Biometria - (nie)bezpieczeństwo

Biometryczne systemy zabezpieczeń
Kontrola dostępu do pomieszczeń (KD)
Rejestracja czasu pracy (RCP)
Nowoczesne techniki zabezpieczeń
Nieskuteczne systemy kontroli dostępu
Szyfrowanie, deszyfracja, podrabianie odcisku palca
Bezpieczeństo systemów kontroli dostępu
Rozpoznawanie twarzy

Zalety biometrii:

  • wygoda użytkowania, brak kluczy
  • można się znajomym pochwalić
  • niski poziom wiedzy włamywaczy o tego typu systemach (jeśli nie chodzi o ochronę znaczącej wartości) -lecz oczywiście stale rośnie

Wady biometrii:

  • zbyt zawyżone ceny w stosunku do funkcjonalności*
  • przeważnie słaba elektronika**
  • relatywnie niski poziom bezpieczeństwa w stosunku do tradycyjnych technik***

* funkcjonalność jako główny, pierwszy, czy autonomiczny system zabezpieczenia
** urządzenia autonomiczne z wbudowanymi modułami wykonawczymi i inne (zawieszanie się układów elektronicznych często pozwala na nieautoryzowany, nierejestrowany dostęp)

*** pamiętane hasło, karta RFID (z wykluczeniem zwykłej UNIQUE 125 kHz, choć bezpieczeństwo pozostałych zostało przez naukowców podważone), zamek na poziomie rozwiązań typu GERDA

Niebezpieczne karty kredytowe RFID: https://www.engadget.com/2006/10/23/researchers-hack-rfid-credit-cards-big-surprise/

Biometria - czy warto?

Generalnie Systemy Biometryczne (Biometria, biometryka jako forma Systemów Zabezpieczenia Technicznego) nie są niczym rewelacyjnym w porównaniu do tradycyjnych metod zabezpieczeń, choć na pewno ciekawym i innowacyjnym. Dlaczego? Wystarczy odpowiedzieć sobie na parę prostych pytań: (zakładamy, że chcemy Systemem Biometrycznym zastąpić tradycyjne zamki na klucz, czytniki kart, elektro-mechaniczne zasuwy uruchamiane kluczem czy kartą elektroniczną**** itp.)
  • Co się stanie, jeśli nasze palce ulegną zniszczeniu (podrapanie, zabrudzenie)? -niektóre czytniki mają podwyższony poziom odczytu mniej czytelnych linii papilarnych, lecz nie można liczyć na cud...w grę wchodzą drobne "zamazania" obrazu linii papilarnych –jeśli wykonujesz pracę fizyczną, nawet sporadycznie, możesz mieć częste problemy z dostępem
  • Czy ktoś będzie chciał nam odciąć palec aby dostać się do chronionego pomieszczenia? -to zależy od tego co może napastnik chcieć uzyskać/ukraść. Wykrywanie żywej tkanki generalnie się sprawdza (nie w sensorach optycznych) -lecz należy to traktować z przymrużeniem oka (a czy napastnik będzie wiedział, że nic mu nie da odcięcie naszego palca?) -wykonanie sztucznego palca i imitacji ludzkiej skóry nie jest wcale trudne i nie jest nawet bardzo kosztowne.
  • Czy chcemy bezpieczeństwa, wygody, czy mieć czym się pochwalić -pierwsze raczej odpada, względnie drugie no i w 100% trzecia opcja.

Jak oszukać systemy biometryczne:

  • 99,99% (margines dla urządzeń jeszcze nie znanych) urządzeń opartych na czytnikach optycznych rozpoznaje sztuczny palec wykonany ze zwykłego sylikonu (koszt ok 10zł jeśli chcieli byśmy wykonać kopię własnego palca). Jeśli chcielibyśmy podrobić czyjś palec to warto było by mieć znajomego dentystę, który stworzy "odlew" linii elektronicznym nożem laserowym na podstawie np. odpowiednio przygotowanego zdjęcia odcisku palca -które wszędzie zostawiamy...)
  • Sensory termiczne to nawet 100% pewności, że zadziała metoda opisana powyżej
  • Sensory radiowe czy półprzewodnikowe (kondensatory) są znacznie bezpieczniejsze, ale niestety producenci sprzętu z tymi właśnie sensorami często „wkładają” je w słabą, zawodną, podatną na przepięcia czy manipulację elektronikę. Sensor radiowy raczej bezbłędnie rozpoznaje żywą tkankę, ale wykonanie „podróbki” to tylko kwestia tego, co potencjalny „łamacz” systemu chciałby osiągnąć czy zyskać.

Urządzenia Kontroli Dostępu w oparciu o linie papilarne są rzeczą świeżą, nie przetestowaną w sposób zapewniający produkcję niezawodnych układów, a te układy, które są już dłużej na rynku i zostały przetestowane przez użytkowników są na tyle "stare", że nie stanowią ani systemu bezpiecznego, ani wygodnego.

Biometria może nie jest dobrym rozwiązaniem jeśli chodzi o zabezpieczenie czegoś wartościowego, sprawdza za to się rewelacyjni jako system wspomagający identyfikację -porównywanie pobranego (sczytanego, skanowanego) wzorca z bazą danych zawierające wzorce dla systemu rozpoznawalne – szczególnie daktyloskopia zyskuje dużo dzięki technologią biometrycznym.

W czym biometria może się sprawdzić?

Wspomaganie identyfikacji personalnej, daktyloskopia -proces identyfikacji powinien być nadzorowany, jeśli chcemy wyeliminować oszustwa.

RCP - rejestracja czasu pracy. Trzeba zakładać, że przy większej liczbie użytkowników systemu (powyżej ok 50 osób) będą problemy z czasem identyfikacji i statystycznie rzecz biorąc - z czytelnością (nawet do 30% osób może być "mało czytelna" bądź w ogóle nie być rozpoznawana przez system nawet po udanej rejestracji wzorca biometrycznego - szczególnie pracownicy fizyczni lub starsi).

KD - kontrola dostępu ale tylko i wyłącznie jako system uzupełniający, wewnętrzny, absolutnie nie może to być pierwszy (i jak się niestety często zdarza jedyny) system zabezpieczenia.

Ochrona danych informatycznych - wzorzec biometryczny jest wykorzystywany jako zwykłe hasło, lecz jest on wielokrotnie dłuższy od przeciętnego ciągu znaków, który zapamiętujemy jako PIN czy hasło. Szyfrowanie następnie odbywa się za pomocą dobrze znanych lecz jednak wciąż silnych algorytmów typu AES czy DES. Złamanie takiego biometrycznego hasła to oczywiście tylko i wyłącznie kwestia mocy obliczeniowej komputera i czasu (tak jak w przypadku zwykłego hasła) – to co jeszcze rok temu trwało miesiące dziś może być wykonane w ciągu paru godzin czy nawet paru minut.

**** karty typu UNIQUE 125kHz nie są brane w ogóle pod uwagę jako forma zabezpieczenia, są po prostu kopiowalne.