Биометрична идентификация [презентация]

Виждали сме „по филмите“ как врати се отварят само след прочитане на пръстов отпечатък или сканиране на ирис. И там изглежда сигурно и футуристично. Всъщност не е нито едното от двете. Не е футуристично, защото отдавна скенери за отпечатъци се използват за достъп в някои фирми и дори администрации, а смартфоните позволяват отключване с пръстов отпечатък, а все повече и след сканиране на ириса. Паспортите ни пък от 5-6 години съдържат пръстовите ни отпечатъци, за да може при гранична проверка, проверяващият да сравни (автоматично) нашите отпечатъци с тези, записани в паспорта, за да е сигурно, че това наистина сме ние и че паспортът е бил издаден именно на нас.

А не е сигурно, защото проблемите с тези биометрични подходи за идентификация са доста. Всъщност толкова големи, че преди 10-тина години японски учен реконструира пръстов отпечатък, използвайки желирани бонбони и успява да заблуди скенери, а Брус Шнайер (известен експерт по информационна сигурност) коментира, че това е достатъчно всички доставчици на технология за идентификация с пръстови отпечатъци трябва да си събират нещата и да си ходят.

Проблемите в това да използваш отпечатък или друга биометрична характеристика с в това, че не подлежат на промяна и че не са тайни. Веднъж някой да получи достъп до отпечатъка (а бази данни с отпечатъци изтичат постоянно), може да се представя навсякъде за нас. А след като смартфоните се отключват по този начин, то включително интернет банкирането ни е изложено на риск – използваме телефона си често за „2-ри фактор“ при вход в различни системи.

Паспортите ни също съдържат отпечатъци, които „уж“ са защитени от безконтролно четене и само гранични терминали могат да ги четат. Това на практика обаче не е съвсем така – има доста потенциални проблеми с протоколите, стандартизирани от ICAO. (Поради тази неяснота относно сигурността на стандарта, за новите лични карти предложихме биометрични данни да се записват само при изрично желание от страна на заявителя, макар някои държави, в т.ч. Германия, да прилагат ICAO стандарта и за личните си карти)

За всичко това направих 40-минутна презентация на ВарнаКонф:

Ето и слайдовете:

Рискове има с всяка технология и това не значи, че не трябва да я използваме. Но когато рисковете са значително по-големи от ползите, или трябва да измислим начини да използваме технологията по различен начин, или от нея няма смисъл.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *