Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Zastosowanie technik biometrycznych do...

Zastosowanie technik biometrycznych do uwierzytelniania

Problemy z wdrażaniem metod biometrycznych w przedsiębiorstwach

Pojawienie się technik biometrycznych w sieciach przedsiębiorstw rodzi szereg nowych problemów związanych z ich wdrażaniem. Podstawowym problemem jest przechowywanie wzorców cech biometrycznych. Mogą być one przechowywane w osobistych kartach czipowych i wprowadzane do systemu wraz z pobraną próbką biometryczną w celu porównania - jest to wygodne w przypadku bardzo dużej liczby osób podlegających takiemu uwierzytelnianiu. Alternatywą jest przechowywanie wzorców w bazie danych systemu i pobieranie ich z niej do porównania z identyfikatorem osoby uwierzytelnianej. W przypadku pierwszym wzorce tworzone są poza systemem, przypadek drugi wymaga natomiast stworzenia systemu pobierania próbek w celu przechowywania ich jako wzorców w centralnej bazie danych. Drugie rozwiązanie rodzi kolejne problemy: bezpieczeństwa biometrycznej bazy danych i zarządzania nią. Problemem najważniejszym jest jednak sprawa innej natury: czy uwierzytelnianie na podstawie cech osobistych zostanie zaakceptowane przez pracowników, czy też zbojkotowane z obawy o naruszenie prawa do prywatności? Po rozwiązaniu problemów etycznych i prawnych związanych z metodami biometrycznymi i podjęciu decyzji o zastosowaniu tych metod trzeba mieć na uwadze, że system biometryczny nie może być implementowany w oderwaniu od innych systemów funkcjonujących w sieci. Projektowanie i zarządzanie biometrycznym systemem uwierzytelniania musi być integralną częścią ogólnego planu ochrony sieci.

Uwierzytelnianie biometryczne może być bardzo wiarygodne, ponieważ opiera się na indywidualnych, unikatowych cechach poszczególnych osób. Nie można ukraść, odgadnąć czy podrobić tęczówki oka ludzkiego. Co więcej, metody te są dużo bardziej bezpieczne niż hasła lub karty identyfikacyjne, ponieważ te pierwsze mogą być odgadnięte, te drugie zaś zagubione.

Solidna i kompletna weryfikacja biometryczna nie może być wdrożona „z marszu”. Systemy te są złożone i w celu zapewnienia maksymalnego bezpieczeństwa muszą być dostosowywane do każdej organizacji.

Zagadnienia prawne - problem prywatności

Czy te oczy mogą kłamać?

Firma Apexim SA oferuje elektroniczny system SENSAR, wykorzystujący tęczówkę oka jako niepowtarzalny element uwierzytelniający.

Okazuje się, że nie istnieją dwie osoby posiadające identyczne tęczówki. Różnica jest wyraźna nawet w przypadku bliźniąt jednojajowych. Dodatkowo u wszystkich osób lewe oko różni się od prawego. Ponadto tęczówki kształtują się w ciągu dwóch pierwszych lat życia i pozostają w tej samej, nie zmienionej postaci do trzech minut po śmierci, a obecnie nie istnieje skuteczny sposób ich podrobienia. To wszystko zwiększa bezpieczeństwo wykorzystania oczu jako elementu identyfikującego daną osobę.

System SENSAR pozwala na rozpoznanie w każdej tęczówce aż 266 punktów charakterystycznych. Powszechnie wykorzystywane przy identyfikacji osób linie papilarne zawierają ich zaledwie 26. Maksymalne prawdopodobieństwo błędu kształtuje się na poziomie 10-10, czyli jednej osoby wobec całej zaistniałej dotychczas populacji ludzkiej.

Autoryzację umożliwia wyłącznie obecność żywej osoby. System jest bowiem niezwykle dokładny i odporny na próby podstawienia zdjęć wykonanych w dowolnej technologii, jak: hologram, symulacja laserowa, zdjęcie stereoskopowe w różnych widmach. Opiera się na stereoskopowej rejestracji wspomnianych punktów charakterystycznych wybranej tęczówki, utworzeniu indywidualnego kodu kreskowego, składającego się z 512 bajtów, i zastosowaniu zastrzeżonych funkcji szyfrowania nieodwracalnego (funkcji jednokierunkowych, chroniących dane wyjściowe). Cała metoda rejestracji i uwierzytelniania jest bezinwazyjna i niekłopotliwa dla użytkownika.

W skład systemu SENSAR wchodzą Identification Optical Platform (IOP) – zespół kamer automatycznie wyszukujących tęczówkę oka, Identification Processing Platform (IPP) – procesor do sterowania kamerami i obróbki obrazu, Sensar Secure(R)Cam – mała kamera ręcznie naprowadzana na obraz oka oraz specjalistyczne oprogramowanie i baza danych obrazów tęczówki.

Aby móc być obsługiwanym przez system, należy zarejestrować w jego bazie tęczówkę. Najwygodniej wykonać to na stanowisku wyposażonym w IOP i IPP, chociaż jest to też możliwe z wykorzystaniem małej kamery. Rejestracja polega na programowym uaktywnieniu kamer, które w pierwszej kolejności wykonują zdjęcie zgrubne popiersia osoby dla ustalenia położenia oka, następnie kamery wykonują zdjęcie tęczówki. Z obrazu tęczówki wybiera się wspomniane 266 cech charakterystycznych, które poddawane są obróbce według niejawnych algorytmów w celu utworzenia kodu paskowego tęczówki (512 B), który po przeprowadzeniu weryfikacji (powtórzenie rejestracji) jest zapisywany do bazy danych. Czas rejestracji nie przekracza 30 sekund. Czas identyfikacji osoby w systemie SENSAR wynosi od 2 do 4 sekund. Na jakość identyfikacji nie mają wpływu okulary optyczne, soczewki kontaktowe, okulary barwione, przeciwsłoneczne z wyjątkiem "lustrzanek".

W przyszłości podobne rozwiązania mają być wykorzystywane nie tylko w bankowości, ale wszędzie tam, gdzie niezbędna jest identyfikacja osoby, zanim otworzą się drzwi lub komputer udostępni chronione przez nas dane. Biometryczny czytnik ma ułatwić życie zastępując karty magnetyczne, procesorowe, numery PIN itp.

Technologia SENSAR, wcześniej znajdująca zastosowanie w zaawansowanych rozwiązaniach wojskowych, obecnie trafia do użytku cywilnego. System został opracowany przez Laboratoria Sarnoff i jest rozpowszechniany, na prawach wyłączności, przez amerykańską firmę Sensar (www.sensar.com).

Na obszarze Europy Centralnej i Wschodniej – w tym w Polsce – oficjalnym dystrybutorem tej technologii jest APEXIM SA (www.apexim.com).

Czy stosowanie metod biometrycznych stwarza niebezpieczeństwo naruszenia prywatności osób poddawanych procedurze uwierzytelniania tymi metodami? Chociaż metody biometryczne dają możliwość lepszej ochrony przed nieupoważnioną penetracją sieci niż hasła, to jednak analitycy zwracają uwagę, iż technologia ta wnosi swój własny zestaw zagrożeń. Baza danych ze zgromadzonymi w niej odciskami palców jakichkolwiek osób może być przeszukiwana. Może to skłaniać zarządy przedsiębiorstw do prowadzenia własnych śledztw w sprawach kradzieży czy innych nadużyć w przedsiębiorstwach, a wyniki tych śledztw mogą być wykorzystywane do własnych celów (na przykład szantażu). Również policja może zażądać porównania odcisków palców ze znajdującymi się w bazie danych.

Oponenci stosowania technik biometrycznych często obawiają się, że rząd czy instytucja prywatna mogą monitorować zachowania obywateli (pracowników), modele zakupów lub przemieszczanie osób. Wydaje się jednak, że kilka cech technologii biometrycznych wyklucza tego typu nadużycia. Stosowane techniki weryfikacji biometrycznej nie opierają się na przechowywaniu obrazów linii papilarnych, wzorców siatkówki oka czy próbek głosu. Zamiast tego przechowywane są wyróżniające się cechy tych fizjologicznych charakterystyk w postaci małych wzorców - w skali 1 do 100 czy 1 do 500 rozmiaru oryginalnych danych. Nie jest możliwym odtworzenie oryginalnego odcisku palca z wzorca linii papilarnych przechowywanych w bazie danych, ponieważ wzorzec ten oparty jest na zmiennej liczbie wyodrębnionych cech.

Ponadto urządzenia biometryczne działają w czasie rzeczywistym. Ogranicza to możliwość przekazywania utajnionych kopii do nielegalnych systemów biometrycznych. Ponadto większość dostawców produktów biometrycznych szyfruje transmisje danych biometrycznych pomiędzy urządzeniem a komputerem; szyfrowany jest także wzorzec przechowywany w bazie danych. Wszystkie podstawowe techniki biometryczne, obejmujące linie papilarne, wizerunek twarzy, geometrię rąk, tęczówkę oka i rozpoznawanie głosu lub podpisu, stosują takie zabezpieczenia.

Istnieją dwie podstawowe kategorie użytkowników metod biometrycznych: sektor publiczny (instytucje rządowe i samorządowe) oraz sektor prywatny. Metody biometryczne używane w sektorze publicznym, w takich systemach jak na przykład wydawanie uprawnień czy praw jazdy, są zaprojektowane w sposób zapobiegający nadużyciom. Ponieważ takie programy zawierają mechanizmy chroniące przed nadużyciem, można się spodziewać, że z definicji ograniczają możliwość współużytkowania danych biometrycznych przez różne agencje rządowe. Sprawą istotną są więc odpowiednie uregulowania prawne dotyczące możliwości przekazywania takich danych.

W sektorze prywatnym poddanie się metodom biometrycznym musi być dobrowolne. Tak jak w sektorze publicznym informacje biometryczne nie powinny być udostępniane innym firmom lub przenoszone do innych baz danych, co też jest kwestią odpowiednich uregulowań prawnych.

Szerokie rozpowszechnianie stosowania metod biometrycznych i tworzenie biometrycznych baz danych stwarza problem naruszania prywatności. Banki eksperymentują ze skanowaniem tęczówki do identyfikowania klientów bankomatów, a w praktyce systemy takie mogą opierać się o olbrzymie bazy danych dostępne w systemach bankowych. Trzeba też zadać pytanie: czy pracownicy lub klienci zechcą być jak przestępcy identyfikowani przez odciski palców? Nie ulega wątpliwości, że są konieczne uregulowania prawne ograniczające zbieranie i gromadzenie danych biometrycznych do przypadków, kiedy jest to bezwzględnie konieczne. Prawo to musi zapewnić, że informacje biometryczne nie będą gromadzone bez naszej wiedzy i przyzwolenia i nie będą mogły być użyte do innych celów, również bez uprzedniej zgody zainteresowanego.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas