Zabezpieczenie dostępu do danych samym odciskiem palca ułatwia dostęp do nich. Nie tylko właścicielowi ale i złodziejowi.
Skanery odcisków palca, tęczówki oka czy kształtu twarzy są efektownym sposobem zabezpieczenia danych. Dużo gorzej wygląda ich efektywność. Stosowane powszechnie czytniki wyjątkowo łatwo oszukać, z czego mało kto zdaje sobie sprawę. Systemy biometryczne wyglądają dobrze na filmach, ale w rzeczywistości ich stosowanie można porównać do rozrzucania kartek z zapisanym hasłem.
Zwycięstwo marketingu
Hasła reklamowe producentów systemów biometrycznych (badających cechy ciała – np. linie papilarne albo głos) ukazują je jako zabezpieczenie lepsze niż hasła, tokeny i karty chipowe. Sprzedawcy twierdzą, że autoryzacja przy pomocy odcisku palca ma wyeliminować sytuacje w których zapomnimy hasła lub zgubimy token. Palec zwykle mamy przy sobie i zauważymy, jeśli ktoś go ukradnie.
W teorii może to być przekonujące, ale dwie cechy stawiają znak zapytania przy całej idei biometrii. Jedna z nich to łatwość pozyskania odcisków linii papilarnych. Druga to ich niezmienność.
Nie rozrzucaj swoich haseł
Nieustannie zostawiamy własne odciski palców na dotykanych przedmiotach, a twarz i oko mogą zostać sfotografowane. Można to porównać do sytuacji, w której wymyślamy skomplikowane hasło, zapisujemy je na tysiącach kartek i chowamy do kieszeni. Niestety kieszeń jest dziurawa, a kartki co chwilę z niej wypadają. Były ich tysiące, więc nie zauważymy, że część gdzieś zginęła. Ale przecież nasze hasło jest tak skomplikowane, że musieliśmy je zapisać, więc czujemy się bezpieczni.
Tak samo jest z odciskami palca. Przez całe życie zostawiamy je w tysiącach miejsc, ale nie zwracamy na to uwagi, bo palec cały czas jest na miejscu. O tym, jak łatwo pozyskać zdjęcie linii papilarnych przekonał się niemiecki federalny minister spraw wewnętrznych, któremu w ramach protestu przed wprowadzaniem paszportów biometrycznych przedstawiono zdjęcie jego własnego odcisku palca. Mogłoby się wydawać, że samo zdjęcie do niczego nie służy. Niestety, jest inaczej. Pozwala ono na oszukanie 90% dostępnych na rynku skanerów, również tych stosowanych na granicach i lotniskach – pokazują testy przeprowadzone przez Stephanie C. Schucker z Clarkson University.
Jak łatwe jest oszukanie nawet drogich skanerów można przekonać się po obejrzeniu program MythBusters emitowanego na Discovery Channel. Warto zaczekać do końcowej sceny, w której czytnik zostaje oszukany… nie, nie zdradzimy w jaki sposób. Trzeba samemu zobaczyć jakie to proste.
Palca nie zmienisz
Kolejnym sloganem mającym przemawiać na korzyść systemów biometrycznych jest to, że cechy ciała nie zmieniają się. Według producentów możemy dzięki temu korzystać z nich przez całe życie. Wbrew pozorom jest to prosta droga do zmniejszenia ogólnego poziomu bezpieczeństwa.
Zaleca się, aby hasło było zmieniane co kilka lub kilkanaście tygodni. Ma to zapobiec sytuacjom, w których wykradziony klucz posłuży włamywaczowi przez dłuższy czas. Odciski palców zmieniają się dużo wolniej, a tęczówka wcale (od momentu w którym ostatecznie się wykształci). Oznacza to, że uzyskując skan linii papilarnych ofiary teraz będziemy mieli dostęp do chronionych w ten sposób danych np. za 15 lat. Jeśli biometria stanie się jeszcze bardziej popularna, a systemy równie mało skuteczne jak dziś może mieć to katastrofalne skutki. Może okazać się, że przestępca będzie korzystał z ukradzionych danych przez wiele lat, a właściciel nie będzie mógł nic z tym zrobić.
Jak to działa?
Większość czytników to specjalizowane do pomiaru jednej cechy skanery. Te najtańsze, a co za tym idzie stosowane masowo, nie wykonują żadnej weryfikacji skanowanego obrazu. Oznacza to, że można je oszukać zwykłym zdjęciem. W sposób podobny jak przedstawiony w powyższym materiale filmowym można skopiować twarz lub tęczówkę ofiary.
Bezpieczeństwo systemów biometrycznych stosowanych przez wojsko i instytucje o kluczowym znaczeniu nie wynika z zastosowanej techniki, ale z małej dostępności i dużego kosztu stosowanych urządzeń. Atakujący nie wie w jakie zabezpieczenia wyposażono skaner i nie może przetestować go przed atakiem. Zastosowane sposoby pomiaru nie muszą być specjalnie wymyślne, ale wystarczy, że nie będą powszechnie znane. Nie tylko my korzystamy z tych metod, ale my wiemy, jak je połączyć – powiedział nieoficjalnie pracownik jednej z firm sprzedających profesjonalne zabezpieczenia biometryczne.
Równie mało skuteczne jest rozpoznawanie twarzy. Kraje, które wydały na systemy miliony nie mogą poradzić sobie z tak prostym problemem jak uśmiech. Twarze porównywane są z bazą fotografii pochodzącą z paszportów i praw jazdy. Na zdjęciach zwykle jesteśmy uśmiechnięci, podczas gdy w miejscach publicznych mamy zwykły wyraz twarzy. Obecne systemy nie są w stanie poradzić sobie nawet z tym – uśmiech zbyt mocno zmienia kształt twarz. Aby temu zapobiec wprowadza się zakazy uśmiechania na zdjęciach używanych w dokumentach, co jest tylko obchodzeniem problemu.
Stosowane powszechnie systemy nie są lepsze. Kosztująca 70 zł myszka z czytnikiem linii papilarnych nie może zawierać zbyt skomplikowanej elektroniki – jest ze tania na umieszczenie skanera wykorzystującego np. ultradźwięki. Mimo to producenci podają, że skuteczność czytnika znacząco przekracza 99%. Niestety nie ma żadnego standardu badań, więc liczba ta nie znaczy dosłownie nic.
Zabezpieczenia biometryczne nigdy nie powinny być stosowane jako jedyne zabezpieczenie. „Ochrona” dostępu do komputera odciskiem palca lub zdjęciem twarzy nie może być co najwyżej drugim zabezpieczenie (np. hasło i jednocześnie skanowanie tęczówki), ale nigdy nie należy ich stosować samodzielnie.
Mimo wszystko biometrii nie należy całkowicie przekreślać. Może to być doskonały system ułatwiający, ale nie zabezpieczający, dostęp do zasobów.
