Az MTI által továbbított hír szerint A nagyfelbontású fényképezőgépeknek köszönhetően már egyáltalán nem tűnik biztonságosnak az ujjlenyomat alapú biometrikus védelem. Olvassuk a hírről szakértőnk véleményét.
A hír szerint japán kutatók egy fényképről másolták le egy ember ujjlenyomatát, ami komoly biztonsági kérdéseket vet fel. Ecsizen Iszao, a japán Országos Informatikai Intézet professzora véleménye szerint ezzel – az egyébként nem túl bonyolult módszerrel – fel lehet törni akár az ujjlenyomattal védett telefont, laptopot, de akár a beléptető kapukat is „A kísérletben Ecsizenről három méteres távolságban készült nagy felbontású fénykép, amelyen a kutató felmutatta két ujját. Ez elég volt ahhoz, hogy „ellopják” az ujjnyom-mintáját.”
A témáról Fehér Andrásnak Óbudai Egyetem/Bánki kar ABI (Alkalmazott Biometria) Intézet
igazgatójának a véleményét kérdeztük.
Szakmai vonatkozások
A fényképezőgépek – ezen belül pedig a mobileszközökbe építettek is – tudása, szolgáltatási köre rohamosan fejlődik. Mára már a sok megapixel-es felbontási képesség, egyéb fototechnikai paraméterrel kiegészítve, alapkövetelmény.
Ujjnyomatok fényképről történő, ujjnyomat olvasókat átverő minőségű másolása azonban több okból is nehéz, habár elméletben nem lehetetlen. Lássuk a tényeket.
Egyrészt a cikkben kísérletről beszélünk, ahol – bár ezt nem részletezték – a kutató együttműködhetett, más szóval jól pozicionálta az ujját a felvétel elkészítéséhez. A valóságban ritkán juthatunk (egyes selfie típusokat leszámítva) olyan fényképhez, ami megfelelő szögben mutatja az ujjnyomatot, így rossz beállítási szög esetén szükséges az ujjnyomat képének utólagos manipulálása oly módon, hogy az ne torzuljon.
Mivel ujjnyomatok biztonsági célú felhasználása leginkább mobileszközökön elterjedt, célszerűnek látom e téma keretében azokat tekinteni (lehetnek a cikkben taglalt megoldásnak kifejezett célszemélyei is, ahol más felhasználásai is felmerülnek az ujjnyomatnak, de ezeknek a vonatkozásoknak a kifejtése nem fér bele e sorok terjedelmébe. Annyit jegyeznék meg csupán, hogy amennyiben valós célszemélyről és valós szándékról beszélünk, sok egyéb aspektust is tekinteni kell). Ezeknek az eszközöknek a biztonsági beállításai jellemzően a technológia által elérhető legmagasabb védelmi szint irányában történnek. A biometriában létezik két fontos paraméter, a téves elutasítás (FRR – False Rejection Rate) és a téves elfogadás (FAR – False Acceptance Rate). Mivel itt egy olyan rendszerről beszélünk, amelynek igen korlátolt maximális felhasználószáma van (kevesebb, mint 10 mintát képesek kezelni), és a biztonság az elsődleges szempont, a rendszerek a FAR-t próbálják elkerülni – magyarán azt, hogy az eszköz tévesen, egy nem jogosult személyt fogadjon el jogos felhasználóként.
Az FRR és az FAR egymással szemben álló tulajdonságok – jó közelítéssel tehát elmondható, hogy ha növeljük a biztonságot (csökkenő FAR), növekszik az FRR érték (növekvő FRR = többször utasítja el az eszköz a jogos felhasználót). Így tehát pontos mintát kell prezentálni, hogy az ne kerüljön elutasításra.
Jelenleg két elterjedt ujjnyomat azonosítási technológiát azonosíthatunk: az optikai, illetve a kapacitív elven működőt. Az e témában vizsgált eszközökbe azonban, azok méretbeli korlátai miatt, kapacitív szenzorokat építenek a gyártók. E technológia egyik jellemzője, hogy valamilyen konduktív, tehát töltéshalmozásra alkalmas „tárggyal”, például az ujjunkkal kell érinteni ahhoz, hogy egyáltalán érzékelje a kontaktust. Ebből következően egy fénykép önmagában nem elég az átverésükhöz, a sikerhez műujj, vagy ujjra illetve valamilyen, modern szóval touch-os eszközre tehető például szilikon maszkot kell készíteni, amely legalább barázdamélységben hasonlít az eredeti mintához.
Fontos szempont továbbá, hogy a próbálkozási lehetőségek is végesek: megfelelő biztonsági beállítások mellett csak kevés számú próbálkozás áll rendelkezésre a biometrikus minta használatára. A Samsung eszközei például 15 hibás próbálkozás után megsemmisítik az eszközön található adatokat. Ha ezt összevetjük azzal, hogy nem minden esetben tudjuk, hogy a célszemély melyik ujját használja az eszköz feloldásához, és a fényképnek is kivételesen jó minőségűnek kell lennie, a sikeres támadások aránya jelentősen csökken. A felhasználók pedig tudnak védekezni oly módon, hogy nem a legmegszokottabb (mutató és hüvelyk) ujjakat használják készülékük védelmében.
Egyébként sem ez a legegyszerűbb módja egy ujjnyomat megszerzésének. Jó minőségű ujjnyomatot könnyű szerezni olyan tárgyakról, amelyeket a célszemély megfogott – például egy egyszerű, eldobható kávéspohárról (legyen az papír, vagy műanyag). A merőleges érintkezés miatt (az ujjnyomat merőleges a pohár palástjára) a levett ujjnyomat manipulálására nincs is szükség, így egy bonyolult lépés átugorható.
Logikai ellentmondás
Természetesen elképzelhetőek olyan esetek, ahol ez a megoldás célravezető lehet, azonban semmiképpen nem a legegyszerűbb. Ezen felül a megszerzett ujjnyomat felhasználásával kapcsolatban is kérdések merülnek fel. A fényképekről való ujjnyomat lopás, ha működik is, azt teszi lehetővé, hogy távolról jussunk ehhez az információhoz. A védett eszköz azonban jellemzően a célszemély közelében található – így a megszerzett minta felhasználásához vagy meg kell szerezni a védett eszközt is, vagy a célszemély közelébe kell jutni. Ez pedig, az előzőekben ismertetettek alapján, megkérdőjelezhetővé teszi az ujjnyomat távolról történő megszerzésének értelmét.
Forrás: Fehér András
Kapcsolódó cikkek:
A biometria kérdései egy adatlopás kapcsán
Behavioral biometrics: viselkedésalapú biometria
Az agy, mint biometrikus azonosítási módszer
