu PIN.

Istnieje więcej technologii pozwalających na wdrożenie biometrii. Można tu wymienić skanowanie siatkówki oka, analizę DNA lub głosu. W szczególności biometria głosowa jest już obecnie używana przez wiele instytucji finansowych.

Jeśli ustawienia parametrów skanowania są wystarczająco rygorystyczne, to wszystkie metody mogą być poważnym mechanizmem zapewniającym odpowiednio wysoki poziom bezpieczeństwa.

Technologie biometryczne są wciąż rozwijane i stają się coraz ważniejsze w świecie cyfrowych metod uwierzytelniania osób. Rozważając wdrożenie takiego systemu w firmie warto dobrze przeanalizować jego zalety i wady zdając sobie jednocześnie sprawę, że nie ma rozwiązań doskonałych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200