امنیت سایبری مدرن بر کاهش خطرات این راه حل امنیتی قدرتمند متمرکز است: رمزهای عبور سنتی مدت ها نقطه ضعف سیستم های امنیتی بوده اند. بیومتریک قصد دارد با پیوند دادن اثبات هویت به بدن و الگوهای رفتاری به این موضوع پاسخ دهد.

در این مقاله، اصول اولیه نحوه استفاده امنیت سایبری از بیومتریک را بررسی خواهیم کرد. برای کمک به تفکیک چیزها، به برخی از سوالات رایج بیومتریک پاسخ خواهیم داد:

* منظور از بیومتریک چیست؟
* داده های بیومتریک چیست؟
* اسکنر بیومتریک چیست؟
* خطرات امنیت بیومتریک چیست؟
* چگونه می توانیم بیومتریک را ایمن تر کنیم؟

اجازه دهید با اصول اولیه شروع کنیم.

بیومتریک چیست؟

برای یک تعریف سریع بیومتریک: بیومتریک اندازه گیری های بیولوژیکی - یا ویژگی های فیزیکی - است که می تواند برای شناسایی افراد استفاده شود. به عنوان مثال، نقشه برداری اثر انگشت، تشخیص چهره، و اسکن شبکیه چشم، همه اشکال فناوری بیومتریک هستند، اما اینها فقط شناخته شده ترین گزینه ها هستند.

بیومتریک داده ها در نوک انگشتانتان و چالش های حریم خصوصی

مردم شاهد علاقه فزاینده ای در میان سازمان های دولتی و بخش خصوصی برای اتخاذ سیستم هایی هستند که از ویژگی های بیومتریک برای شناسایی خودکار افراد یا تأیید هویت آنها استفاده می کنند. اما چه نوک انگشت، صورت یا عنبیه در حال اسکن باشد، آنچه جمع آوری می شود اطلاعات شخصی یک فرد قابل شناسایی است.

دولت در حال گسترش استفاده از بیومتریک است. به عنوان مثال، تصاویر عنبیه در برنامه‌های ترخیص مرز CANPASS و NEXUS، اثر انگشت و اسکن عنبیه برای کنترل دسترسی به مناطق امن در فرودگاه‌ها استفاده می‌شود، و تصاویر دیجیتالی صورت برای پاسپورت‌های الکترونیکی پیشنهاد می‌شوند.

در اصل، کلمه بیومتریک به معنای اعمال اندازه گیری های ریاضی در زیست شناسی بود. امروزه، این اصطلاح به طیف وسیعی از تکنیک‌ها، دستگاه‌ها و سیستم‌هایی اطلاق می‌شود که ماشین‌ها را قادر می‌سازد تا افراد را شناسایی کرده یا هویت آنها را تأیید یا احراز هویت کنند.

چنین سیستم‌هایی ویژگی‌های فیزیکی و رفتاری افراد، مانند ویژگی‌های صورت، الگوهای صوتی، اثر انگشت، اثر کف دست، الگوهای انگشت و ورید کف دست، ساختارهای چشم (عنبیه یا شبکیه)، یا راه رفتن را اندازه‌گیری و تجزیه و تحلیل می‌کنند.

داده های بیومتریک در یک نقطه شروع جمع آوری می شود که به آن زمان ثبت نام می گویند. زمانی که داده‌های جدید جمع‌آوری و با سوابق ذخیره‌شده مقایسه می‌شوند، می‌توان هویت‌ها را متعاقباً ایجاد یا احراز کرد.

رایج ترین نمونه بیومتریک، عکس شناسایی است که در گذرنامه، گواهینامه رانندگی یا کارت سلامت استفاده می شود. به عبارت ساده، تصویر صورت یک فرد گرفته و ذخیره می شود، به طوری که بعداً می توان آن را با تصویر دیگری یا یک فرد زنده مقایسه کرد.

فناوری بیومتریک معمولاً برای شناسایی افراد یا تأیید اینکه آنها مجاز به انجام برخی کارها هستند مانند رانندگی اتومبیل یا دسترسی به یک منطقه امن یا محدود استفاده می شود.

محققان ادعا می‌کنند شکل گوش، نحوه نشستن و راه رفتن، بوی بدن منحصر به فرد، رگ‌های دست و حتی انقباضات صورت از دیگر ویژگی‌های منحصربه‌فرد هستند. این ویژگی‌ها، بیومتریک را بیشتر تعریف می‌کنند.

سه نوع امنیت بیومتریک

بیومتریک، در حالی که آنها می تواند کاربردهای دیگری داشته باشد، اغلب در امنیت استفاده می شود، و شما می توانید بیومتریک را در سه گروه برچسب گذاری کنید:

* بیومتریک بیولوژیکی
* بیومتریک مورفولوژیکی
* بیومتریک رفتاری

بیومتریک بیولوژیکی از صفات در سطح ژنتیکی و مولکولی استفاده می کند. اینها ممکن است شامل ویژگی هایی مانند DNA یا خون شما باشد که ممکن است از طریق نمونه ای از مایعات بدن شما ارزیابی شود.

بیومتریک مورفولوژیکی شامل ساختار بدن شما می شود. ویژگی های فیزیکی بیشتری مانند چشم، اثر انگشت یا شکل صورت شما را می توان برای استفاده، با اسکنرهای امنیتی ترسیم کرد.

بیومتریک رفتاری بر اساس الگوهای منحصر به فرد برای هر فرد است. در صورت ردیابی این الگوها، نحوه راه رفتن، صحبت کردن یا حتی تایپ کردن روی صفحه کلید می تواند نشان دهنده هویت شما باشد.

کارهای امنیتی بیومتریک

شناسایی بیومتریک نقش فزاینده ای در امنیت روزمره ما دارد. ویژگی های فیزیکی نسبتاً ثابت و فردی هستند - حتی در مورد دوقلوها. هویت بیومتریک منحصر به فرد هر فرد می تواند برای جایگزینی یا حداقل تقویت سیستم های رمز عبور برای رایانه ها، تلفن ها و اتاق ها و ساختمان ها با دسترسی محدود استفاده شود.

هنگامی که داده های بیومتریک به دست آمد و نقشه برداری شد، ذخیره می شود تا با تلاش های آینده برای دسترسی مطابقت داده شود. بیشتر اوقات، این داده ها رمزگذاری شده و در دستگاه یا در یک سرور راه دور ذخیره می شوند.

اسکنرهای بیومتریک سخت افزاری هستند که برای ثبت بیومتریک برای تأیید هویت استفاده می شوند. این اسکن ها با پایگاه داده ذخیره شده مطابقت دارند تا دسترسی به سیستم را تأیید یا رد کنند.

به عبارت دیگر، امنیت بیومتریک به این معنی است که بدن شما به "کلید" برای باز کردن قفل دسترسی شما تبدیل می شود.

بیومتریک عمدتاً به دلیل دو مزیت عمده مورد استفاده قرار می گیرد:

* راحتی استفاده: بیومتریک همیشه همراه شما است و نمی توان آن را گم کرد یا فراموش کرد.
* دزدی یا جعل هویت دشوار است: اطلاعات بیومتریک را نمی توان مانند رمز عبور یا کلید به سرقت برد.

در حالی که این سیستم ها بی نقص نیستند، نویدهای زیادی را برای آینده امنیت سایبری ارائه می دهند.

نمونه هایی از امنیت بیومتریک

در اینجا چند نمونه رایج از امنیت بیومتریک آورده شده است:

* تشخیص صدا
* اسکن اثر انگشت
* تشخیص چهره
* تشخیص عنبیه
* سنسورهای ضربان قلب

در عمل، امنیت بیومتریک قبلاً در بسیاری از صنایع کاربرد مؤثری داشته است.

از بیومتریک پیشرفته برای محافظت از اسناد حساس و اشیاء با ارزش استفاده می شود. سیتی بانک در حال حاضر از تشخیص صدا استفاده می کند و بانک بریتانیایی هالیفاکس در حال آزمایش دستگاه هایی است که ضربان قلب را برای تأیید هویت مشتریان بررسی می کند. فورد حتی در حال بررسی قرار دادن حسگرهای بیومتریک در خودروها است.

بیومتریک در گذرنامه های الکترونیکی در سراسر جهان گنجانده شده است. در ایالات متحده، گذرنامه‌های الکترونیکی دارای تراشه‌ای هستند که حاوی عکس دیجیتالی از صورت، اثر انگشت یا عنبیه فرد است، و همچنین فناوری‌هایی دارند که از خواندن تراشه - و حذف داده‌ها - توسط داده‌خوان‌های غیرمجاز جلوگیری می‌کند.

همانطور که این سیستم های امنیتی راه اندازی می شوند، ما می بینیم که جوانب مثبت و منفی در لحظه ظاهر می شوند.

آیا اسکنرهای بیومتریک ایمن هستند؟ - بهبودها و نگرانی ها

اسکنرهای بیومتریک به طور فزاینده ای پیچیده می شوند. حتی می توانید بیومتریک را در سیستم های امنیتی تلفن پیدا کنید. به عنوان مثال، فناوری تشخیص چهره در آیفون X اپل، 30000 نقطه مادون قرمز را روی صورت کاربر نشان می‌دهد تا با تطبیق الگو، هویت کاربر را تأیید کند. به گفته اپل، احتمال اشتباه هویتی با بیومتریک آیفون X یک در میلیون است.

گوشی هوشمند LG V30 تشخیص چهره و صدا را با اسکن اثر انگشت ترکیب می کند و داده ها را برای امنیت بیشتر روی گوشی نگه می دارد. CrucialTec، سازنده حسگر، یک حسگر ضربان قلب را به اسکنر اثر انگشت خود برای احراز هویت دو مرحله‌ای پیوند می‌دهد. این کمک می کند تا اطمینان حاصل شود که اثر انگشت شبیه سازی شده نمی تواند برای دسترسی به سیستم های آن استفاده شود.

چالش این است که اسکنرهای بیومتریک از جمله سیستم های تشخیص چهره را می توان فریب داد. محققان دانشگاه کارولینای شمالی در چاپل هیل عکس‌های ۲۰ داوطلب را از شبکه‌های اجتماعی دانلود کردند و از آن‌ها برای ساختن مدل‌های سه بعدی چهره‌شان استفاده کردند. محققان با موفقیت چهار سیستم از پنج سیستم امنیتی را که آزمایش کردند، نقض کردند.

نمونه هایی از شبیه سازی اثر انگشت در همه جا وجود دارد. یک نمونه از کنفرانس امنیت سایبری کلاه سیاه نشان داد که یک اثر انگشت را می توان به طور قابل اعتماد در حدود 40 دقیقه با موادی به ارزش 10 دلار، به سادگی با ایجاد اثر انگشت در قالب گیری پلاستیک یا موم شمع، شبیه سازی کرد.

Chaos Computer Club آلمان، حسگر اثرانگشت TouchID آیفون را در عرض دو روز پس از عرضه، جعل کرد. این گروه به سادگی از اثر انگشت روی سطح شیشه ای عکس گرفته و از آن برای باز کردن قفل آیفون 5s استفاده کردند.

بیومتریک - نگرانی های مربوط به هویت و حریم خصوصی

احراز هویت بیومتریک راحت است، اما طرفداران حریم خصوصی می ترسند که امنیت بیومتریک حریم خصوصی شخصی را از بین ببرد. نگرانی این است که داده های شخصی را می توان به راحتی و بدون رضایت جمع آوری کرد.

تشخیص چهره بخشی از زندگی روزمره در شهرهای چین است، جایی که برای خریدهای معمولی از آن استفاده می شود، و لندن شهرت زیادی برای دوربین های مداربسته‌اش دارد. اکنون، نیویورک، شیکاگو و مسکو دوربین‌های مداربسته شهرهای خود را به پایگاه‌های اطلاعاتی تشخیص چهره مرتبط می‌کنند تا به پلیس محلی در مبارزه با جرم کمک کنند. دانشگاه کارنگی ملون با ارتقاء این فناوری، در حال توسعه دوربینی است که می تواند عنبیه افراد را در انبوه جمعیت از فاصله 10 متری اسکن کند.

در سال 2018، تشخیص چهره در فرودگاه دبی معرفی شد، جایی که مسافران هنگام عبور از یک تونل در یک آکواریوم مجازی توسط 80 دوربین عکاسی می‌شوند.

دوربین‌های تشخیص چهره در فرودگاه‌های دیگر در سراسر جهان از جمله فرودگاه‌های هلسینکی، آمستردام، مینیاپولیس-سنت پل، و تامپا نیز در حال کار هستند.. همه این داده ها باید در جایی ذخیره شوند، و این، ترس از نظارت مداوم و سوء استفاده از داده ها را افزایش می دهد…

نگرانی های امنیت داده های بیومتریک

مشکل فوری تر این است که پایگاه داده های اطلاعات شخصی هدف هکرها هستند. به عنوان مثال، زمانی که دفتر مدیریت پرسنل ایالات متحده در سال 2015 هک شد، مجرمان سایبری با اثر انگشت 5.6 میلیون کارمند دولت، آنها را در معرض سرقت هویت قرار دادند.

ذخیره سازی داده های بیومتریک روی یک دستگاه - مانند TouchID یا Face ID آیفون - ایمن تر از ذخیره آن نزد یک ارائه دهنده خدمات است، حتی زمانی که داده ها رمزگذاری شده باشند.

این خطر شبیه به یک پایگاه داده رمز عبور است که در آن هکرها ممکن است به سیستم نفوذ کرده و داده هایی که به طور مؤثر ایمن نیستند را سرقت کنند. با این حال، پیامدها به طور قابل توجهی متفاوت است. اگر رمز عبور به خطر افتاده باشد، می توان آن را تغییر داد. داده های بیومتریک، در قرارداد، برای همیشه یکسان باقی می مانند.

راه هایی برای محافظت از هویت بیومتریک

با خطراتی که برای حفظ حریم خصوصی و ایمنی وجود دارد، باید از حفاظت های اضافی در سیستم های بیومتریک استفاده شود.

دسترسی غیرمجاز زمانی دشوارتر می‌شود که سیستم‌ها به ابزارهای متعددی برای احراز هویت نیاز داشته باشند، مانند تشخیص حیات (مانند چشمک زدن) و تطبیق نمونه‌های کدگذاری‌شده با کاربران، درون دامنه‌های رمزگذاری‌شده.

برخی از سیستم‌های امنیتی همچنین دارای ویژگی‌های اضافی مانند سن، جنسیت و قد در داده‌های بیومتریک برای خنثی کردن هکرها هستند.

برنامه Aadhaar مرجع شناسه منحصر به فرد هند، یک مثال خوب است. برنامه احراز هویت چند مرحله ای که در سال 2009 آغاز شد، شامل اسکن عنبیه، اثر انگشت از هر 10 انگشت و تشخیص چهره است.

این اطلاعات به یک کارت شناسایی منحصر به فرد مرتبط است که برای هر یک از 1.2 میلیارد ساکن هند صادر می شود. به زودی، این کارت برای افرادی که به خدمات اجتماعی در هند دسترسی دارند اجباری خواهد شد.

بیومتریک جایگزین خوبی برای نام های کاربری به عنوان بخشی از استراتژی احراز هویت دو عاملی است. که شامل است بر:

* چیزی که هستید (بیومتریک)
* چیزی که دارید (مانند رمز سخت افزاری) یا چیزی که می دانید (مانند رمز عبور)

احراز هویت دو مرحله‌ای ترکیبی قدرتمند ایجاد می‌کند و لازم است، به خصوص که دستگاه‌های IoT تکثیر می‌شوند. با لایه بندی حفاظت، دستگاه های اینترنتی ایمن کمتر در برابر نقض داده ها آسیب پذیر می شوند.

علاوه بر این، استفاده از یک مدیر رمز عبور برای ذخیره هر رمز عبور سنتی می تواند محافظت بیشتری به شما بدهد.

نکات مهم در بیومتریک

به طور خلاصه، بیومتریک روشی رو به رشد برای تأیید هویت سیستم‌های امنیت سایبری است.

حفاظت ترکیبی از امضاهای فیزیکی یا رفتاری شما با سایر احراز هویت‌ها برخی از قوی ترین امنیت‌های شناخته شده را ارائه می دهد. در حال حاضر، حداقل بهتر از استفاده از رمز عبور مبتنی بر کاراکتر به عنوان تأیید مستقل است.

فناوری بیومتریک راه حل های بسیار قانع کننده ای برای امنیت ارائه می دهد. علیرغم خطرات، سیستم ها راحت هستند و به سختی قابل تکرار هستند. به علاوه، این سیستم ها برای مدت طولانی در آینده به توسعه خود ادامه خواهند داد.

به طور خلاصه، ویژگی‌های فیزیکی و رفتاری که در یک سیستم بیومتریک ثبت می‌شوند (به عنوان مثال، صورت، اثر انگشت یا صدای شخص) به عنوان «ویژگی‌های بیومتریک» نامیده می‌شوند. برخلاف داده‌های شخصی مورد استفاده در اسناد شناسایی متعارف (غیر بیومتریک)، این ویژگی‌ها می‌توانند به عنوان پایه‌ای برای سیستم‌های شناسایی قوی و قابل اعتماد عمل کنند.

به عنوان مثال، بسیاری از ویژگی های بیومتریک می توانند بسیار متمایز باشند، با همپوشانی کم یا بدون همپوشانی بین افراد. اثر انگشت، عنبیه و DNA از متمایزترین ویژگی‌ها هستند، در حالی که ویژگی‌های صورت ممکن است در افراد مختلف شبیه‌تر باشد.

برخی از ویژگی‌های فیزیکی، مانند اثر انگشت و عنبیه نیز در طول زمان پایدار بوده و تغییر آن دشوار است. در مقابل، سایر ویژگی‌های بیومتریک، مانند چهره‌ها، در طول زمان تغییر می‌کنند و می‌توانند از طریق لوازم آرایشی، مبدل یا جراحی تغییر کنند.

همان طور که گفته شد یکی از نگرانی ها، جمع آوری و استفاده پنهانی از داده های بیومتریک است، صرفاً به این دلیل که داده ها در دسترس عموم قرار دارند.

به عنوان مثال، اطلاعات چهره را می توان به راحتی بدون اینکه افراد از عکس گرفتن آنها آگاه باشند، ثبت کرد. همچنین می‌توان اثر انگشت را به راحتی جمع‌آوری کرد، زیرا افراد هنگام لمس سطوح سخت اثری نهفته از خود به جای می‌گذارند. سیستم‌های جدید مبتنی بر عنبیه نیز می‌توانند به‌طور مخفیانه تصاویر چشم‌های افراد را از فاصله تا دو متر جمع‌آوری کنند. به طور مشابه، الگوهای رگ کف دست و انگشت را می توان به طور مخفیانه زمانی که افراد دست خود را از روی دستگاه های ضبط مخفی عبور می دهند، ثبت کرد.

یکی دیگر از نگرانی‌های مربوط به حفظ حریم خصوصی زمانی ایجاد می‌شود که یک ویژگی بیومتریک جمع‌آوری‌شده برای یک هدف بدون اطلاع و رضایت شخص برای هدفی متفاوت مورد استفاده قرار گیرد.

یکی دیگر از نگرانی‌های مربوط به حفظ حریم خصوصی مربوط به اطلاعات ثانویه است که ممکن است در ویژگی‌های بیومتریک یافت شوند که در ابتدا برای یک هدف اصلی متفاوت جمع‌آوری شده‌اند.

به عنوان مثال، تصاویر عنبیه که در سیستم‌های احراز هویت استفاده می‌شوند می‌توانند اطلاعات بیشتری را در مورد سلامت فرد فاش کنند، در حالی که از بین رفتن اثر انگشت ممکن است اطلاعاتی را در مورد شغل یا وضعیت اجتماعی-اقتصادی فرد نشان دهد.

قوی ترین مثال DNA است که نه تنها یک فرد منحصر به فرد را شناسایی می کند، بلکه طیف گسترده ای از اطلاعات سلامتی را نیز نشان می دهد.

سیستم‌های بیومتریک مورد استفاده برای مدیریت دسترسی به یک برنامه یا خدمات ممکن است شامل محدود کردن گزینه‌ها و در نتیجه فرسایش کنترل باشد. به عنوان مثال، برای حفظ پاسپورت، شخص باید با استفاده از تصویر صورت موافقت کند.

استفاده دولت از سیستم های بیومتریک ابعاد بیشتری به این فرسایش کنترل می بخشد. در بسیاری از انواع تعاملات با دولت، افراد چاره ای جز صرف نظر کردن از اطلاعات شخصی ندارند - اغلب اطلاعات حساس. در واقع، داده های شخصی معمولاً ارز مبادله شده برای برنامه ها، خدمات یا حقوق دولتی است.

منبع: kaspersky