1. Strona główna
  2. Wiadomości

System biometryczny-strażnik bezpieczeństwa czy efektowny gadżet

  • Krzysztof Maćkowiak,

W celu zapobieżenia powyższym oszustwom w zaawansowanych systemach stosuje się metody wykorzystywane do testowania żywotności. Przykładowo, w celu analizy żywotności przy analizie tęczówki oka można sprawdzać dynamikę źrenicy, a w przypadku odcisku palca można poddać analizie temperaturę lub zbadać krążenie krwi w palcu.

W celu zwiększenia poziomu bezpieczeństwa systemy biometryczne łączone są często z tradycyjnymi systemami uwierzytelniania opartymi na hasłach czy na kartach elektronicznych. Często te tradycyjne metody uwierzytelniania stanowią alternatywną ścieżkę uwierzytelniania w przypadku, gdy z nieokreślonych przyczyn system biometryczny odrzuci uprawnionego użytkownika. Może on wtedy uzyskać dostęp do systemu poprzez podanie hasła. Rozwiązanie takie zapewnia większą dostępność do systemu użytkowników uprawnionych, obniża jednak tym samym gwarantowany poziom bezpieczeństwa.

Rafał Jaczyński

Stosując system biometryczny, powinniśmy pamiętać o odpowiednim zabezpieczeniu dostępu do bazy danych zawierającej wzorce biometryczne. Nieodpowiednie zabezpieczenie dostępu do takiej bazy może spowodować zamianę wzorca w bazie i tym samym uzyskanie dostępu przez osobę niepowołaną.

Systemy biometryczne z pewnością zyskiwać będą na dalszej popularności. Informacje o możliwościach oszukania tych systemów powinny być wzięte pod uwagę przy wyborze odpowiedniego rozwiązania, które chcemy wdrożyć w naszej firmie. Systemy biometryczne są z pewnością efektowne i zrobią wrażenie na naszych gościach i klientach, lecz należy pamiętać, że ich głównym celem jest podwyższenie poziomu bezpieczeństwa, a nie jego obniżenie. Ciągły rozwój i ulepszanie systemów biometrycznych, szczególnie w kwestiach testowania żywotności, zapewni w przyszłości odpowiednio wysoki poziom bezpieczeństwa, gwarantowany przez te systemy. Z drugiej strony warto wziąć pod uwagę, że w przypadku kompromitacji lub ujawnienia hasła czy też zgubienia karty elektronicznej możemy je zawsze zmienić, natomiast odcisków palców ani tęczówki oka nie wymienimy, chyba że wcielimy się w rolę Johna Andertona graną przez Toma Cruise’a w filmie Stevena Spielberga Raport mniejszości.

Komentarz

Rafał Jaczyński, dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów Teleinformatycznych w Pionie Informatyki TP

Uwielbiam nowości. Stawiam na innowacje. Pasjonują mnie zmiany. Ale największą wagę przykładam do zdrowego rozsądku i trzeźwej oceny sytuacji. Dlatego nie przewiduję w ciągu najbliższych 5 lat szerokiego wykorzystania technologii biometrycznych do kontroli dostępu do systemów i sieci. Powód jest prosty – w tej chwili, z punktu widzenia bezpieczeństwa, ergonomii oraz łatwości wdrożenia i użytkowania, biometria nie daje więcej niż technologie znane od lat, a dopiero teraz wdrażane tak naprawdę na szeroką skalę. Warto uświadomić sobie, że możliwy obecnie błąd uwierzytelnienia na poziomie, który prezentują komercyjne rozwiązania, oznaczałby, iż w korporacji wielkości TP kilkadziesiąt do kilkuset osób dziennie nieprawidłowo mogłoby zostać dopuszczone do chronionych systemów, a kilkadziesiąt do kilkuset nie mogłoby pracować mimo posiadania uprawnień. I to w warunkach normalnej, bezawaryjnej pracy systemu. Dziękuję, potrafię zrobić to lepiej i taniej, opierając się na PKI – i to zapewniając na bazie tej samej infrastruktury zarówno uwierzytelnienie dostępu, jak i poufność przesyłanych informacji.

Zwracam także uwagę na fakt, że atak na "czysty" (nieuzupełniony danymi niestacjonarnymi) system biometryczny niekoniecznie weźmie sobie za cel oryginał cech fizycznych bądź behawioralnych, ale ich wzorzec zapisany w bazie. Sama biometria w tym kontekście nie zwiększa w żaden sposób odporności systemu na atak man-in-the-middle, pozornie również rozwiązuje problem dystrybucji kluczy – dystrybucja klucza do użytkownika jest, co prawda, prosta (każdy przychodzi z własnym), ale problem bezpieczeństwa przekazania klucza do bazy i przechowywania go tam przedstawia te same interesujące wyzwania co znana od niepamiętnych czasów kryptografia symetryczna. A już wyjątkowo interesującą sytuacją – możliwą w przypadku szerokiego i masowego wykorzystania biometrii – jest przypadek, kiedy autoryzuję np. dostęp "Kowalskiego" do firmowego systemu informatycznego z wykorzystaniem zasadniczo tego samego sekretu co bank autoryzujący jego dostęp do konta i tego samego sekretu, na którego podstawie Kowalski potwierdza swoją tożsamość wobec instytucji państwowych. Już widzę te grupy standaryzacyjne i uzgodnienia: urzędy biorą odcisk palca wskazującego (prawej ręki, oczywiście) i nigdy palca środkowego, banki biorą oczy (i tak nie mogą kłamać), sądy DNA (na wszelki wypadek), firmy komercyjne fale mózgowe, bo rozwiązują też problem rekrutacji... A już było nudno!