Odyseja biometryczna. Odc. 2.
Nowe oblicze bezpieczeństwa.
Jak (niestety) wiemy systemy identyfikacji użytkownika oparte na wykorzystywaniu nazwy użytkownika i hasła nie są systemami bezpiecznymi i spowodowały już wielomiliardowe straty materialne oraz moralne związane z kradzieżą tożsamości. W poszukiwaniu sposobu na podniesienie poziomu bezpieczeństwa postawiono na technologie biometryczne, jako klucze mające zapewnić, że osoba logująca się do serwisu czy dokonująca transakcji, jest rzeczywiście osobą do tego uprawnioną.
Technologie biometryczne to takie technologie, które pozwalają na identyfikację osoby na podstawie cech najbardziej szczególnych, m.in.: odcisków palców, tembru głosu, obrazu twarzy, obrazu siatkówki oka. Czy wykorzystanie technologii opartych na tak unikalnych danych zapewnia nam zatem pełne bezpieczeństwo?
W dzisiejszej rzeczywistości wspomniany w poprzednim odcinku Simon Phoenix pewnie również mógłby zrobić użytek z pozyskanej siatkówki oka. Chociaż dane biometryczne w tym momencie nie były „żywe” (live biometrics) ale „martwe” (dead biometrics) to niestety nie oznacza to, że nie są one przydatne. Co prawda, dzisiejsze systemy potrafią odróżnić te dwa rodzaje danych biometrycznych, ale drugiej strony dysponujemy badaniami, że “martwa” siatkówka oka może utrzymać swoje właściwości nawet do 72 godzin po śmierci człowieka. Zastosowanie technologii biometrycznych w znaczący sposób podnosi poziom bezpieczeństwa operacji logowania czy identyfikacji użytkownika. Czy jest to jednak optymalne rozwiązanie ?
Czy jest zatem bezpiecznie ?
Pytał kiedyś uporczywie Christian Szell…. Na pewno bardziej z biometrią niż bez. Różnorodność technologii biometrycznych i ich charakterystyka czyni je oczywiście trudniejszymi do podrobienia. To znacznie zwiększają „koszt” wykorzystania takich danych przez cyberprzestępców. Dzisiejsze systemy w wielu wypadkach przeprowadzają także „liveness tests” – testy określające czy odcisk palca jest odciskiem rzeczywistego palca czy tylko odciśniętym w plastycznym materiale. Podobnie z obrazem twarzy – potrafią z dużym prawdopodobieństwem (choć nie z pewnością) odróżnić czy jest to „żywa” twarz czy tylko jej obraz. A więc możemy czuć się bezpiecznie. Prawdopodobieństwo, że ktoś tak jak Simon Phoenix, pozyska nasza siatkówkę lub palec (nie mówiąc o twarzy) jest znikome. Ponadto, dane biometryczne są generalnie odporne na upływ czasu (czytaj – proces starzenia się).
Tak, ale…
Ale to nie jest jednak takie proste. Wykorzystywanie technologii biometrycznych stawia przed nami bowiem kolejne wyzwania.
1) Powszechne ich wprowadzenie do użytku.
2) Składowanie ich
Niestety obecnie systemy logowania i autoryzacji wykorzystujące technologie biometryczne nie są jeszcze powszechnie wprowadzone. Mają dostęp do nich m.in.: użytkownicy telefonów firmy Apple oraz kilku operatorów na świecie. Większość populacji nadal skazana jest na logowanie się za pomocą nazwy użytkownika i hasła. Dobra wiadomość jest taka, że technologie biometryczne są coraz bardziej „modne”. Coraz więcej podmiotów decyduje się na prace mające doprowadzić do implementacji technologii biometrycznych w ich systemach. I to chyba by było na tyle, jeśli chodzi o dobre wiadomości, ponieważ to wciąż projekt “under construction”.
Dane biometryczne są – tak jak wiele innych danych – składowane. Ich dysponentem są agendy rządowe (najczęściej), bądź operatorzy wykorzystujący je w rozwiązaniach oferowanych swoim klientom. Ponieważ z reguły są to poważne i cieszące się wysokim zaufaniem oraz dużą wiarygodnością instytucje, użytkownicy mogą czuć się bezpiecznie. Albo raczej… mogli. Powinni bowiem pamiętać, że dane biometryczne można wykraść także z agencji rządowych (jak pokazała seria ataków przeprowadzona od grudnia 2014 m.in. na Office of Personnel Management, podczas którego skradziono dane osobowe ponad 4 mln pracowników federalnych USA).
Dodatkowo – jak już wspomnieliśmy – zabezpieczenia technologii biometrycznych odróżniające „live biometrics” od „dead biometrics” nie są jednak niezawodne i możliwe jest ich obejście.
Jeśli teraz połączymy te dwa fakty – możliwość kradzieży danych biometrycznych i ich „wykorzystanie” potem przez cyberprzestępców, dochodzimy do smutnej konkluzji: jeśli jesteśmy użytkownikami systemu opierającego się na technologii biometrycznej i nasze dane biometryczne zostaną skradzione to niestety nie będziemy mogli już korzystać z usług tego serwisu. O ile możemy zmienić tradycyjne hasło i nazwę użytkownika, to swoich danych biometrycznych już nie zmienimy. W ten sposób możemy zostać wyeliminowani na zawsze z dostępu do serwisów opierających się na biometrii.
To scenariusz dość ekstremalny, ale jak pokazują doświadczenia, nie jest on niestety nierealny.
Czy to znaczy, że technologie biometryczne są ślepą uliczką ? Czy to kolejny „gadżet” dla wybranych? Czy jednak biometria może nam służyć z powodzeniem i podnieść poziom bezpieczeństwa operacji w sieci ?
O tym w kolejnym odcinku Odysei biometrycznej.
Autorem jest Marek Ostafil – COO Cyberus Labs.
Wpis oryginalnie ukazała się na LinkedIn.