Jeszcze niedawno biometria kojarzyła się nam z tajnymi laboratoriami i sekretnymi bazami czarnych charakterów rodem z filmów akcji czy science fiction. Sytuacja zaczęła zmieniać się po tym, gdy zabezpieczenia biometryczne zastosowano w smartfonach. I choć użyte w nich technologie czasem zawodzą, uważa się, że biometria jest przyszłością systemów zabezpieczeń. O wiele mniej zawodną, niż często zapominane przez użytkowników albo zbyt proste hasła. Po wprowadzeniu biometrycznych metod identyfikacji problem błędów użytkownika właściwie przestanie istnieć.

Co to jest biometria?

Biometria to technika pozwalająca na dokonywanie pomiarów istot żywych, a w bardziej praktycznym rozumieniu metoda automatycznego rozpoznawania osób na podstawie ich cech fizycznych. Biometryczne metody identyfikacji opierają się na badaniu określonych cech fizycznych lub behawioralnych, tzn. związanych z zachowaniem (głos, chód, pismo itd.). Co ciekawe biometryka jako metoda identyfikacji może służyć zarówno jako zamiennik klucza czy tradycyjnej dla korporacji karty do drzwi, ale też jako alternatywa dla pinu do telefonu czy kluczyka do samochodu. Próbowano ją zastosować nawet w bankomatach. Czy to bezpieczne? Cóż, zdecydowanie bardziej niż tradycyjne hasła lub piny!

Jak wynika z raportu firmy Splash Data najpopularniejsze hasła stosowane przez użytkowników to w kolejności:

  1. 123456
  2. password
  3. 12345678

Nietrudno je odgadnąć, prawda? Oczywiście niektórzy są bardziej zapobiegliwi i wymyślają skomplikowane kombinacje liczb, liter i znaków specjalnych, ale… szybko je zapominają! A nawet jeśli ich nie zapomną, bywa, że stają się ofiarami phishingu. Biometria i oparte na niej metody zabezpieczeń niwelują problemy związane z czynnikiem ludzkim. Nasze cechy biometryczne mamy zawsze przy sobie, a ich skopiowanie, jak w przypadku linii papilarnych jest bardzo skomplikowane. Można też sięgnąć po zabezpieczenia biometryczne niemożliwe do odtworzenia stosując np. biometryczne metody identyfikacji oparte na skanowaniu naczyń krwionośnych dłoni. Tu o kopii nie może być mowy, ponieważ podczas skanowania krew musi płynąć przez żyły. Chcąc osiągnąć jak największe bezpieczeństwo możemy też zdecydować się na zastosowanie kombinacji 2-3 czynników autoryzacyjnych.

Niedawno firma Microsoft ogłosiła, że nową zalecaną praktyką w bezpieczeństwie IT jest niezmienianie haseł połączone z ich zastąpieniem mechanizmami biometrycznymi, uwierzytelnianiem wieloskładnikowym i logowaniem jednokrotnym. Wcześniej, przez całe lata mówiono nam, że trzeba często zmieniać hasło. Dziś, w dobie biometrii i wieloskładnikowej weryfikacji tożsamości stosowanie haseł wydaje się najmniej bezpieczne. Składniki uwierzytelniania możemy podzielić na:

  • coś, co wiemy: na przykład hasło
  • coś, co mamy: na przykład token w aplikacji mobilnej albo klucz USB
  • coś, czym jesteśmy: odcisk palca, siatkówka oka, rysy twarzy itd., czyli szeroko rozumiana biometria

W wieloskładnikowym uwierzytelnianiu (ang. multi-factor authentication, MFA) chodzi o to, by dostęp do systemów informatycznych wymagał więcej niż jednego składnika, a poszczególne składniki pochodziły z innych grup wymienionych wyżej. Przed czym nas to zabezpiecza? Wyobraźmy sobie, że ktoś wykrada nasze hasło do poczty. Będzie mógł zalogować się do naszej skrzynki zdalnie – z innego kraju, a może kontynentu. I nigdy się o tym nie dowiemy. Jeśli logowanie do skrzynki pocztowej wymagałoby MFA, to taka osoba – nawet znając hasło – nigdy nie mogłaby zaszkodzić naszej skrzynce pocztowej, ponieważ musiałaby podać dodatkowo na przykład hasło jednorazowe z SMSa. A naszego telefonu przy sobie nie ma. Kradzieże haseł to z kolei prosta sprawa – czasem wcale nie musimy ich kraść. Wystarczy próbować – mając listę tych najpopularniejszych, w końcu trafimy. Jeśli nie – atakujący może wysłać sfałszowaną wiadomość e-mail, która ma na celu wyciągnięcie danych od samego użytkownika. Ta metoda nazywa się phishingiem. Więcej na temat samych zagrożeń i zabezpieczeń pisaliśmy na naszym blogu TUTAJ oraz TUTAJ.” – mówi Łukasz Zaręba, wiceprezes Kompanii Informatycznej.

Biometryczne metody identyfikacji

Biometryczne ustalanie autentyczności przebiega na trzech etapach:

  • wykrycie: czujnik (np. skaner linii papilarnych) wykrywa próbkę biometryczną;
  • przetworzenie: z pobranej próbki wybiera się cechy wyróżniające daną osobę;
  • identyfikacja: po porównaniu próbki z wzorcem następuje identyfikacja osoby.

By proces ten przebiegł sprawnie, a identyfikacja zawsze przebiegała poprawnie musi być spełnionych kilka warunków:

  • dana cecha powinna występować u większości osób w stanie, który umożliwia jej pomiar;
  • cecha ta nie zmienia się wraz z wiekiem i może być utracona jedynie w wyniku wypadku lub rzadkich chorób;
  • wyłapanie i zmierzenie danej cechy powinno być łatwe i szybkie zarówno podczas wczytywania danych o użytkownikach, jak i podczas identyfikacji;
  • biometryczne metody identyfikacji bazują na cechach, które są unikalne dla każdego człowieka;
  • korzystając z biometrii w tworzeniu zabezpieczeń wybiera się cechy, które trudno jest skopiować lub zmanipulować.

Cechy biometryczne wykorzystywane w zabezpieczeniach

Linie papilarne/odcisk palca

Odciski palców zbierał już słynny detektyw Sherlock Holmes. Stosowane przez organy ścigania metody identyfikacji z pomocą kartki papieru i tuszu biometryka zastąpiła skanerami linii papilarnych. Takie rozwiązanie ma jednak swoje minusy: nie sprawdzi się chociażby u fanów gry na gitarze lub pracujących fizycznie osób, u których linie papilarne ulegają zniekształceniu. To nie koniec wad tej metody: odcisk palca łatwo podrobić, nawet stosując tak nieskomplikowane narzędzie, jak plastelina.

Rozpoznawanie rysów twarzy

Zabezpieczenie biometryczne oparte na fotografii twarzy, której obraz zostaje zredukowany do kodu cyfrowego. W przypadku tego typu metod identyfikacja użytkownika może napotkać na problemy przy niewłaściwym kącie nachylenia głowy, ale też zbyt słabym oświetleniu. Podobnie jak linie papilarne, wygląd twarzy można skopiować chociażby stosując techniki znane charakteryzatorom.

Geometria żył

To zdecydowanie mniej zawodny sposób ochrony danych niż odcisk palca czy skanowanie rysów twarzy. Po pierwsze układ żył jest niezmienny, a po drugie nie ma możliwości skopiowania go. Co więcej jest to cecha indywidualna dla każdego człowieka. Tego typu biometryczne metody identyfikacji dokonują pomiaru układu naczyń krwionośnych znajdujących się w nadgarstku dłoni.

Tęczówka oka

Tęczówka oka kształtuje się w dzieciństwie i (pod warunkiem braku poważnych chorób oczu czy też uszkodzenia oka na skutek wypadku, które są dość rzadkie) pozostaje niezmieniona aż do starości. Co więcej dotychczas nie zeskanowano dwóch identycznych tęczówek. Co ważne przy tej metodzie: identyfikacji użytkownika nie zaburzają ani okulary ani soczewki kontaktowe.

Weryfikacja głosu

Jego charakterystycznymi cechami są brzmienie, sposób stawiania akcentów, szybkość wymawiania wyrazów itd. Weryfikacja polega na pobraniu próbki i porównaniu z charakterystycznymi cechami pozostawionego wcześniej wzorca. W tej metodzie identyfikacji ważne jest wykluczenie pobrania nagranej próbki.

Biometryczne metody identyfikacji mogą się też opierać m.in. na takich cechach jak:

  • rozkład temperatury twarzy;
  • DNA;
  • zapach;
  • kształt ust;
  • kształt uszu;
  • kształt linii zgięcia wnętrza dłoni;
  • sposób chodzenia;
  • sposób pisania na klawiaturze lub poruszania się po serwisach.

Zagrożenia związane z biometrią

Informacje biometryczne przechowywane są w formie cyfrowej, a to oznacza, że mogą być kopiowane, modyfikowane i… skradzione! Zaledwie 5 lat temu, w 2015 roku ujawniono, że m.in. Samsung i HTC nie szyfrowali zbieranych przez ich smartfony odcisków palców. Ich cyfrowy zapis można było wykraść. I wcale nie jest to nierealne zagrożenie! Chociażby w 2017 roku doszło do kradzieży zapisu 5,6 mln odcisków palców pracowników administracji federalnej USA. Wyobraźcie sobie, że w przyszłości odcisk palca stanie się powszechnie stosowanym zabezpieczeniem. Jeśli nie będzie skorelowany z pomiarem jeszcze jednej cechy, konsekwencje takiej kradzieży mogą być katastrofalne! I choć biometria i związane z nią zagadnienia dotyczące przechowywania danych są dla nas wyzwaniem, nie da się ukryć, że biometryczne metody identyfikacji oparte na 2-3 cechach stanowią trudne do pokonania zabezpieczenie, które w niedalekiej przyszłości ma szansę zastąpić stosowane dotychczas systemy bezpieczeństwa.

Zobacz też: Jak dbać o bezpieczeństwo danych w firmie?