Биометрическая аутентификация: истоки, хаки и будущее

Биометрическая защита в смартфонах и ноутбуках позволяет разблокировать устройство за десятые доли секунды или быстро запустить приложение. Сканер отпечатка пальца сегодня есть во множестве смартфонов, планшетов и ноутбуков.

Парадокс, но чем изощреннее становятся пароли, тем труднее защищать данные — обычным пользователям сложно придумывать и запоминать пароли, которые с каждым годом заставляют делать всё сложнее. А биометрическая авторизация избавляет от многих неудобств, связанных с применением сложных паролей.

Технология идентификации по отпечатку пальца, форме лица и другим уникальным физиологическим данным человека, известна уже десятки лет, но не стоит на месте, а постоянно развивается. Сегодня биометрические технологии лучше, чем были десять лет назад, и прогресс не стоит на месте. Но хватит ли «запаса прочности» у обычной биометрии или ей на смену придут экзотические методы многофакторной аутентификации?

Истоки биометрии

История современных методов идентификации начинается в 1800-х годах, когда писарь Первого бюро полицейской префектуры Парижа Альфонсо Бертильон предложил метод установления тождества преступников. Бертильон разработал системный подход, измеряя несколько характеристик тела: рост, длину и объём головы, длину рук, пальцев и т.д. Кроме того, он отмечал цвет глаз, шрамы и увечья.

Система идентификации Бертильона имела недостатки, но помогла раскрыть несколько преступлений. И позже легла в основу куда более надежной дактилоскопии.

В 1877 году британский судья в Индии Уильям Гершель выдвинул гипотезу об уникальности папиллярного рисунка кожи человека. Фрэнсис Гальтон, двоюродный брат Чарльза Дарвина, разработал метод классификации отпечатков пальцев. Уже в 1902 году технологию идентификации человека по отпечаткам применили при расследовании уголовных преступлений.

Впрочем, даже в Древней Месопотамии люди использовали ^[1] отпечатки ладоней на глиняных табличках для идентификации.

Технология, позволяющая нам сегодня быстро разблокировать смартфон, берет свое начало в 1960-х, когда компьютеры научились сканировать отпечаток пальца. Параллельно развивалась технология идентификации по лицу, где первый крупный прорыв произошел в 1968 год: при идентификации лиц на 2000 фотографий компьютер смог ^[2] правильно «опознать» больше тестовых образцов, чем человек.

Первый предложенный способ сбора данных с помощью технологий — оптический. Опечаток пальца — это совокупность бугорков и впадин, которые создают определенный рисунок, уникальный для каждого человека папиллярный узор. Поэтому его достаточно просто сфотографировать и сравнить с теми, что хранятся в базе.

Позже был придуман ёмкостный метод сканирования: узор на пальце определяют микроконденсаторы. Метод основан на заряде и разряде конденсаторов в зависимости от расстояния до кожи в каждой отдельной точке поля — если конденсатор расположен под бугорком, он посылает один вид сигнала, а если под впадинкой, то другой.

Сигналы объединяются и сравниваются с зашифрованной информацией об отпечатке, которая хранится на устройстве.

Существуют и другие методы сбора данных: они основаны на работе радиочастотных сканеров, термосканеров, чувствительных к давлению сканеров, ультразвуковых сканеров и так далее. Каждый способ имеет свои достоинства и недостатки, но в мобильных устройствах массово распространены полупроводниковые емкостные сканеры, простые и надёжные.

Поиск надежного пароля

Цифровые биометрические базы данных используются в США с 1980-х годов, но только в 1990-х удалось начать внедрять биометрию в устройства, предназначенные для обычных пользователей. Сначала биометрия не привлекла большого интереса, поскольку оставалась дорогой, неудобной и непонятной для конечного потребителя. Первый встроенный в ноутбук сканер считывал отпечаток пальца около 1 минуты ^[3].

Постепенно стоимость внедрения биометрии снижалась, а требования к безопасности росли. Пользователи использовали одинаковые пароли для всего подряд и не меняли их годами. Производители техники смогли предложить им универсальное решение — тот же самый один пароль для всего, который не нужно менять и который невозможно выкрасть из компьютера пользователя, подобрать брутфорсом или подглядеть через плечо.

В 1994 году Джон Даугман разработал и запатентовал ^[4] первые алгоритмы компьютерной идентификации по радужной оболочке глаза. Хотя алгоритмы и технологии с тех пор значительно улучшились, именно алгоритмы Даугмана по-прежнему являются основой для всех популярных вариаций этого метода. Сегодня сканирование радужной оболочки глаза, его сетчатки, а также анализ ДНК по надежности превосходят отпечаток пальца, но требуют более сложных и дорогостоящих технических решений.

К 2000-м годам стала развиваться и другая биометрическая технология — распознавание лица в реальном времени. Технология во многом похожа на анализ отпечатка пальца: характерные черты лица сравниваются с образцом, хранящимся в базе данных. На лице определяется расстояние между важными точками, а также собирается подробная информация о форме: например, учитывается контур ноздрей, глаз и даже текстуры кожи.

Уязвимость отпечатка

Как показали исследователи ^[5] из Мичиганского государственного университета, первые массовые сканеры отпечатков можно обмануть с помощью обычного струйного принтера и специальной бумаги. Исследователи отсканировали рисунки кожи на нескольких пальцах и просто напечатали их в 2D токопроводящими чернилами на специальной бумаге ^[6], которую обычно применяют для печати электронных схем. Процесс очень быстрый. Это была не первая попытка найти уязвимость в биометрической защите, но ранее на создание качественного образца уходило не менее 30 минут.

Если вы придумали и запомнили сложный пароль, то у вас никто его не «утащит» из головы. А в случае биометрии достаточно найти качественный отпечаток вашего пальца. Эксперты показали ^[7], что можно снять отпечаток при помощи мармеладного мишки, если его приложить к поверхности смартфона. Также отпечаток можно воспроизвести по фотографии или с помощью приложения, имитирующего экран разблокировки.

Люди оставляют свои отпечатки повсюду, как если бы записывали свои пароли на всех встречающихся предметах и поверхностях. Но пароль хотя бы можно поменять, а если биометрический материал скомпрометирован, то вы не можете поменять себе глаз или палец.
Кроме того, базы данных всё время взламывают. Это в меньшей степени касается смартфонов, хранящих информацию в зашифрованном виде. Но много биометрической информации есть у государственных структур, и это не самые надежные хранители.

Будущее биометрической защиты

Пароль никто не должен знать никто кроме вас. В идеальном случае вы никому его не говорите, нигде не записываете, не оставляете никаких лазеек (ответ на «секретный вопрос» — кличка вашей собаки), чтобы исключить возможность простого взлома. Конечно, при должном желании взломать можно очень многое, но уже другими способами. Например, через уязвимость в древнем протоколе SS7 ^[8] перехватывают SMS и обходят двухфакторную аутентификацию — в этом плане биометрия даже надежнее. Правда, вы должны быть весьма важной персоной, чтобы кто-то потратил достаточно денег и усилий на взлом вашего смартфона или ноутбука с использованием всех доступных методов.

Очевидная проблема биометрии — её публичность. Все знают, что у вас есть пальцы, глаза и лицо. Однако «открытые биометрические данные» — это лишь вершина айсберга. Ведутся эксперименты со всеми возможными характерными признаками, от мониторинга вашего сердечного пульса (такое решение уже тестирует MasterCard ^[9]) до имплантации чипов под кожу, сканирования рисунка внутриглазных сосудов, формы мочек ушей и т.д.

В проект Abicus от Google планируется отслеживать ^[10] уникальные черты человеческой речи, что позволит в будущем устанавливать подлинность вашей личности даже во время разговора по телефону.

Экспериментальные камеры видеонаблюдения отслеживают человека буквально по его походке ^[11] — эту технологию трудно представить в качестве защиты смартфона, но она хорошо работает в единой экосистеме умного дома.

Компания TeleSign запустила идентификатор поведения ^[12], основанный на интернет-серфинге пользователя. Приложение записывает, как пользователь перемещает мышь, в каких местах экрана чаще всего кликает. В результате программа создаёт уникальный цифровой отпечаток поведения пользователя.

Вены в запястьях, ладонях и пальцах также могут использоваться как уникальные идентификаторы — более того, они могут дополнять ^[13] существующие методы идентификации по отпечатку пальца. И это намного проще, чем использовать вместо пароля электроэнцефалограмму ^[14], которую снимают электроды на голове.

Вероятно, будущее биометрической защиты — в простоте. Совершенствование современных методов — самый простой способ обеспечить массовый приемлемый уровень защиты. Например, можно сканировать отпечаток с 3D-проекцией всех крошечных деталей, а также учитывать рисунок сосудов.

Технологии биометрической идентификации улучшаются так быстро, что трудно предсказать, как они будут выглядеть через несколько лет. Одно можно предположить довольно уверенно — останутся в прошлом пароли, которые тяжело было использовать, менять и запоминать.

Автор: Марика Река

Источник ^[15]