Jak si identifikace na základě měření lidských charakteristik vede, jaké jsou její principy a co stojí za online snímáním otisků?
V předchozích pokračováních letního bezpečnostního seriálu byla podrobně představena hesla, a to od A až do Z: Dozvěděli jste se, jaké jsou jejich výhody a nevýhody, jak fungují duhové útoky nebo jak prolomit ochranu heslem u nejznámějších dokumentů a dalších souborů. Na řádcích tohoto dílu se detailně podíváme na jinou techniku autentizace, řeč bude o biometrické identifikaci a verifikaci.
Biometriky nejsou hesla
Ještě před detailním popisem jednotlivých biometrických technologií, jejich přínosů a naopak také případných problémů, není od věci srovnat s klasickými hesly. Hned v úvodu je zapotřebí upozornit, že ve světě počítačů stále hrají prim hesla: Biometrické technologie jsou zde sice doplňovány jako bezpečnější a bezesporu exotická alternativa, nicméně zadní vrátka (typicky pro administrátora) zde vždy představuje standardní silné heslo.
To úzce souvisí s jedním z problémů biometrik, kterým je nemožnost stoprocentní shody. Oproti heslům, kde systém vyžaduje jasnou shodu 1:1, mají biometrické systémy základ v určení prahové hranice shody. Stoprocentně stejného biometrického vzorku není možné dosáhnout, takže se definuje relativní prahová hodnota, kdy je ještě míra neshody akceptována jako vzorek oprávněného uživatele.
Jednoduchý inverzní 3D otisk prstu si pro experimenty s následnou želatinovou formou může vytvořit každý snadno a rychle
Pokud administrátor prahovou hodnotu nastaví příliš nízkou, sice tím odbourá falešná odmítnutí, jež otravují legální uživatele, na druhou stranu ale zvýší riziko přijetí útočníka. Podobný kontrast je i v případě vysoké prahové hodnoty: Legální uživatelé budou častěji odmítnuti kvůli nekvalitě vzorku, ale útočníci přijdou zkrátka. Správné vyladění prahové hodnoty představuje jeden ze základních kroků pro bezproblémové zabezpečení a zároveň neotravování legitimních uživatelů opakovanými přihlášeními.
Oproti heslům biometrické systémy nabízejí jednu nedocenitelnou výhodu v podobě nemožnosti zapomenutí, přitom co do složitosti předčí i sebesilnější heslo (samozřejmě záleží na bezpečnosti konkrétní biometrické čtečky). Jeden z hlavních problémů ale spočívá v uživatelské přívětivosti, jelikož některé modernější technologie budí větší nedůvěru.
Problém samozřejmě není třeba s otisky prstu, na které jsou lidé zvyklí z jejich „offline“ formy, ale třeba skenování sítnice nebo snímání duhovky může u některých působit trochu jako nepochopitelná magie. A navíc je při hromadnějším nasazení zapotřebí zcela neznalé uživatele naučit, jak správně předložit požadovaný biometrický vzorek za každé situace.
Identifikace, nebo verifikace?
Slovo biometrie pochází z řečtiny a označuje měření určitých vlastností člověka. Biometrické systémy pak jsou schopny na základě unikátnosti těchto vlastností identifikovat uživatele. Zmiňovaných vlastností existuje celá řada a lze je rozdělit do dvou základních skupin – fyziologické nebo behaviorální. Mezi reprezentanty první uvedené kategorie patří například otisky prstů a oční duhovka, do behaviorálních charakteristik (týkajících se chování) spadá kupříkladu dynamika podpisu nebo ověřování hlasu mluvčího.
Behaviorální charakteristiky mají největší nevýhodu v tom, že se časem mění. Tak například zmiňované ověřování hlasu mluvčího začíná být výrazně nespolehlivé při běžném nachlazení apod. Právě v takovýchto případech je pak dobré, když je biometrická identifikace nebo verifikace „zachráněna“ doplňkovým zadáním hesla, které zde splní vytyčený cíl zadních vrátek pro případ trablů s biometrií. Ani u fyziologických charakteristik ale není situace zcela růžová, například otisky prstů jsou pasé při popáleninách, odřeninách, artróza a další kloubní problémy zase dokážou znemožnit rozpoznání prostřednictvím geometrie ruky apod.
Registrace nového uživatele v případě administračního softwaru profesionálních čteček Bioscrypt
Stejně jako je u klasických hesel nejprve zapotřebí vytvořit uživatelův profil se všemi přidruženými informacemi, spočívá také v případě biometrik základní krok v takzvané fázi registrace. Do systému jsou zavedeni uživatelé a pomocí prvotních snímání je jim vytvořena šablona biometrického vzorku, která se později při identifikaci konfrontuje s aktuálním otiskem. Ve fázi registrace je zapotřebí dbát na kvalitu biometrických dat, proto se zde namísto jednoho provádí hned několik snímání pro vytvoření finální výchozí šablony.
Jakmile jsou všichni požadovaní uživatelé v systému zaneseni, nezbývá než přejít k jejich identifikaci nebo verifikaci. Jaký je vlastně mezi těmito dvěma přístupy rozdíl? Identifikace je pro uživatele na první pohled přívětivější, jelikož pouze poskytne daný otisk a systém ho automaticky rozpozná. Naproti tomu verifikace vyžaduje vložení uživatelovy identity (například přihlašovacího jména), teprve poté se poskytuje bioemtrický vzorek. Identifikace je tak výpočetně složitější, verifikace zase obecně bezpečnější.
