Uwierzytelnianie biometryczne

Definicja, trendy, za i przeciw, przypadki użycia i mity

Co to jest uwierzytelnianie biometryczne?

Biometria to termin techniczny odnoszący się do fizycznych lub behawioralnych cech człowieka. Uwierzytelnianie biometryczne jest pojęciem z zakresu bezpieczeństwa danych. Rozwiązania uwierzytelniania biometrycznego tworzą wygenerowany na podstawie danych model, który reprezentuje daną osobę. Dzięki temu modelowi i informacjom biometrycznym systemy bezpieczeństwa mogą uwierzytelniać dostęp do aplikacji i innych zasobów sieciowych. Uwierzytelnianie biometryczne szybko staje się popularnym składnikiem strategii uwierzytelniania wieloczynnikowego, ponieważ łączy silne wyzwanie uwierzytelniania z doświadczeniem użytkownika o niskim poziomie tarcia

Hasła vs Biometria - Które jest silniejsze?

Nazwy użytkowników i hasła były podstawowym środkiem bezpieczeństwa przez dziesięciolecia, ale już nie dłużej. Liczne głośne przypadki naruszenia bezpieczeństwa w dużych instytucjach finansowych i biznesowych doprowadziły do kradzieży milionów kombinacji nazw użytkowników i haseł, które zostały wystawione na sprzedaż w ciemnej sieci. Jeśli połączymy to z tendencją do powtarzania haseł do wielu kont, skala podatności staje się bardziej oczywista.

Systemy uwierzytelniania biometrycznego są mniej narażone na tę podatność, ponieważ dane biometryczne użytkownika są unikalne. Atakującemu jest bardzo trudno oszukańczo odtworzyć odcisk palca lub skan rozpoznawania twarzy danej osoby, gdy jest on pobierany przez solidne rozwiązania z silnym wykrywaniem lajków/spoof, a jednocześnie uwierzytelnienie właściwego użytkownika zajmuje tylko chwilę. Z tego powodu, biometria jest uważana za wygodniejszą niż hasła i bezpieczniejszą.

Według Gartnera, "uwierzytelnianie biometryczne nie może i nie zależy od tajności cech biometrycznych, ale zamiast tego opiera się na trudności w podszywaniu się pod żywą osobę prezentującą cechę urządzeniu przechwytującemu ("sensorowi"). Ten ostatni punkt nie jest powszechnie znany, co prowadzi do pewnych powszechnych nieporozumień, wzmacnianych przez ograniczone wykrywanie ataków prezentacyjnych (PAD) w urządzeniach konsumenckich i rozgłos o udanych atakach na Apple Touch ID, czujniki machnięcia Samsunga, rozpoznawanie twarzy Androida i tak dalej." To powinno być uspokajającą wiadomością dla tych, którzy sceptycznie podchodzą do długoterminowej żywotności uwierzytelniania biometrycznego.

Rodzaje metod uwierzytelniania biometrycznego

Uwierzytelnianie za pomocą twarzy

Rozpoznawanie twarzy jest bardzo dobrze znaną formą uwierzytelniania biometrycznego, spopularyzowaną w wielu dramatach szpiegowskich i opowieściach sci-fi w popularnych mediach. Tak naprawdę ta technologia jest zakorzeniona w naszej biologii. Codziennie korzystamy z funkcji rozpoznawania twarzy, aby zidentyfikować naszych przyjaciół i rodziny oraz odróżnić nieznajomych. W uwierzytelnianiu zasady tego procesu są digitalizowane, aby umożliwić smartfonowi lub urządzeniu mobilnemu rozpoznawanie twarzy w podobny sposób.

Oprogramowanie do rozpoznawania twarzy analizuje geometrię twarzy, w tym odległość między oczami, odległość między podbródkiem a nosem itp. w celu utworzenia zaszyfrowanego cyfrowego modelu danych twarzy. Podczas uwierzytelniania narzędzie do rozpoznawania twarzy skanuje twarz użytkownika w czasie rzeczywistym i porównuje jej model z modelem przechowywanym w systemie. Mimo że rozpoznawanie twarzy rozwija się, nadal istnieje pewne ryzyko z tym związane.

Plusy:

  • Urządzenia mobilne są szeroko rozpowszechnione i większość z nich, jeśli nie wszystkie, posiada aparat fotograficzny.
  • Bardzo mała ilość ustawień. W większości nowoczesnych urządzeń mobilnych możliwości te są zawarte w standardzie.

  • Rozpoznawanie twarzy jest jedną z wygodniejszych metod uwierzytelniania biometrycznego. Patrzenie w kamerę urządzenia wiąże się z mniejszym tarciem niż skanowanie linii papilarnych lub kodu uwierzytelniającego.

Cons:

  • Nie wszystkie systemy rozpoznawania twarzy są jednakowe. Niektóre są łatwiejsze do sfałszowania niż inne.

  • Rozwiązania natywne dla urządzeń nie są tak skuteczne jak rozwiązania firm trzecich lub własnościowe.

  • Systemy rozpoznawania twarzy z "aktywną detekcją ruchu" wymagają od użytkownika poruszania głową, mrugania lub wykonywania innych czynności w momencie weryfikacji zapytania. Ten proces może być łatwiejszy do przeanalizowania i obejścia przez atakującego i może powodować kłopotliwe doświadczenia użytkownika, podczas gdy "pasywne wykrywanie aktywności" odbywa się za kulisami, tak, że nie przeszkadza użytkownikowi i jest trudniejsze do zidentyfikowania i zrozumienia przez atakującego.

Rozpoznawanie odcisków palców

Funkcjonariusze organów ścigania od lat wykorzystują odciski palców jako formę identyfikacji. Czytnik linii papilarnych działa na tych samych zasadach, ale cały proces jest zdigitalizowany. Odciski palców każdego człowieka są dla niego niepowtarzalne. Tak więc, analizując grzbiety i wzór odcisku, skanery linii papilarnych tworzą cyfrowy model, który jest porównywany z przyszłymi próbami uwierzytelnienia.

Plusy:

  • Stosowane w wielu gałęziach przemysłu
  • Do najbardziej wszechobecnych modalności należą

Cons:

  • Wydajność może ucierpieć ze względu na jakość odcisku palca lub aktualne warunki, takie jak mokre lub brudne palce.

Rozpoznawanie oczu

Wbrew powszechnemu przekonaniu, istnieją dwie metody skanowania oka dla celów uwierzytelniania. Skanowanie wykorzystuje rozpoznawanie tęczówki oka lub siatkówki oka do identyfikacji użytkowników.

Podczas skanowania siatkówki oka osoba uwierzytelniająca krótko świeci w oko, aby oświetlić unikalny układ naczyń krwionośnych w oku. Dzięki odwzorowaniu tego wzorca, narzędzie do rozpoznawania oczu może porównać oczy użytkownika z oryginałem. Skanowanie tęczówki działa podobnie, ale analizuje kolorowe pierścienie znajdujące się w tęczówce.

Plusy:

  • W niektórych implementacjach, rozpoznawanie oczu może być równie szybkie i dokładne jak rozpoznawanie twarzy (choć mniej przyjazne dla użytkownika).

Cons:

  • Może być trudno uzyskać próbkę do porównania, gdy jest się w świetle słonecznym (źrenice się kurczą).
  • W zależności od implementacji może to wymagać specjalistycznego sprzętu.

Rozpoznawanie głosu

Rozpoznawanie głosu analizuje brzmienie głosu użytkownika. O niepowtarzalnym głosie każdego człowieka decyduje długość jego traktu głosowego oraz kształt nosa, ust i krtani. Wszystkie te czynniki sprawiają, że analiza głosu użytkownika jest silną metodą uwierzytelniania.

Plusy:

  • Oferuje wygodne uwierzytelnianie
  • Niektóre programy podają użytkownikowi frazę

Cons:

  • Szumy w tle mogą zniekształcać nagrania.
  • Zwykłe przeziębienie, zapalenie oskrzeli lub inne częste choroby mogą zniekształcać głos i zaburzać autentyczność.
  • W sytuacjach publicznych, osoba może czuć się niekomfortowo mówiąc na głos (np. w pociągu lub autobusie).

Przypadki użycia uwierzytelniania biometrycznego

Uwierzytelnianie biometryczne jest wykorzystywane w szerokim zakresie zastosowań w wielu branżach. Oto tylko kilka przykładów, jak te branże wykorzystują biometrię do poprawy bezpieczeństwa i wydajności istniejących procesów.

Podróże i hotelarstwo:

Wybrane linie lotnicze i porty lotnicze oferują swoim pasażerom możliwość odprawienia się na lot przy użyciu funkcji rozpoznawania twarzy. Podobnie hotele i firmy hotelarskie zaczynają umożliwiać samodzielne zameldowanie się przy użyciu uwierzytelniania biometrycznego.

Usługi bankowe i finansowe:

Bezpieczeństwo i uwierzytelnianie jest niezbędne w wielu branżach, ale szczególnie w bankowości mobilnej. Instytucje finansowe wykorzystują uwierzytelnianie biometryczne jako część strategii uwierzytelniania dwu- lub wieloczynnikowego w celu ochrony banku i jego klientów przed atakami przejęcia konta.

Opieka zdrowotna:

Uwierzytelnianie biometryczne w postaci skanerów linii papilarnych, skanerów tęczówki oka i rozpoznawania twarzy może pomóc szpitalom w potwierdzeniu tożsamości pacjenta, zapewnieniu opiekunom dostępu do właściwych informacji medycznych i nie tylko.

Mity na temat biometrii obalone

Chociaż biometryczne systemy uwierzytelniania zyskują coraz większą popularność w przestrzeni bezpieczeństwa, nadal istnieje kilka dominujących mitów wokół biometrii, które spowalniają jej przyjęcie. Oto cztery z najważniejszych błędnych przekonań na temat uwierzytelniania biometrycznego:

  • Mit - Technologia biometryczna narusza prywatność: Istnieje istotna różnica pomiędzy biometrycznymi metodami uwierzytelniania, które wymagają od użytkownika wyrażenia zgody, a technologią rozpoznawania twarzy stosowaną w przestrzeni publicznej. Rozwiązania uwierzytelniania biometrycznego wymagają zgody użytkownika z samej swojej natury, ponieważ użytkownik musi najpierw zarejestrować swoje dane biometryczne. Ponadto, fotograficzne obrazy twarzy nie są przechowywane w bazie danych. Raczej matematyczny model twarzy jest szyfrowany i przechowywany w pliku dla celów porównawczych. Jest on w zasadzie bezużyteczny dla napastnika, nawet gdyby został skradziony.   
  • Mit - Identyfikację biometryczną można oszukać za pomocą statycznych obrazów i fotografii: Mogło to być prawdą w starszych lub mniej zaawansowanych iteracjach technologii uwierzytelniania. Jednak nowoczesne rozwiązania uwierzytelniania biometrycznego zawierają funkcje wykrywania niewidzialności, które potrafią rozpoznać, czy prezentowana cecha biometryczna jest autentyczna, czy też jest to maska, model, obraz, a nawet wideo. W celu uwierzytelnienia, użytkownik może zostać poproszony o mrugnięcie lub obrócenie głowy, ale inne funkcje wykrywania aktywności działają całkowicie w tle.  
  • Mit - Modele biometryczne tracą ważność wraz z wiekiem użytkownika lub zmianą cech: Istnieje obawa, że wraz z wiekiem użytkownika jego twarz będzie się powoli zmieniać, aż do momentu, gdy przestanie być rozpoznawana jako pasująca. W zastosowaniach uwierzytelniania biometrycznego, użytkownik zazwyczaj uwierzytelnia się na tyle regularnie, że te małe zmiany w wyglądzie nie będą na tyle duże, aby unieważnić dopasowanie. Zamiast tego, model matematyczny będzie aktualizowany w miarę rozpoznawania zmian w wyglądzie.
  • Identyfikacja biometryczna ma zastosowanie tylko wtedy, gdy użytkownik jest już znany: Biometria behawioralna analizuje sposób, w jaki indywidualny użytkownik wchodzi w interakcję ze swoim urządzeniem. Sposób trzymania telefonu, machania nim, pisania na klawiaturze i wiele innych czynności może być wykorzystany do stworzenia profilu, na podstawie którego można uwierzytelnić użytkownika lub określić względne ryzyko transakcji. Na przykład, w scenariuszu otwierania nowego konta, biometria behawioralna może porównać zachowanie wnioskodawcy z reprezentatywną pulą użytkowników, aby określić, czy nowy wnioskodawca wydaje się być prawdziwym, legalnym użytkownikiem, czy botem lub napastnikiem

Dowiedz się więcej na temat mitów dotyczących uwierzytelniania biometrycznego w tym filmie

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego