Biometryczna weryfikacja

W procedurach uwierzytelniania osób korzystających z sieci komputerowych coraz szersze zastosowanie mają metody biometryczne, dystansując karty identyfikacyjne i PINy. Czynnikami sprzyjającymi coraz powszechniejszemu stosowaniu tych metod są malejące koszty i wysoki stopień niezawodności metod biometrycznych. Czytniki linii papilarnych i skanery tęczówki oka pojawiły się już w sieciach przedsiębiorstw, a ich liczba stale rośnie. Wiele z tych zastosowań łączy metody biometryczne z kartami magnetycznymi lub czipowymi. Obszarów zastosowań techniki biometrycznej jest wiele: każda sytuacja, w której jest istotne potwierdzenie tożsamości osoby, jest odpowiednia do wykorzystania metod biometrycznych (transakcje bankowe, dostęp do informacji zastrzeżonych itp.).

Metody te stosuje się w procesach identyfikacji i weryfikacji. W skrócie można powiedzieć, że weryfikacja jest prostym sprawdzeniem, czy pobrana próbka cech biometrycznych jest taka sama jak wzorzec danej osoby przechowywany w bazie danych lub w karcie czipowej. Identyfikacja jest całkiem innym procesem. Polega ona na pobraniu próbki cech biometrycznych anonimowej osoby i przeszukaniu bazy danych w celu odnalezienia wzorca zgodnego z tą próbką oraz określeniu na tej podstawie tożsamości osoby. W znakomitej większości aplikacji stosuje się proces weryfikacji. Z natury rzeczy weryfikacja biometryczna jest bardzo efektywnym mechanizmem uwierzytelniania osób. Jest ona bezpieczniejsza niż hasło, które może być utracone, przechwycone lub ujawnione. Metody biometryczne nie są jednak panaceum na problemy bezpieczeństwa – dane można udostępnić osobom niepowołanym lub sfałszować informacje, do których ma się całkiem legalny dostęp.

Metody biometryczne opierają się na indywidualnych cechach człowieka. Do weryfikacji używane są zazwyczaj odciski palców, obraz tęczówki, geometria dłoni, głos itp. Techniki biometryczne opierają się na pomiarach różnego rodzaju cech – takich jak długość i szerokość kości palców czy obraz naczyń krwionośnych w oku albo linie papilarne – i następnie przechowywaniu wyniku tych pomiarów (w bazie danych lub na karcie czipowej). W procesie weryfikacji wynik aktualnego pomiaru jest porównywany z zapamiętanym wzorcem. Dostęp do sieci jest gwarantowany lub blokowany na podstawie wyników porównania z wzorcem przypisanym danej osobie.

Problemy implementacji metod biometrycznych w przedsiębiorstwach

Pojawienie się technik biometrycznych rodzi szereg nowych problemów związanych z ich wdrażaniem. Podstawowym problemem jest przechowywanie wzorców cech biometrycznych. Mogą one być przechowywane w osobistych kartach czipowych i wprowadzane do systemu wraz z pobraną próbką biometryczną w celu porównania – jest to wygodne w przypadku bardzo dużej liczby osób podlegających takiemu uwierzytelnianiu. Alternatywą jest przechowywanie wzorców w bazie danych systemu i pobieranie ich z niej do porównania na podstawie identyfikatora osoby uwierzytelnianej. W przypadku pierwszym wzorce tworzone są poza systemem, natomiast przypadek drugi wymaga stworzenia systemu pobierania próbek w celu przechowywania ich jako wzorców w centralnej bazie danych. Drugie rozwiązanie rodzi kolejne problemy: bezpieczeństwa biometrycznej bazy danych i zarządzania nią. Problemem najważniejszym jest jednak sprawa innej natury: czy uwierzytelnianie na podstawie cech osobistych zostanie zaakceptowane przez pracowników albo zbojkotowane z obawy o naruszenie prawa do prywatności.

Problem ochrony prywatności

Chociaż metody biometryczne dają możliwość lepszej ochrony przed nieupoważnioną penetracją sieci niż hasła, to jednak wnoszą one swój własny zestaw zagrożeń. Pierwsze z nich to baza danych ze zgromadzonymi w niej odciskami palców czy innymi cechami biometrycznymi. Możliwość dostępu do takiej bazy może skłaniać zarządy przedsiębiorstw do prowadzenia własnych dochodzeń w sprawach kradzieży czy innych nadużyć w przedsiębiorstwach, a wyniki tych dochodzeń mogą być wykorzystywane do własnych celów (na przykład szantażu). Również policja może zażądać porównania czyichś odcisków palców ze znajdującymi się w bazie danych.

Pojawiają się też obawy, że instytucje rządowe lub prywatne mogą monitorować zachowania obywateli (pracowników), modele zakupów lub przemieszczanie osób. Jednak kilka cech technologii biometrycznych ogranicza tego typu nadużycia. Stosowane techniki weryfikacji biometrycznej nie opierają się na przechowywaniu obrazów linii papilarnych, wzorców tęczówki czy próbek głosu. Zamiast tego przechowywane są wyróżniające się cechy tych fizjologicznych charakterystyk w postaci małych wzorców – w skali 1:100 czy 1:500 rozmiaru oryginalnych danych. Nie jest możliwe odtworzenie oryginalnego odcisku palca z wzorca linii papilarnych przechowywanych w bazie danych, ponieważ wzorzec ten oparty jest na zmiennej liczbie wyodrębnionych cech.

Ponadto urządzenia biometryczne działają w czasie rzeczywistym. Ogranicza to możliwość przekazywania utajnionych kopii do nielegalnych systemów biometrycznych, a transmisje danych biometrycznych pomiędzy urządzeniem a komputerem są szyfrowane. Szyfrowany jest także wzorzec przechowywany w bazie danych. Takie zabezpieczenia stosowane są we wszystkie podstawowych technikach biometrycznych, obejmujących linie papilarne, wizerunek twarzy, geometrię rąk, tęczówkę oka i rozpoznawanie głosu lub podpisu.

Istnieją dwie podstawowe kategorie użytkowników metod biometrycznych:

• sektor publiczny (instytucje rządowe i samorządowe)
• prywatny.

Metody biometryczne używane w sektorze publicznym, w takich systemach jak na przykład wydawanie uprawnień czy praw jazdy, są projektowane w sposób zapobiegający nadużyciom. Takie programy, można się spodziewać, z definicji ograniczają możliwość współużytkowania danych biometrycznych przez różne agencje rządowe. Sprawą istotną są więc odpowiednie uregulowania prawne dotyczące możliwości przekazywania danych osobowych.

W sektorze prywatnym poddanie się metodom biometrycznym musi być dobrowolne. Tak jak w sektorze publicznym informacje biometryczne nie powinny być udostępniane innym firmom lub przenoszone do innych baz danych, co też jest kwestią odpowiednich uregulowań prawnych.

Stosowanie metod biometrycznych i tworzenie biometrycznych baz danych stwarzają problem naruszania prywatności. Banki eksperymentują ze skanowaniem tęczówki do identyfikowania klientów bankomatów, a w praktyce systemy takie mogą opierać się na olbrzymich bazach danych dostępnych w systemach bankowych. Nie ulega wątpliwości, że są konieczne uregulowania prawne ograniczające zbieranie i gromadzenie danych biometrycznych do przypadków, kiedy jest to bezwzględnie konieczne. Prawo to musi zapewnić, że informacje te nie będą gromadzone bez wiedzy i przyzwolenia zainteresowanych i nie będą mogły być użyte do innych celów, również bez uprzedniej zgody zainteresowanej osoby.