Podrabianie ludzi: czy można ufać autoryzacji przez biometrię?

Każdego dnia miliony komputerów muszą podejmować decyzję, czy weryfikowana osoba jest właścicielem, a nie kimś innym. Najbardziej popularne jest sprawdzanie hasła, jednak można je z łatwością ukraść lub zapomnieć. Przy okazji

Każdego dnia miliony komputerów muszą podejmować decyzję, czy weryfikowana osoba jest właścicielem, a nie kimś innym. Najbardziej popularne jest sprawdzanie hasła, jednak można je z łatwością ukraść lub zapomnieć. Przy okazji problemów z hasłami pojawia się pomysł używania innego systemu identyfikacji użytkownika. Prostym i atrakcyjnym rozwiązaniem jest uwierzytelnianie biometryczne, w którym użytkownik musi umieścić palec na górze skanera, spojrzeć w obiekty aparatu czy wypowiedzieć jakąś sentencję. Twoje palce, oczy i głos zawsze są z Tobą, prawda? Co więcej, nikt nie może ich podrobić. Niestety ten obiecujący pomysł wciąż ma wiele minusów, dlatego wciąż nie używamy zbyt często odcisków palców w wielu krytycznych usługach.

bio-fake-2

Zanim jednak przytoczę kilka przykładów w tym temacie, przypomnę, że nie można zmienić swojego „hasła”, a dużym wyzwaniem jest także zaimplementowanie prawdziwie bezpiecznego szyfrowania wykorzystywanego w takim biometrycznym „haśle”. Przechodząc z poziomu koncepcji do wdrożenia w prawdziwym życiu: nie można nie podkreślić oczywistego i niezwykle istotnego problemu – większość cech biometrycznych można oszukać przy użyciu prostych i niedrogich narzędzi.

Niebezpieczny obcy

Największą różnicą pomiędzy zwykłym hasłem a dowolnym uwierzytelnianiem biometrycznym jest to, że nie istnieje idealne dopasowanie pomiędzy próbką oryginalną (główną) a próbką poddawaną sprawdzeniu. Mówiąc inaczej, nie można uzyskać dwóch identycznych odcisków tego samego palca. Jeszcze trudniejsze jest dopasowanie twarzy, bo jej cechy mogą się zmieniać lub mogą stać się niemożliwe do rozpoznania w zależności od oświetlenia, pory dnia, obecności okularów, zarostu, przekrwienia oczu, makijażu, czy nawet jej naturalnego starzenia się. Od wielu czynników zależy także nasz głos, który brzmi inaczej chociażby podczas choroby. W takich warunkach bardzo trudno jest utworzyć system, który będzie potrafił zaakceptować prawowitego właściciela za każdym razem i nigdy nie zaakceptuje obcej osoby.

Aby rozwiązać ten problem, każdy system biometryczny stara się oczyścić skanowaną próbkę z zakłóceń, pozostawiając jedynie cechy charakterystyczne możliwe do porównania matematycznego. Niemniej jednak nawet taki „szkielet” powinien być dopasowany do oryginału pod względem prawdopodobieństwa. W systemach posiadających średni poziom bezpieczeństwa nie jest niczym nadzwyczajnym zaakceptowanie obcej osoby po 10 000 próbach i zablokowanie prawowitego użytkownika w 1 na 50 przypadków. Jeśli chodzi o platformy mobilne, współczynnik wystąpienia błędu zwiększają znacząco zmienne warunki zewnętrzne, takie jak oświetlenie czy wibracje. To dlatego rozpoznawanie twarzy w Androidzie zawodzi w 30-40% przypadków.

Hasła na całe życie

Jeśli zapomnisz swojego hasła lub zostanie ono skradzione, możesz je zmienić. Gdy zgubisz klucze, możesz zmienić zamek w drzwiach. A co zrobisz, jeśli zostanie skradziona baza odcisków dłoni, w tym także ten zabezpieczający Twoje konto bankowe (robią tak niektóre banki w Brazylii i Japonii)?

Raczej trudno jest zmienić swoją dłoń. Pomimo że technologia wytwarzania sztucznej dłoni jeszcze nie istnieje, nikt nie może zagwarantować, że nie pojawi się za pięć czy dziesięć lat.

Ten podstawowy problem mogą częściowo rozwiązać odciski palców – zamiast całych dłoni, możesz używać 2-4 palców, więc będziesz w stanie zmienić swoje hasło. Będzie ono jednak zbyt krótkie, by wystarczyło na całe życie. Włamania na konta internetowe zdarzają się zbyt często, więc trudno jest im zaufać im w 100%. Fakt, że większość serwisów przechowuje jedynie „szkielet”, czyli w jakimś sensie pochodną oryginału, wcale nie załatwia sprawy – według wielu badań można na jego podstawie odbudować na przykład odcisk palca, który choć nie będzie identyczny z oryginalnym, przejdzie kontrolę.

Ponadto stosowanie uwierzytelniania biometrycznego w internecie wywołuje obawy związane z prywatnością. Biometryczne „hasło” jednoznacznie identyfikuje konkretną osobę, a w jednej sieci społecznościowej nie można mieć dwóch oddzielnych kont – każdy serwis posiada wystarczająco dużo narzędzi, aby zorientować się, że to jest ta sama osoba. Jeśli uwierzytelnianie biometryczne zostanie zaimplementowane na każdej popularnej stronie, proces śledzenia użytkowników online stanie się niesłychanie łatwe.

Cyfrowy sejf

Po pierwsze, użycie haseł i potencjalnie biometrii może pomagać w ograniczaniu dostępu do różnych urządzeń i usług. Po drugie, może pomóc w ograniczaniu dostępu do danych, które są przechowywane na urządzeniu. Jednak w tym drugim przypadku trudnej jest użyć funkcji biometrycznych.

Gdy wkładasz swoje dokumenty do sejfu, którego drzwi posiadają zamek wykorzystujący odciski palców, Twoje dane są dodatkowo chronione jego ścianami. Aby ominąć zabezpieczenia biometryczne, trzeba by wiele się namęczyć z samą obudową. Jednak jeżeli kontrola dostępu dotyczy komputera, ominięcie zabezpieczeń jest stosunkowo łatwe. W tym przypadku ścianki sejfu może zastąpić szyfrowanie danych. I tu pojawia się problem. Gdy szyfrujesz coś hasłem, przy jego pomocy generowany jest specjalny klucz szyfrowania. Jeśli w haśle zmienisz chociażby jeden znak, klucz szyfrowania będzie całkowicie inny i nieprzydatny. Ale „hasło” biometryczne jest za każdym razem nieco inne, więc trudno jest użyć go bezpośrednio do szyfrowania. To dlatego istniejące na rynku masowym „sejfy biometryczne” korzystają z pomocy chmury – dopasowanie skanu do wzorca odbywa się po stronie serwera, a w przypadku sukcesu serwer dostarcza klientowi klucz szyfrowania. Oczywiście stwarza to duże ryzyko masowego wycieku danych – zhakowanie serwera może doprowadzić do zhakowania zarówno kluczy szyfrowania, jak i danych biometrycznych.

Biometria w prawdziwym życiu

Pomijając filmy filmy sci-fi i zastosowania wojskowe, automatyczne uwierzytelnianie biometryczne możliwe jest do wykorzystania w dwóch przypadkach. W niektórych bankomatach stosowane są skany odcisku dłoni, a pewne usługi telefoniczne identyfikują użytkowników na podstawie głosu. Drugim rodzajem zabezpieczeń biometrycznych spotykanych na co dzień, są skanery wbudowane w urządzenia elektroniczne, takie jak laptopy i smartfony. Przedni aparat mógłby być używany do wykrywania twarzy, a specjalny czujnik może skanować odciski palców. Wiele systemów także używa autoryzacji głosowej. Poza wspomnianymi wyżej problemami ogólnymi biometryki te konsumenckie rozwiązania mają własne ograniczenia związane z mocą procesora, ceną czujnika czy wymiarami fizycznymi. Aby obejść te ograniczenia, producenci muszą poświęcić bezpieczeństwo systemu i jego odporność. To dlatego można łatwo oszukać niektóre skanery przy użyciu mokrego papieru z wydrukowanym odciskiem palca. A gdy w grę wchodzą prawdziwe pieniądze, oszuści mogą nawet zacząć produkować sztuczne palce – okazuje się, że takie włamania miały już miejsce. Z drugiej strony legalni użytkownicy często muszą przeciągać swoje palce wiele razy, aby uzyskać dostęp – większość czujników może nie działać poprawnie, jeśli palec jest mokry, nakremowany, zabrudzony, lub istnieją na mim zadrapania czy oparzenia.

bio-fake-1

Systemy rozpoznawania twarzy rzadko potrafią rozróżnić prawdziwe twarze od zdjęć (choć niektóre systemy sprawdzają, czy mają do czynienia z żywą osobą, np. wymagają mrugnięcia). Jednak podczas rozpoznawania twarzy w celu odblokowania urządzenia mobilnego programy te często wykazują wrażliwość na warunki oświetleniowe i inne czynniki środowiskowe. Musisz mieć zatem opcję B w postaci zwykłego hasła – w przeciwnym razie nie odblokujesz urządzenia w ciemności.

Większość producentów systemów autoryzacji głosowej mówi, że potrafią one wykryć oszustwa – zarówno nagrania, jak i oszustów. Tak naprawdę tylko najpotężniejsze systemy wykonują wszystkie wymagane skomplikowane obliczenia, a niektórzy badacze twierdzą, że programy do zmiany głosu mogą oszukać systemy autoryzacji w 17% przypadków. Na urządzeniu mobilnym trudno jest zastosować pełną, wykonywaną w czasie rzeczywistym analizę, dlatego wymaga ona pomocy ze strony chmury, która z kolei jest wolniejsza, zależna od jakości połączenia z internetem (i samego faktu istnienia takiego połączenia) oraz jest podatna na inne ataki typu man-in-the-middle. A przy okazji, atak MITM jest szczególnie niebezpieczny dla systemów autoryzacji głosu, ponieważ znacznie łatwiej jest uzyskać próbki głosu niż inne próbki biometryczne.

Połączenie wielu niedogodności dla legalnych użytkowników i niewystarczającego poziomu bezpieczeństwa sprawia, że autoryzacja biometryczna wciąż nie jest standardem w bezpieczeństwie mobilnym, dlatego nie zastępuje tradycyjnych haseł i kodów PIN. Bezpieczne i wiarygodne sprawdzanie tożsamości przy użyciu biometryki jest możliwe tylko w warunkach kontrolowanych, np. na przejściu granicznym na lotnisku czy w punkcie kontroli przy wejściu do firmy.

Porady