;

Zkuste trojfaktorovou autentizaci

15. 4. 2020
Doba čtení: 5 minut

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Biometrie umožňuje verifikovat identitu podle jedinečných fyzických znaků. Přístupovým klíčem je samotný člověk, přesněji jeho jedinečné a opakovatelně identifikovatelné fyziologické vlastnosti, jako například otisk prstu, rysy obličeje, tvar očního pozadí, DNA a podobně.

Výhodami biometrické autentizace osob jsou univerzálnost, jedinečnost, stálost, bezpečnost, nemožnost přenosu na jinou osobu a hlavně jednoduchost používání. Univerzálnost v praxi znamená, že příslušný biometrický prvek, například otisk prstu, existuje až na několik málo výjimek způsobených poleptáním nebo chorobami kůže u všech lidí.

Biometrické prvky, jako jsou otisky prstů, trojrozměrné rysy obličeje a podobně, bezpečně a s naprostou jistotou odlišují jednoho konkrétního člověka od všech ostatních. Biometrické rysy osoby nelze přenést na jinou osobu, než je tomu v případě ID karty, hesla nebo PIN. Navíc většinu biometrických prvků si člověk zachovává prakticky po celý život.

Biometrická autentifikace je díky moderním technologiím rychlá, spolehlivá a z hlediska uživatele jednoduchá a praktická. Na rozdíl od jiných autentifikačních prvků má biometrické rysy člověk stále s sebou, nemůže je nikde zapomenout ani ztratit. Při zavádění biometrické autentizace se obě strany, tedy poskytovatel služby i klient, nejvíce zajímají o její spolehlivost a odolnost vůči běžným metodám překonání, například použitím skenovaného otisku, fotografie obličeje a podobně.

Proces biometrické autentifikace začíná konfigurací čili přidáním oprávněné osoby do systému. Během konfigurace se příslušný biometrický parametr několikrát naskenuje. Z takto získaných údajů se pomocí sofistikovaných algoritmů vyberou charakteristické prvky a vytvoří se takzvaná šablona, která se zašifrovaná v elektronické podobě uloží na server firmy, případně do databáze poskytovatele cloudové služby. Při každém přístupu se pak porovnávají aktuální pořízené údaje s údaji referenčními, a pokud se dosáhne požadovaná shoda, přístup bude povolen.

Aktuálně se věnujeme autentizaci ve firemních prostředích, takže přístup do klient­ských zařízení, jako jsou notebooky, tablety či smartphony, neřešíme. Avšak popis konfigurace zmíněný v předchozí stati je stejný i u smartphonů, takže poslouží jako dobrá vysvětlující analogie. Při konfiguraci přístupu pomocí snímače otisků prstů na novém smartphonu postupujete podle názorných pokynů a mnohokrát přikládáte prst na snímač, aby se naskenovaly i okraje prstu.

To proto, aby autentifikační systém dokázal spolehlivě rozpoznat otisk, i když prst přiložíte na snímač šikmo, nebo jen okrajem. Údaje získané při konfiguraci se vzhledem ke specifikům použití smartphonu i v místech, kde není možnost datového připojení, ukládají v zašifrované podobě přímo v úložném prostoru operačního systému.

Biometrická autentifikace má dvě duál­ní funkce: potvrdit, že osoba, která se identifikuje, je oprávněná osoba, a dokázat, že neoprávněná osoba není ta, za niž se vydává. Spolehlivost autentifikačních metod se vyjadřuje pomocí dvou parametrů:

  • FAR (False Accept Rate) vyjadřuje pravděpodobnost chybné akceptace, například autentifikace s využitím modelu prstu s papilárními liniemi, fotografie či 3D výtisku obličeje a podobně.
  • FRR (False Reject Rate) je pravděpodobnost chybného zamítnutí, například pokud se na zařízení s méně sofistikovanou technologií snímání bio­metrických prvků nerozpozná otisk prstu, kdy oprávněný uživatel má nakrémovanou ruku, případně drobné poranění na prstu.

Otisky prstů

Snímání otisků prstů, ať už při vytváření biometrického vzoru nebo při autentizaci, se dělá buď pomocí kapacitního senzoru, ultrazvukového, či optického snímače. Snímání je založené na změnách sledovaného fyzikálního parametru v místech, kde se papilární linie otisku prstu dotýkají snímače. Otisk prstu je grafickou reprezentací papilárních linií. Ty se formují během embryonálního vývoje a už se nemění.

Výška papilárních linií je v rozmezí 0,1–0,4 mm a šířka 0,2–0,5 mm. Z uvedeného vyplývá, že zažitý pojem snímání otisků je technicky exaktně správný forenzní, kde se skutečně snímají otisky, které zanechá mastnota papilárních linií na hladkých površích. Snímače nesnímají otisky, ale vzory papilárních linií.

Snímání otisků je nejrozšířenější metodou i v klientských zařízeních. I když některé špičkové smartphony, které mají snímače otisků pod displejem, využívají ultrazvukový princip měřící odrazy od strukturovaného povrchu papilárních linií přiloženého prstu, většina smartphonů využívá snímač na kapacitním principu.

Pod ploškou snímače je umístěna matice miniaturních plošek, které tvoří jednu elektrodu kondenzátorů. Druhé elektrody tvoří ploška, na níž je prst. Tam, kde jsou na prstu papilární linie, mají tyto miniaturní kondenzátory vyšší kapacitu, protože výčnělky linie jsou blíže k čidlu než rýhy mezi liniemi. Vrchní vrstvu pokožky totiž tvoří odumřelé buňky, které jsou nevodivé. Pod touto vrstvou je vodivá vrstva tekutiny obsahující soli, která prostorově kopíruje profil vnější vrstvy pokožky. Kapacitní senzor nereaguje na vrchní vrstvu pokožky ani na nevodivé nečistoty.

Vyhodnocení musí být značně sofistikované, protože do hry vstupuje mnoho faktorů, například odlišná pozice snímaného prstu na snímači, vliv kosmetických krémů, drobných poranění a podobně. Spolehlivost vyhodnocení se pohybuje na úrovni 99,93 procenta. Již zmiňované parametry chybné akceptace a zamítnutí jsou: FAR 0,000–0,00001% a FRR: <1,0%.

Při snímání otisků je zapotřebí bezprostřední kontakt a spolupráce identifikované osoby, takže oblast použití je poměrně ostře vymezena. Sebrání vzorku otisku je ve vnímání lidí příliš spojené s identifikací pachatelů. Lidé nemají problém identifikovat se takto vůči vlastnímu smartphonu či notebooku, ale předat své otisky třetí straně, to už je jiný šálek kávy.

Otisk dlaně

Tuto technologii biometrické identifikace podle obrazu krevního řečiště využívá například Fujitsu pod komerčním označením Palm Secure. Autorizace se dělá přiložením dlaně nad speciální skener. Oproti jiným biometrickým metodám je Palm Secure mnohem bezpečnější, protože umí rozeznat živou ruku, takže se nedá oklamat žádnou maketou ani mrtvým orgánem.

Autentifikace na principu snímání krevního řečiště v dlani je velmi přesná a spolehlivá, nakolik je to jeden z bio­metrických obrazů neměnných v průběhu života. Výhodou na rozdíl od otisků prstu je bezproblémová identifikace i v případě změn jako například zranění či znečištění. Další výhodou je, že dlaň stačí ke skeneru přiblížit, netřeba ji přiložit, což je důležité v prostředí, kde mají pracovníci zašpiněné ruce.

Obličejová biometrie

Je to historicky nejstarší způsob autentizace. Kontrolní orgán se podívá na fotografii ve vašem dokladu a následně na vaši tvář. Na rozpoznávání se využíval a využívá dosud nejvýkonnější superpočítač – lidský mozek. Lidská tvář je prostorově velmi komplexní objekt. Má několik bodů, které jsou pro každého jedince unikátní. Tyto body se mohou využít k biometrické identifikaci.

Měří a vyhodnocuje se několik desítek bodů na obličeji. Měří se vzdálenost očí, lícních kostí, tloušťka rtů a další vzdálenosti charakteristických bodů. Jedinečná je kombinace klíčových parametrů, které se zjišťují při vytváření takzvané šablony, nebo otisku obličeje, jako jsou vzdálenost mezi očima, vzdálenost mezi nosem a oběma očima, vzdálenosti související s ústy a její polohou a podobně. Tyto parametry se nemění, ani když člověk například přibere či zhubne.

Na rozdíl od snímání otisků při identifikaci metodou obličejové biometrie nemusí identifikovaná osoba spolupracovat. Stačí, aby ho pořídila kamera při vstupu do chráněného prostoru.

Sken oční duhovky nebo sítnice

Tato metoda vešla do povědomí široké veřejnosti, když ji začali používat některé špičkové smartphony. Skenování oční duhovky většinou využívá infračervené světlo, takže funguje i při nízké úrovni okolního osvětlení. Konfigurace, čili první snímání duhovky majitele, vyžaduje trochu cviku. Třeba najít správnou vzdálenost a úhel.

Pomůckou je umístění obrazu očí do vyznačených kruhů na monitoru identifikačního zařízení nebo smartphonu. Snímání duhovky funguje také s brýlemi a většinou kontaktních čoček a nemělo by se dát oklamat snímáním obrázku či prostorového modelu oka. Spolehlivost této metody vyjadřují koeficienty FAR: 0,00078%, FRR: 0,00066%. Netřeba zaměňovat sken duhovky se skenem sítnice. Při skenu sítnice se využívá skenovací laser, který je namířen přímo do oka. Praktické nasazení této metody je proto velmi omezené.

Hlasová biometrie

Identifikace na bázi rozpoznávání hlasu patří do kategorie behaviorálních neboli zvykových vlastností člověka. Tyto typy autentifikace, kam patří i rozpoznávání podpisu, se obecně považuje za méně spolehlivé, než autentifikace na základě fyziologických vlastností. Proto se tento způsob využívá jako doplňkový.

Výhodou je bezprostřednost, stačí zavolat na zákaznické centrum a technologie integrované do CRM systému se snaží na základě dříve zaznamenaného vzorku určit, zda osoba, která mluví, je totožná s osobou, která nahrála vzorek. Autentifikace se realizuje automaticky při běžném rozhovoru s operátorem služby, takže uživatel nečte žádnou konkrétní frázi. To účinně zabraňuje útoku pomocí použití nahrávky hlasu.

Přesto je hlasová biometrie v porovnání s jinými metodami zranitelnější, proto se používá k primární identifikaci jen pro méně důležité úkony.

Digitalizace vlastnoručního podpisu

Totožnostní osoba, například zákazník používá buď podpisový tablet, případně smartphone, či klasický tablet s dotykovým displejem. Podpisový tablet připojený ke koncové stanici dokáže kromě vizuální reprezentace podpisu zachytit i biometrické parametry, pomocí kterých je možné učinit spolehlivou autentizaci osob. Biometrické parametry jako přítlak perem na tablet, rychlost a rytmus psaní, sklon a pohyby pera ve vzduchu jsou pro danou osobu unikátní, podobně jako otisk prstu.

Nevýhody biometrie a prevence

Biometrie má na rozdíl od jiných způsobů autentifikace, ať už pomocí hesla nebo elektronických zabezpečovacích prvků typu čipová karta či přívěšek, jedno specifikum, které jsme dosud deklarovali i výhodu. Je jí paradoxně neměnnost charakteristických rysů. Jinak řečeno, po uživatelích můžete požadovat, aby si ve stanovených časových intervalech měnili hesla, můžete je k tomu nastavením bezpečnostních politik i donutit.

Také jelikož čipové karty a přívěšky jsou levné, občas je můžete všem zaměstnancům preventivně vyměnit. Nelze však zaměstnance požádat ani přinutit, aby si změnil své charakteristické biometrické rysy. Je to paradoxní, ale podobně jako každá funkcionalita IT systému i biometrie, která se ve stále širším měřítku zavádí v různých sektorech na boj proti vznikajícím hrozbám, může sama rozšiřovat pomyslnou plochu IT systému vystavenou útokům.

Biometrická autentifikace, má-li být sofistikovaná, vyžaduje ukládání velkých objemů dat o jednotlivci, jeho aktivitě a chování. Údaje o charakteristikách hlasu, rysech obličeje, tedy biometrickém podpisu, vyžadují zachytit, zpracovat hodně detailních podrobností, například o gestech, pohybech a chování. Tyto údaje se ukládají centrálně, takže kyberzločinci se zaměří na novou generaci osobních údajů.

bitcoin_skoleni

Nebudou se už omezovat na krádež čísla kreditní karty oběti, ale na krádež její biometrické identity, tedy na otisky prstů, identifikaci hlasu a skenování sítnice. Jak tomu předejít? Většina expertů se dnes shodne na tom, že trojfaktorová autentifikace: heslo (to, co vím), token (to, co mám) a biometrie (to, co jsem) je nejlepší dostupná možnost a dvoufaktorová autentizace je nezbytnost.

Autor je redaktor PC Revue.