Oko w oko z biometrią

Według firmy analitycznej Global Markets Insights wartość rynku rozwiązań bezpieczeństwa wykorzystujących metody biometryczne do 2024 roku osiągnie wartość 50 mld USD. Czy dowód osobisty, paszport lub prawo jazdy na dobre ustąpią miejsca skanerom linii papilarnych lub tęczówek?

Biometria jest postrzegana jako rozwiązanie, które zapewni niezawodną identyfikację każdego człowieka i uniemożliwi kradzież tożsamość, definiowanej na przykład przez hasła. Systemy oparte na hasłach są uznawane za przestarzałe, łatwe do złamania i mało bezpieczne, ale wciąż funkcjonują, choć coraz częściej są wspomagane przez dodatkowe metody uwierzytelniania wieloskładnikowego obejmujące również mechanizmy biometryczne.

Z metodami identyfikacji opartymi na biometrii wiązane są duże nadzieje na zwiększenie poziomu dokładności identyfikacji osób. Wraz z postępem technologii mechanizmy takie stają coraz bardziej niezawodne, a koszty ich wdrożenia systematycznie spadają.

Zobacz również:

Na przykład z ankiety przeprowadzonej ostatnio przez Ping Identity wynika, że 92% firm uważa iż wykorzystanie metod biometrycznych to bardzo efektywny sposób autentykacji osób i zwiększenia bezpieczeństwa danych przechowywanych w firmowych zasobach. Tylko nieco mniej, bo 86% ankietowanych sądzi, że biometria pozwala na dobre zabezpieczenie dostępu do informacji przechowywanych w chmurze. Ale obecnie tylko 28% firm wykorzystuje systemy biometryczne w lokalnej infrastrukturze, a 22% do zabezpieczania dostępu do aplikacji i danych przechowywanych w chmurze.

Z kolei według badań ankietowych przeprowadzonych przez Spiceworks, główne bariery wdrożenia systemów biometrycznej identyfikacji, to koszt, który podało 67% ankietowanych oraz niezawodność działania (59%). Upowszechnieniu biometrii sprzyja popularność smartfonów, tabletów i laptopów standardowo wyposażonych w oprogramowanie do biometrycznej identyfikacji (odciski palców, głos, obraz twarzy i źrenicy oka…).

Tego typu rozwiązania zaczynają być coraz częściej stosowane w sprzęcie powszechnego użytku i to nie tylko tego z najwyższej półki. W efekcie użytkownicy mogą skorzystać z biometrii bez konieczności instalacji dodatkowych, specjalizowanych urządzeń i oprogramowania, co oznacza dodatkowe koszty i często jest kłopotliwe w użytkowaniu.

Biometria. Dokładność i niezawodność identyfikacji

Warto jednak zdawać sobie sprawę ze słabości i problemów związanych z zastosowaniami biometrii. Bo wbrew powszechnym opiniom technologia ta wcale nie jest tak niezawodna i bezpieczna jak mogłoby się wydawać, a oprócz tego przynosi nowe zagrożenia. Biometria jest uważana za niezawodną metodę identyfikacji osób, bo nikt nie ma takiego samego wzoru odcisku palca, głosu, twarzy, podpisu, jak inna osoba… Teoretycznie jest to bliskie prawdy. Ale dane reprezentujące np. odcisk palca nigdy nie są tak dokładne jak oryginał i dotyczy to wszystkich metod identyfikacji na podstawie fizycznych cech człowieka.

Analiza linii papilarnych polega na rejestracji cech linii falistych ze szczególnym uwzględnieniem ich załamań, zakończeń, rozwidleń i przecięć. Powstaje w ten sposób zestaw danych będący jednak tylko przybliżeniem rzeczywistego odcisku palca. Nie jest on unikatowy, jak oryginał.

W systemach do autentykacji działających w czasie rzeczywistym często wykorzystywanych jest tylko 30 charakterystycznych punktów linii papilarnych. Można powiedzieć, że wraz z postępem technologii dokładność odwzorowania będzie można zwiększać, bo moc przetwarzania i przepustowość systemu identyfikacji oraz liczba zapisywanych danych nie będą przeszkodą.

Niestety są inne bariery, których nie można przekroczyć. Zbyt duża dokładność może paradoksalnie utrudnić identyfikację, bo mikroskopijne zmiany struktury skóry są procesem naturalnym podobnie jak zmniejszenie jej elastyczności wraz z wiekiem. Oprócz tego, na efektywność działania zbyt dokładnego systemu negatywny wpływ mogą mieć drobne skaleczenia lub otarcia skóry. Podobne problemy dotyczą też innych metod biometrycznych, rozpoznawania twarzy, tęczówki oka, głosu itd.

W praktyce, dokładność wzorców cech biometrycznych jest często ograniczana tak, by uwzględniała możliwość różnego rodzaju zmian, takich jak wymienione wyżej i nie powodowała, że zarejestrowany dziś zestaw cech za kilka dni przestaje identyfikować daną osobę. Efektem tego jest istotne ograniczenie unikalności rejestrowanych cech biometrycznych. I nie jest to problem teoretyczny.

W jednej z amerykańskich firm zatrudniającej tylko ok. 700 osób podczas wprowadzania systemu identyfikacji pracowników za pomocą odcisku palca okazało się w kilku przypadkach, że dwie osoby mają tak podobny układ linii papilarnych, że system nie potrafi ich rozróżnić. Problem udało się rozwiązać, gdy pracownicy przyłożyli inne palce do czytnika w trakcie skanowania.

Oprócz tego są ludzie, których cechy biometryczne ulegają częstym wahaniom z nie do końca znanych powodów i w praktyce nie są w stanie skorzystać ze standardowych systemów uwierzytelniania wykorzystujących skanery biometryczne. Tego typu sytuacje trzeba uwzględnić wdrażając w systemie różne możliwości identyfikacji. Najprostszym rozwiązaniem jest zastosowanie przynajmniej dwóch metod biometrycznych uzupełnionych ewentualnie o standardowe hasła.

Biometria. Jak oszukać system

Dobry system biometrycznej identyfikacji powinien działać szybko, niezawodnie i być łatwy w użyciu. To oczywiście wymaga kompromisów dotyczących poziomu bezpieczeństwa. Rozwój technologii ułatwia osiągnięcie takich założeń, ale z drugiej strony ułatwia też oszukanie systemów biometrycznych przez skopiowanie i wykorzystanie danych.

Wraz z popularyzacją metod biometrycznego uwierzytelniania można oczekiwać, że cyberprzestępcy zaczną również coraz bardziej interesować się wykradaniem nie tylko haseł, jak obecnie, ale również zdobywaniem i wykorzystywaniem informacji o cechach biometrycznych ludzi. Jest to szczególnie duże zagrożenie dla systemów stosujących zdalną identyfikację osób, na przykład na portalach internetowych lub bankach dostępnych przez internet.

Hasło, token lub numer telefonu można względnie łatwo zmienić w przypadku ich wykradzenia, a dane biometryczne, jak wygląd twarzy, odcisk palca niestety są nie do zmodyfikowania. Oznacza to, że w wypadku, gdy dane biometryczne zostaną skradzione i z sukcesem skopiowane, człowiek może tylko zablokować możliwość identyfikacji we wszystkich systemach, gdzie był zarejestrowany i mieć nadzieję, że zostaną mu udostępnione inne metody weryfikacji tożsamości.

Biometria. Brak standardów etycznych

Nie ma obecnie żadnych uznanych standardów mających zapewnić etyczne i zgodne z prawem wykorzystanie biometrii. Stąd też pojawiła się koncepcja opracowania ogólnych zasad i poradników prezentujących dobre praktyki, które powinny być przestrzegane przy tworzeniu i korzystaniu z biometrycznych systemów identyfikacji.

Biometrics Institute opublikował niedawno adresowane do rządów i agencji bezpieczeństwa zalecenie dotyczące konieczności wdrożenia dobrych praktyk zapewniających odpowiedzialne korzystanie z systemów biometrycznych. To międzynarodowa organizacja utworzona w 2001 roku, licząca ma 240 członków z 30 krajów. Należą do niej zarówno rządowe instytucje, jak i indywidualni specjaliści i eksperci zajmujący się biometrią. Współpracuje ona m.in. z agendami ONZ zajmującymi się przeciwdziałaniem terroryzmowi czyli Biurem Antyterrorystycznym oraz Dyrektoriatem Wykonawczym Komitetu Antyterrorystycznego.

Opracowane przez Biometrics Institute dokumenty nie są związane tylko z działaniami anty-terrorystycznymi, ale także zasadami, które mają zapewnić etyczne i zgodne z przepisami dotyczącymi ochrony prywatności ludzi (np. RODO), wykorzystanie danych biometrycznych.

Biometria. Nowe metody identyfikacji

Najpopularniejsze obecnie metody biometrycznej identyfikacji to analiza linii papilarnych i obrazu twarzy. Ale pojawiają się też realne koncepcje wykorzystania analizy DNA lub cech niefizycznych, a charakterystycznych cech zachowania się różnych osób. Skanery analizujące DNA to na razie metoda kosztowna i działająca zbyt wolno by mogła znaleźć masowe zastosowania. Ale technologia ta również jest rozwijana i już 2018 roku na rynku pojawiły się małe, przenośne skanery DNA kosztujące ok. 1000 dolarów.

Do metod biometrycznych zaliczają się też systemy analizujące cechy związane z zachowaniem się ludzi. Inaczej niż w przypadku wymienionych wcześniej metod, analiza zachowań nie jest związana z jednym określonym zestawem cech biometrycznych i daje duże pole do rozwoju i wdrażania nowych pomysłów na autentykację osób. Analiza pisma odręcznego, charakterystyka pisania na klawiaturze lub sposobu chodzenia, to tylko niektóre przykłady analizy zachowań. Na razie dokładność tych metod nie pozwala na ich wykorzystanie jako podstawowego mechanizmu identyfikacji tożsamości, ale z rozwojem technologii może się to zmienić.

Zagrożenia dla prywatności

Cechy biometryczne nie są tajemnicą. Inaczej niż hasła lub klucze szyfrujące, wygląd twarzy, głos, lub odcisk palca, są one widoczne dla każdego i mogą być względnie łatwo zarejestrowane, skopiowane i ewentualnie wykorzystane we wrogich celach. Ponadto informacje przechowywane w centralnych bazach danych mogą zostać z nich wykradzione. Czy system uwierzytelniania oparty na analizie unikalnych cech biometrycznych będzie wówczas godny zaufania?

Zagrożenie takie jest realne. Na przykład w czerwcu 2015 roku w USA, z rządowej bazy danych wykradziono dane zawierające informacje o liniach papilarnych 5,6 miliona osób. Nie zawsze trzeba dane wykradać. Do najłatwiejszych do zarejestrowania cech biometrycznych człowieka jest wygląd jego twarzy. Obecnie na świecie, chyba wszystkie agencje ds. bezpieczeństwa budują bazy danych zawierające takie dane i dotyczy to nie tylko przestępców lub terrorystów, ale dosłownie wszystkich.

Według informacji z 2016 roku, amerykańskie FBI dysponowało dostępem do baz danych zawierających obrazy twarzy ponad 400 milionów osób. Można się domyślić, że obecnie zasoby te znacząco wzrosły. Tęczówka lub siatkówka oka są nieco trudniejsze do zarejestrowania, ale można się spodziewać, że bazy danych zawierające ich obrazy również będą szybko rosły.


TOP 200