Биометрия от «А» до «Я» полное руководство биометрической идентификации и аутентификации
В основе науки об идентификации личности лежат идеи измерения тела человека и его частей. Эти идеи впервые сформулировал французский криминалист Альфонс Бертильон (Alphonse Bertillon) (1853 — 1914 ) — сотрудник парижской префектуры, занимавшийся регистрацией преступников.
В 1879 г. он представил систему идентификации преступников, которая получила название антропометрии и включала в себя: измерение их роста, длины и объема головы, длины рук, пальцев, стоп и т. п., а также словесный портрет преступника, фото портрет в анфас, и в профиль и описание особых примет.
Современная криминалистика до сих пор также использует эту биометрическую систему, дополнив ее антропоскопией, дактилоскопией, фотороботами, новыми методами описания особых примет на лице и теле человека и технологиями их реализации.
Однако понятие биометрии как отдельной науки было сформулировано десятилетием позже. У истоков ранней биометрии стоял английский исследователь Френсис Гальтон (Francis Galton).
В книге, посвященной природной наследственности и изданной в 1889 г., он впервые ввел понятие биометрии (biometry) как науки, занимающейся количественными биологическими экспериментами с привлечением методов математической статистики.
Биометрия или биометрика?
Термин «Biometrics» — биометрика, появляется в англоязычной литературе, как новая ветвь биометрии, которая охватывает область знаний, представляющую методы измерения персональных физических и поведенческих характеристик человека и методы их использования для целей идентификации или аутентификации.
В отечественной научно — популярной литературе термин «биометрика» (это соответствует прямому переводу английского слова «biometrics») тоже встречается. Однако в том же значении в России используется и термин «биометрия», который, в свою очередь, хоть и появился как перевод слова «biometry» что в английской традиции обозначает «биостатистика», в России полноценно используются и в значении «биометрика».
Т.е. в российской традиции часто оба термина и «биометрия» и «биометрика» используются для целей обозначения биометрической идентификации и аутентификации. Но конечно стоит обращать внимание на контекст т.к. термин «биометрия» тоже может быть использован в значении «биостатистика».
Что такое биометрия?
Теперь когда мы разобрались в том какой термин лучше использовать и почему, давайте определимся что такое современная биометрия.
Биометрия — это наука, основанная на описании и измерении характеристик тела живых существ.
В применении к системам автоматической идентификации под биометрическими системами контроля доступа понимают те системы и методы, которые основаны на использовании для идентификации или аутентификации каких-либо уникальных характеристик человеческого организма.
Наша жизнь наполнена ситуациями, когда нам нужно доказать, кто мы. Такими ситуациями наполнена как личная, так и профессиональная сфера.
Нетрудно перечислить широкий спектр отраслей которые требуют быстрой, надежной и удобной аутентификации пользователя: доступ к персональному компьютеру или смартфону, доступ к электронной почте, банковские транзакции, открытие дверей и запуск двигателя вашего автомобиля, контроль доступа в помещения, пересечение государственных границ, и вообще как правило любое взаимодействие с государственными органами власти требует идентификации.
Таким образом, идентификация и аутентификация нашей личности стали краеугольным камнем в современном обществе, обеспечивая безопасное взаимодействие, предотвращая мошенничество и преступность.
Биометрическая идентификация
Биометрическую идентификацию часто называют чистой или реальной аутентификацией, так как используется не виртуальный, а реально имеющий отношение к человеку биометрический признак (идентификатор).
Специфической особенностью биометрической идентификации будет большой размер биометрической базы данных: каждый из биометрических образцов должен быть сопоставлен со всеми имеющимися записями в базе данных (сопоставление 1:N или «один ко многим») www.mosmt-t.ru. Для использования в реальной жизни такая система требует высокой скорости сопоставлении биометрических признаков.
Пример:
Численность сотрудников даже большого предприятия от нескольких сотен до нескольких тысяч человек. Возьмем для примера численность сотрудников 10 000 человек. Значит размер базы данных (исходим что для одного человека используется один отпечаток пальца) будет составлять 10 000 отпечатков пальцев. При прикладывании пальца к считывателю отпечатков система будет производить сопоставление 1:10 0000. Что очень немного для современных систем. Именно поэтому все системы контроля доступа или учета рабочего времени работают в режиме биометрической идентификации.
На другой стороне полюса — верификационные системы, они совершают как правило только одно сопоставлений в режиме 1:1. То есть предъявленный биометрический признак сравнивается с одним биометрическим признаком из базы данных. То есть система отвечает на вопрос, тот ли ты за кого себя выдаешь.
Биометрическая аутентификация
Этот термин будем использовать достаточно часто, несмотря на его важность, достаточно часто возникает путаница, потому что в различных типах систем определения этого термина отличаются, например в банковских и юридических системах.
Мы, соответственно, дадим определения этих терминов для биометрических систем.
Аутентификация (от английского — authentication) — процедура проверки принадлежности субъекту доступа предъявленного им идентификатора. Простой пример аутентификации — подтверждение личности пользователя путем сравнения введенного им логина с паролем в базе данных идентифицированных ранее пользователей. В данном примере аутентификацией является процесс сравнения паролей, и последующее либо предоставление доступа либо отказ, а идентификатором будет являться как раз логин.
Способы аутентификации могут быть сгруппированы в три основные категории, основанные на так называемых факторах аутентификации: то, что человек знает, чем пользователь владеет или что-то такое, что является признаком человека.
В биометрии различают два аутентификационных метода:
- Верификация, основанная на биометрическом параметре и на уникальном идентификаторе, который выделяет конкретного человека (например, идентифика ционный номер), то есть этот метод основан на комбинации аутентификационных приемов.
- Идентификация, в отличие от верификации, основана только на биометрических измерениях. При этом измеренные параметры сравниваются со всеми записями из базы зарегистрированных пользователей, а не с одной из них, выбранной на основании какого-то идентификатора.
Каждый фактор аутентификации охватывает ряд элементов, используемых для аутентификации или проверки личности лица до предоставления доступа, утверждения запроса транзакции, подписания документа, предоставления полномочий другим и т. Д.
- Факторы знания — это то, что пользователь знает и, надеюсь помнит, например, пароль, PIN-код, ответ на секретный вопрос и т. д.
- Факторы признака — это то что является частью нас, например, отпечаток пальца, подпись, голос и т. д.
- Факторы владения — это то, что у пользователя есть, например, бесконтактная идентификационная карта, сотовый телефон, физический ключ и т. д.
При сравнении биометрической аутентификации с другими видами аутентификации необходимо обратить внимание на их сильные и слабые стороны.
Аутентификация на основе факторов знания, например использование пароля или графического ключа. Использование пароля технически просто реализуемо, как в программном обеспечении, так и в любых специализированных устройствах. Но с такой же легкостью пароль может быть скомпрометирован например шпионской программы или компьютерным вирусом, которые во множестве могут быть загружены на устройства пользователя из интернета. А когда речь идет об устройствах (например считыватель PIN кода) пароль может быть банально подсмотрен. Все это не мешает староверам достаточно часто использовать считыватели PIN кода в системах контроля доступа.
Кроме того, люди обычно выбирают простые и распространенные пароли и как оказалось не менее распространенные графические ключи, тем самым делая надежную аутентификацию с помощью фактора знания невозможной.
Один из самый вопиющих случаев установки простого пароля, это установка кода подтверждения запуска: «00000000» на все ядерные ракеты в США. Да-да, это те знаменитые коды за которыми в голливудских блокбастерах гоняется любой мало мальски уважающий себя террорист.
Эта информация стала известна из воспоминаний офицера Брюса Блэйра, который служил на запуске межконтинентальных баллистических ракет LGM-30 «Минитмен»
Еще в 1962 президенту Кеннеди пришла в голову светлая мысль, что начать ядерную войну могут не государства, а террористы, иностранные диверсионные или иные спецслужбы, или что гораздо вероятней просто поехавший кукухой военнослужащий на фоне обострения антикоммунистических настроений в США. Словом любой кто имеет физический доступ к ядерному арсеналу.
Для защиты от несанкционированного запуска был издан National Security Action Memorandum 160, в соответствии с которым каждую ядерную ракету в США нужно было оборудовать специальным устройством контроля Permissive Action Link (PAL), которое блокировало систему запуска до введения правильного кода.
Защитная система гарантировала, что не имеющий полномочий человек, получивший доступ к ядерному арсеналу США, не сможет привести его в действие. Система Permissive Action Link (PAL) считалась абсолютно надежной. Восьмизначный код предполагал сто миллионов комбинаций. Звучит, но вояки на местах решили не парится и всегда устанавливали код «00000000».
Есть более изощренные способы, позволяющие с уверенность скомпрометировать практически любой пароль, например с помощью тепловизионного оборудования. При работе с клавиатурой пальцы оставляют тепловые следы, именно их и позволяет зафиксировать тепловизор. Метод был исследован учеными из Штутгартского университета и Мюнхенского университета Людвига-Максимилиана.