Nejste přihlášen

Přečtěte si

Rubriky

Nejčtenější

Nejkomentovanější

Odběr novinek

Váš e-mail:

 

Autentizace: přilož prst

V tomto příspěvku se dozvíte, jaké jsou hlavní výhody a nevýhody autentizace založené na tom, že uživatel něco je.

U biometrických metod můžeme rozlišit tzv. fyziologické charakteristiky (otisk prstu, geometrie ruky atd.) a behaviorální charakteristiky (rozpoznávání hlasu, dynamika podpisu, psaní na klávesnici atd.). U behaviorálních charakteristik máme větší jistotu, že autentizaci provádí opravdu daná osoba, ale samozřejmě i zde je možné, že může být k autentizaci donucena nebo se může někdo jiný pokusit její charakteristiky napodobit.

Takovou situaci lze řešit fyzickou přítomností ostrahy a kontrolou co a jak je vlastně přikládáno ke snímači, zda nedochází k nežádoucí manipulaci s tímto zařízením. Mohlo by dojít k tomu, že by útočník biometrický senzor nahradil za svůj vlastní, který by biometrické charakteristiky ukládal do jeho DB.

Pořízení biometrických charakteristik
Aby se vůbec mohl uživatel začít autentizovat, musíme nejprve pořídit vzorek zvolené charakteristiky. Obvykle se snímá větší počet vzorků, zpravidla tři, ale v některých případech jich může být i více.

Rychlost biometrických metod
To, že některé z těchto metod jsou pomalé, není při autentizaci uživatele až takový problém, protože pokud se uživatel již nějak identifikoval, porovnává se předložená charakteristika s údaji uloženými v databázi. Problém by však mohla nastat v případě, že by se biometrická charakteristika použila pro samotnou identifikaci, neboť pak by se musel předložený vzorek porovnat se všemi, které jsou již uloženy v DB. Je zřejmé, že čím více vzorků by v DB bylo uloženo, tím déle by takové porovnání trvalo.

Spolehlivost biometrických metod
Obraťme však nyní naší pozornost ke spolehlivosti těchto metod. Netřeba snad zdůrazňovat, že žádná biometrická metoda není absolutně spolehlivá. V praxi tak může dojít ke kuriózní situaci, kdy oprávněnému uživateli je přístup do systému odepřen a naopak neoprávněnému uživateli je přístup povolen. Není tedy žádným překvapením, že čím je systém spolehlivější nebo rychlejší, tím je i dražší. Pro určení spolehlivost daného systému bychom se měli zaměřit na to, kolika neoprávněným uživatelům byl přístup do systému povolen, ač jim být povolen neměl – jedná se o tzv. False Acceptance Rate (FAR). A kolika oprávněným uživatelům byl přístup zamítnut, ač jim být zamítnut neměl – jedná se o tzv. False Rejection Rate (FRR). Rovnost FAR a FRR se označuje jako Equal Error Rate (EER) a je v celku logické, že čím nižší je tato hodnota, tím můžeme daný systém považovat za spolehlivější.

Výhody
Hlavní výhodou těchto metod je, že autentizační údaje není možné zapomenout nebo ztratit a v průběhu času se moc nemění nebo jen nepatrně. Na uživatele tak nejsou kladeny v podstatě žádné požadavky. Je třeba však vzít v úvahu, že je možné ztratit hlas, přijít o prst, o ruku apod.

Nevýhody
Hlavní nevýhodou těchto metod je, že je ve většině případů nutný speciální HW nebo minimálně SW, který musí být na počítači, kde se má uživatel autentizovat nainstalován a spuštěn. Další nevýhodou těchto metod je, že se na ně nedá stoprocentně spolehnout. 

V následujících odstavcích si jednotlivé biometrické metody blíže popíšeme.

Otisk prstu (fingerprint)
Obvykle se neukládá sejmutý prst jako obrázek, ale ukládají se jen určité charakteristiky, takže by nemělo být možné otisk přesně zrekonstruovat. Na druhou stranu se sejmutý otisk prstu musí programem zpracovat, to znamená, že se obrázek musí nejprve ze snímače nějakým způsobem přenést a uložit do paměti. Pokud jde o vlastní snímání otisku prstu, tak k tomu dochází v zásadě dvěma různými způsoby. Buď se prst přiloží na snímač nebo se s ním přes snímač přejede. První řešení je dražší, protože některé lepší snímače mohou navíc měřit i teplotu, tep, krevní řečiště, polohu kosti apod. Takže gelovou atrapou nebo uříznutým prstem je nelze tak snadno ošálit. Druhé řešení je samozřejmě lacinější a lze jej nejen poměrně jednoduše oklamat, ale můžeme mít i problémy se přihlásit a pokusy tak musíme opakovat. Příčinou může být zpocená nebo špinavá ruka. Pro případ poranění apod. se v praxi snímá více otisků a to z několika prstů obou rukou. Dále můžeme snímače ještě rozdělit na optické, které fungují jako skener a kapacitní, které měří odpor. Vzhledem k tomu, že mnozí výrobci HW již implementovaly jednoduché čtečky otisků prstů do notebooků, klávesnicí a myší, nemělo by dalšímu rozvoji této metody nic bránit. Je zajímavé, že pokud jde o použití této metody autentizace pro přístup do soukromých zařízení, bývá uživateli většinou hodnocena jako užitečná a docela rádi ji používají. Pokud se však rozhodne nasadit tuto metodu autentizace zaměstnavatel, narazí dost často na odpor zaměstnanců vyplývající z obavy možného zneužití otisku. To si lze vysvětlit tak, že způsob jak se sejmutý otisk přenáší a co přesně se sním děje a v jaké formě je pak uložen na disku, výrobce obvykle neuvádí. To ve spoustě lidí budí nedůvěru, neboť se obávají, že by jejich otisk mohl být nějakým způsobem zneužit. Kromě toho v některých zemích není možné pořizovat a zpracovávat otisky prstů pro jiné než policejní účely.

Geometrie ruky (hand geometry)
Obvykle se měří délka, šířka a tloušťka ruky i jednotlivých prstů. Takové zařízení je výrazně větší a dražší než běžný snímač otisku prstů, takže se nepředpokládá, že by si ho někdo pořizoval domů. Z výše uvedeného důvodu se tato metoda používá např. pro přístup zabezpečených prostor strategicky významných objektů apod.Výhoda oproti předchozí metodě však spočívá v tom, že získat geometrii ruky je pro útočníka velice obtížné ne-li zhola nemožné, zatímco v případě otisku prstů to pro něj není žádný problém, neboť otisky prstů běžně zanecháváme na spoustě předmětů. Zařízení sloužící ke snímání geometrie ruky bývají také dost často pod kamerovým dohledem a jsou hlídány pracovníky fyzické ostrahy.

Rozpoznávání obličeje (face recognition)
Rozlišujeme 2D a 3D systémy. Nevýhodou prvních 2D systémů bylo, že je šlo poměrně snadno oklamat např. vytištěnou fotografií. Je zřejmé, že v případě 3D systémů výše popsaný útok není možné použít, neboť se zde měří i hloubka. Metoda je obecně založena na měření vzdáleností mezi specifickými body. Měří se tak např. vzdálenost mezi očima, nosem, ústy a jejich velikost. Kromě toho se měří i celková velikost a tvar obličeje i jednotlivých jeho částí. Osvětlení a úhel snímání může značně ovlivnit spolehlivost této metody. Může dojít k neoprávněnému přihlášení uživatele, s podobnými rysy jako je např. člen rodiny, příbuzný atd. Dalším problémem mohou být morfologické změny obličeje způsobené stárnutím. Tuto metodu není možné nasadit v zemích, kde je zakázáno fotografování nebo kde musí být obličej zahalen.

Rozpoznávání duhovky (iris recognition)
U této metody se, co se týká spolehlivosti, dosahuje ještě vyšší přesnosti než v případě snímání otisků prstů. Aby se zabránilo použití fotografie oka, sleduje se i jeho pohyb, změna zornice, mrkání apod. Rozpoznávání oční duhovky se jeví jako nejspolehlivější biometrická metoda, avšak nemusí být přijatelná v zemích, kde je oko považováno za okno do duše. Uvádí se, že dokonce ani jednovaječná dvojčata nemají stejnou duhovku. Jeden čas se psalo o tom, že banky uvažují o využití tohoto autentizačního mechanismu v bankomatech.

Rozpoznávání sítnice (retina recognition)
U této metody se též, co se týká spolehlivosti, dosahuje ještě vyšší přesnosti než v případě snímání otisků prstů. Pomocí zdroje světla s nízkou intenzitou se snímá obraz struktury sítnice v okolí slepé skvrny. Je však nutné, aby se uživatel díval požadovaným směrem. Rozpoznávání sítnice patří též mezi nejspolehlivější biometrické metody, avšak tato metoda může být nepřijatelná v zemích, kde je oko považováno za okno do duše.

Analýza DNA (DNA analysis)
Tato metoda je velice drahá a značně časově náročná a pro autentizaci v podstatě nepoužitelná. I kdyby se v budoucnu podařilo nějakým způsobem náročnost zpracování snížit na akceptovatelnou a použitelnou úroveň, stále zde bude masivnímu nasazení bránit nevýhoda vycházející z toho, že je poměrně snadné získat biologický materiál, který obsahuje DNA a to bez vědomí dané osoby. Možnost zneužití by pak byla ještě větší, než je tomu u ostatních biometrických metod.

Rozpoznávání hlasu (voice recognition)
Nejprve se vytvoří otisk hlasu tzv. voiceprint a proti tomu se pak následně porovnává hlas osoby, která se autentizuje. Problém však spočívá v tom, že v případě, kdy se daná osoba bude nacházet v rušném prostředí, budou muset být příslušné zvuky odfiltrovány. Je zřejmé, že zajistit stejné podmínky, může být velice problematické. Úspěšnost prosazení se této metody se zhoršuje i použitím různých typů mikrofonů s různou citlivostí, frekvencí a kvalitou. Dalším problémem je, že např. členové rodiny mohou mít velice podobný hlas. Kromě toho spousta lidí umí hlas jiné osoby velice věrně napodobit. Dalším problémem může být nachlazení, ztráta hlasu apod. Další problém spočívá v tom, že odpověď na otázku, kterou si uživatel zadal, může být odposlechnuta, uložena a následně přehrána. 

Analýza psaní na klávesnici (keystroke pattern recognition)
Výhodou tohoto řešení je, že není potřeba instalovat žádný další HW, neboť klávesnice je přítomna na každém zařízení. Princip této metody je založen především na dynamice psaní, tedy na rychlosti s jakou jsou tisknuty jednotlivé klávesy a jaká je délka stisku daných kláves. (Nejednou byla tato metoda použita i ke zjištění a odhalení hackera, kde pomohlo i to, že dělal stejné překlepy.) Je otázka, jak bude algoritmus, který tato metoda používá reagovat na změnu techniky psaní uživatele, např. pokud uživatel absolvuje kurz psaní na počítači a začne psát všemi deseti. 

Analýza rukou psaného podpisu (handwriting recognition)
Tato metoda obvykle vyžaduje instalaci digitálního pera a podložky. Vlastní vyhodnocování ručního podpisu využívá statické charakteristiky (velikost písmen, poměr mezi nimi, křížení, obloučky, sklon písma, uzavřené oblasti) a dynamické vyhodnocování, které ověřuje vlastní proces vytváření podpisu tj. dynamika podpisu (zrychlení a přítlak v určité fázi podpisu, délka trvání, počet tahů) proti databázi referenčních podpisů. Je možné, že do budoucna se bude psát přímo na dotykové displeje. 

Poznámka: Pro úplnost je třeba také dodat, že tento poslední faktor, že uživatel „něco umí“ se někdy také řadí mezi faktory, že uživatel „něco je“ a používá se např. k odlišení člověka od stroje.

A jaké jsou vaše zkušenosti s praktickým nasazením biometrických metod?


Související články:

  1. Autentizace: Jak vybrat vhodnou autentizační metodu?
  2. Autentizace
  3. Autentizace: řekni mi své heslo

Štítky: ,

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno) E-mail:(požadováno - nebude zobrazen) Web:

Text vaší reakce:

Vyhledávání

Štítky

Objednejte si

Řízení informačních rizik v praxi Vizualizace bezpečnostních standardů

Ozvěte se

Připravujeme

  • Vícevrstvá architektura: výhody a nevýhody
  • Autorizace: řízení přístupu
  • Chatty vs. chunky interface
  • Bezpečnostní politika
  • Autentizace: Politika účtů a hesel
  • Autentizace: obskurní autentizační metody
  • Autentizace: ekonomické aspekty
  • Proč CIO selhávají
  • Usability test
  • Rollback test
  • Vícefaktorová autentizace

Vzhled

Anketa

Jak se vám líbí nový vzhled webu?

Výsledky hlasování

Loading ... Loading ...

Odkazy