A biometrikus azonosítás különböző fajtáinak működése egyaránt azon alapul, hogy a rendszer az emberi szervezet vagy viselkedés valamely egyedi sajátosságáról mintát vesz, azt digitális adattá konvertálja és adatbázisban tárolja, majd az aktuálisan levett mintát összeveti az ebben az adatbázisban tárolt mintákkal. A hivatalos definíció szerint a biometria az alapján azonosít, ami az ember maga, nem pedig az alapján, amit tud (kód, jelszó), vagy amije van (kártya, távirányító). A biometrikus azonosításhoz soroljuk arcképünk fotóját vagy aláírásunkat, melyekkel nap mint nap bizonyítjuk, hogy azonosak vagyunk saját magunkkal. A biometrikus beléptető rendszer előnye, hogy ténylegesen az adott személyt azonosítja és nem olyan közvetett jellemzőket vizsgál, mint amilyen a PIN kód vagy a beléptető kártya. Ez utóbbiak megfejtése vagy eltulajdonítása esetén már valójában nem azt a személyt fogja azonosítani, akihez eredetileg hozzárendelték.
Mi szükséges ahhoz, hogy az emberi szervezet vagy viselkedés bizonyos tulajdonsága alkalmas legyen a biometrikus azonosításra?
- egyediség (mindenkinek van, de különbözik másokétól)
- permanencia (a korral, betegséggel járó változások során nem változik)
- mérhetőség (adattá konvertálható)
- gyors azonosíthatóság (elvárt teljesítmény)
- elfogadhatóság (a mintavételt ne utasítsák el pl. higiéniai okból)
- megbízhatóság (hamisítás, kikerülés elkerülésére)
A biometriai azonosítás során használnak fizikai jellemzőket: arc-, hang-, írisz-, retina-, kéz-, ujjlenyomat-, hajszálér azonosítást és DNS elemzést, valamint azonosíthatnak viselkedésbeli jellemzők pl. aláírás, gépelési stílus, járás, testtartás vagy gesztusok alapján. Ezek közül a felismerési módok közül néhányat már évtizedek óta alkalmaznak a gyakorlatban is, másokat csak elvétve, és vannak rövid múltra visszatekintő módszerek: fülazonosítás, arcthermogram (hőkép az arcról), melyekről az Egyéb azonosítás almenüben olvashat.
Honlapunkon a fizikai jellemzőkön alapuló biometrikus módszerekkel, elsősorban a biometrikus beléptető rendszerekkel foglalkozunk. Ebben a bevezetőben általános tudnivalókat olvashat a biometriáról, aloldalainkon pedig az egyes biometrikus azonosítás-fajták jellemzőit részletesebben is bemutatjuk.
A biometriás azonosítási metódus 4 lépése
1. Mintavétel az adatbázishoz: ujjlenyomat, kéz, tenyér, hang, stb. beolvasása mindenkiről, aki az azonosítási rendszerben érintett lesz.
2. Adatbázis létrehozása: a fiziológiás jellemzőkről beolvasott mintákat, illetve az azokból készült bináris kódot nevesítve, személyhez rögzítve eltárolja a rendszer.
3. Felhasználói mintavétel: a rendszer beolvassa az aktuális mintát az azonosítandó személyről, és ezt kódolja, ha szükséges.
4. Ellenőrzés vagy azonosítás: a beolvasott aktuális mintát a szoftver összeveti az adatbázisban rögzített adatokkal.
Ellenőrzés vagy azonosítás? Mi a különbség?
Az ellenőrzés, (melyet más szóval hitelesítésnek vagy az azonosság megerősítésének neveznek) egy 1:1 megfeleltetés, amely azt a célt szolgálja, hogy megállapítsa az azonosság érvényességét. Vagyis: ismert a személy azonossága, de a hozzá tartozó adatokat ellenőrizni kell. A rendszer összehasonlítja az aktuális felvétel mintáját egy ellenőrző mintával (mint például határátlépésnél az útlevél chip-jén tárolt biometrikus adatokat összevetik a tulajdonos áthaladáskor rögzített adataival: ellenőrzik, hogy az útlevél és tulajdonosa összetartoznak-e vagy sem).
Az azonosítás, melyet felismerésnek is neveznek egy 1:n megfeleltetés, és ez azt jelenti, hogy a személy biometriai jellemzőit összevetik egy meglévő adatbázis minden elemével. Tehát nem ismerjük a személy azonosságát, ezért adatait átfuttatjuk olyan adatbázisokban, amelyekben megtalálható lehet (például egy intézménybe való belépéskor a belépésre jogosultak listáján), vagy éppen kizárható egy bizonyos körből (például a körözött vagy az eltűnt személyek közül). Az is ebbe a kategóriába tartozik, ha a duplikáció elkerülése érdekében végzünk azonosítást.
A biometrikus beléptető rendszerek biztonsági mutatói
- téves elfogadási hányad – FAR (False Accept Rate) ami a jogosultként felismert nem jogosult személyek aránya;
- téves visszautasítási hányad – FRR (False Reject Rate) ami a jogosult személyek téves visszautasításának aránya.
Ez a két mutató csak egymás rovására javítható, a biometrikus rendszer érzékenységének beállításával. Belátható: ha szigorú a rendszer, akkor nagyobb lesz a téves visszautasítások aránya, és kisebb a tévesen jogosultnak minősített személyek száma. A megengedőbb, felhasználóbarát beállítás kényelmes, mert a jogosultak elutasítása kisebb arányú, de kevésbé biztonságos, mert több jogosulatlan juthat át a rendszeren. A két véglet közötti optimumot vizsgálhatjuk az egyenlő hibaarány (ERR, vagyis Equal Error Rate), illetve a keresztező hibaarány (CER, vagyis Crossover Error Rate) hányadosok segítségével. A kisebb hibaarány elérése érdekében többféle módszer kombinálása a célravezető, pl: hang- és ujjlenyomat azonosítás; vagy írisz- és kézgeometria azonosítás együttesen alkothatják a belépéshez szükséges ellenőrző módszereket.
A biometrikus eszközök gyártói természetesen el akarnak minket kápráztatni berendezéseik teljesítményével, azonban tudnunk kell, hogy ezeket a mutatókat nem feltétlenül egységes feltételek között mérik. Számos szubjektív tényező alakítja az eredményeket. Kezdve a kezelő személyzet képzettségétől az alanyok lámpalázán, vagy fegyelmezettségén át a felhasználói interfész megfelelő beállításáig, de különböző eredmények születnek szélsőséges hőmérséklet esetén is. Ezek a tényezők összességében sokkal inkább meghatározzák egy valós, élesben tesztelt biometrikus azonosító rendszer működését, mint a csupasz hardverjellemzők.
entieket is figyelembe véve hasonlítsuk össze néhány biometrikus beléptető rendszer jellemzőit: (a FAR mutató azt mondja meg, hány helyes azonosításra jut egy téves). Az alábbi táblázatban szereplő adatoktól eltérőek is fellelhetők az interneten és szakmai cikkekben. Ennek több oka is lehet. Az egyik, hogy egyes eszközök között akár több nagyságrendnyi áreltérés is lehet, ami jelentős különbséget jelent a biztonságban, az azonosítás gyorsaságában, stb. Nyilvánvalóan nem ugyanazt a minőséget és biztonsági szintet képviseli egy laptophoz illesztett ujjlenyomat olvasó, mint egy nemzetbiztonsági intézményben a beléptető rendszer ujjlenyomat azonosítója. Az eltérő adatok másik oka a folyamatos technikai fejlődés. Napjaink biometrikus beléptető rendszerei – mind hardver, mind szoftver szinten – jóval magasabb minőséget és megbízhatóságot képviselnek, mint néhány évvel ezelőtt.
Adatvédelem és aggályok
Bármilyen biometrikus azonosítás felveti a személyes adatok feletti rendelkezés jogi kérdését. Személyes adataink felett mi rendelkezünk az Alkotmány szerint, illetve csak az kezelheti adatainkat, akinek hozzájárulásunkat adtuk; kivéve azokat az eseteket, amelyekben a törvény ad felhatalmazást személyes adatkezelésre. Az adatkezelés során tekintettel kell lenni a célhoz kötöttség elvére, amely szerint kizárólag az előzőleg meghatározott célból és célra használhatóak fel az adatok.
Nem véletlenül szigorú a szabályozás: a terrorizmus elleni küzdelem bizonyos elemei már eddig is sok ellenérzést keltettek: sokan féltik a személyes adataikat, egyéni szabadságukat a ’nagy testvér’ jellegű nyomon követéstől. Ráadásul egyes azonosítási eljárások, mint pl. az írisz-, a retina és az arc thermogram felvételeiből következtetni lehet az illető egészségi állapotára, ami súlyos személyiségjogi kérdéseket is felvet.
Az Európai Unió már 2004-ben úgy döntött, hogy az útleveleknek tartalmazniuk kell az ujjlenyomatot. (Magyarországon 2006-ban kezdték kibocsátani a biometrikus útleveleket.) Ezzel akkora nemzetközi adatbázis jött létre, amelynek a kezelése rendkívül komoly biztonsági követelményeket támaszt.
Szeptember 11. után a biztonságra való törekvés még jobban megerősödött, olyan méreteket öltve, amelyet előtte el sem tudtak képzelni. Például a rabosítás során levett ujjlenyomatok (vagy egyes országokban az írisz) adatai eredetileg csupán a büntetőeljárásban, illetve a bűnügyi nyilvántartóban voltak megtalálhatóak, de ma már a terrorizmus elleni harc intézkedéseinek következtében a mindennapok részévé váltak. A modern kor azonosítási procedúrája automatizálódik, berendezések és szoftverek végzik a beérkezett és a tárolt információk összevetését, nem pedig a határőr vagy rendőr ellenőrzi a fotót és a személyt. Ezzel együtt, 2012-re már több százezer hamis biometrikus útlevél került forgalomba az EU-ban, és több százezer olyan, amelynek az ujjlenyomat mintája értékelhetetlen. Főleg gyermekek és idősek ujjlenyomatai bizonyultak megbízhatatlannak, de az EP már végzi a biometrikus útlevelek felülvizsgálatát.
Vigyázat, csalnak!
A biometrikus beléptető rendszer biztonságosságát is a legsebezhetőbb pontja határozza meg. Ezért a műszaki fejlesztők és a csalók egyaránt a gyenge pontot keresik, nyilvánvalóan különböző okokból, de minden bizonnyal egymással versenyezve. A biometrikus azonosítással elkövetett csalásokat már tudósok is kutatják. Az új kutatási terület neve anti-spoofing, ami magyarul kb. átvágás-ellenességet jelent. A kutatóknak kettős a céljuk, egyrészt feltérképezni a gyenge pontokat, másrészt felkészíteni az azonosító rendszereket a hibák felfedezésére és kezelésére.
Már jó ideje nem számít komoly ujjlenyomat olvasó rendszernek a nemzetbiztonságban az, amelyet át lehet vágni egy levágott ujjal, de még a fejlettebbeket is becsaphatja ma még egy jól elkészített szilikon ujjlenyomat. Kezdetben még egy nyomtatott fotó az íriszről, vagy egy mesterséges szem elegendő volt a rendszerbe való illetéktelen bejutáshoz, majd javultak a leolvasók és jöttek a speciális kontaktlencsékkel való sikeres támadások. Ezek használata viszont ma már egyértelműen lebukáshoz vezet. A szemgolyó sejtjei olyan gyorsan halnak el, hogy értelmetlen próbálkozás lenne egy biometrikus azonosítás miatt eltávolítani azt a természetes helyéről. Az arcfelismerő rendszereket ideiglenes álcákkal, sminkkel nem lehet befolyásolni, de maszkokkal (itt is a szilikon a nyerő) sikerülhet a csalás egyes esetekben. A legbiztosabb átvágás persze a plasztikai sebészet alkotta új arc, de orvosi okokból ez is korlátozott mértékben lehet hatásos. Esetleg meg kell kérni az egypetéjű ikertestvért, mert a tökéletesen egyforma ikerpárokat egyelőre még nem sikerült megkülönböztetni.
Biometrikus beléptető rendszer
A biometrikus beléptető rendszerek felépítése megegyezik a hagyományos, kártyán vagy kódos rendszerekével, amelyekről itt olvashat. Talán mondani sem kellene, hogy a biometrikus azonosításra épülő beléptető rendszerek úgy is alkalmasak beléptetés vezérlésére, hogy azt az interneten, TCP/IP kommunikációs csatornán keresztül valósítják meg.
Az interneten való elérhetőség a felhasználók számára egyértelműen előnyként jelentkezik, de a hekkertámadások ellen gondoskodni kell a biztonságos adattárolásról is. Az előző fejezetben írtunk számos csalási lehetőségről és a ‘forgalomban lévő’ hamis útlevelekről, de ez korántsem jelenti, hogy a biometrikus rendszerek megbízhatatlanok lennének.
Hangsúlyozzuk, hogy ezek a biztonsági veszélyforrások alapvetően a határátlépéseknél, nemzetbiztonsági vagy más kiemelt biztonságú intézmények biometrikus azonosító rendszereire érvényesek. Arról van szó, hogy ezeken a belépési helyeken fokozott a kockázat, mivel arányaiban több jogosulatlan személy akar átmenni az ellenőrzésen. A legtöbb vállalati biometrikus beléptető rendszer nincs ellátva az ilyen jellegű csalások elleni védelemmel, ezekre a hekkertámadás sem jellemző. Ennek ellenére – az adott célra és az adott körülmények között – tökéletesen be tudják tölteni védelmi funkcióikat. A tapasztalatok szerint a vállalati beléptető rendszerek esetén inkább a felhasználók téves kezelései miatt léphetnek fel hibák.
Ha mégis fontos szempont a biztonság növelése, akkor sem feltétlenül szükséges a legmodernebb és legdrágább azonosítási technológiát alkalmazni. Elegendő az alacsonyabb árú ujjlenyomat azonosító beléptető rendszert kiegészíteni videókamerával, amelynek segítségével ellenőrizhetőek a téves azonosítások. A kamerával továbbá a nem megfelelő használatra is fény derül, így a felhasználói hibákat kiszűrve még pontosabb eredményeket kapunk. Ezen felül még társítani is lehet a különböző módszereket: ujjlenyomat, hang, PIN kód vagy a proximity kártya közül bármelyik kettő (biometrikus és hagyományos) kombinációja nagyon jó hibaarányt eredményez.
A biometrikus beléptető rendszerek, elsősorban az ujjlenyomat azonosítóval vezéreltek, kiválóan alkalmasak néhány 10 főnyi, műszakrendben működő kisebb vállalkozások számára. Ha ugyanis egyszerre érkezik mondjuk 100 ember, akkor a belépésnél torlódás alakulhat ki, hiszen egy-két másodperc szükséges ahhoz, hogy az illető odalépjen, ujját ráhelyezze a leolvasóra és továbbmenjen. Nagyobb vállalatoknál is alkalmaznak biometrikus beléptetőt, de vagy kötetlen munkaidejű dolgozók esetében, amikor eloszlik a terhelés; vagy gyakorlati okokból általában egy-egy kiemelt helyiségbe (raktár, pénzügy, szerverszoba) való beléptetésre korlátozva.
Ha elengedjük a fantáziánkat, bármire képesek vagyunk:
Minden jog fenntartva. Copyright © Oktel Kft. 1998-2018