تکنولوژی بیومتریک به روشهای خودکار تشخیص یا تأیید هویت یک شخص زنده از طریق اندازهگیری مشخصههای فیزیولوژیکی یا رفتاری وی اطلاق میشود؛ بدین ترتیب بیومتریک یک مجموعه فناوری محسوب میگردد.
به بیانی ساده احراز هویت بیومتریک تأیید هویت شما با اندازهگیری ویژگیهای منحصر به فرد بدن شما میباشد، که پس از شناسایی، شما را به سرویس، اپلیکیشن، سامانه و… وارد میکند. دلیل پیچیدگی این تکنولوژی در آن نهان است، حال بیایید ببینیم این تکنولوژی چگونه کار میکند.
احراز هویت بیومتریک یک مرحله جلوتر رفته و از اطلاعات افراد برای مقایسه با یک پایگاه داده استفاده میکند و آنها را به یک سرویس وارد میکند.
به این موضوع این گونه نگاه کنید: شناسایی بیومتریک مانند فردی است که با چشم نیمه باز از طریق روزنه در میخواهد به ۲ نفر که زنگ زدهاند، نگاه کند. او بر اساس قد، رنگ مو، رنگ چشم و… تصمیم میگیرد که کدامیک از آنها دوست است.
احراز هویت بیومتریک، همان فردی است که با چشم نیمه باز از طریق روزنه در میخواهد ببیند چه کسی به دیدار او رفته است. اگر دوست باشد، به او اجازه ورود میدهد.
اگر دوست نباشد، درب بسته باقی خواهد ماند.
موضوعی که ما در این مقاله پوشش میدهیم توضیح گستردهای از احراز هویت بیومتریک، یک تکنولوژی جذاب که در حال حاضر به شکل قابل توجهی پذیرفته شده است و پتانسیل گسترش در آینده را دارد، میباشد.
احراز هویت بیومتریک با مقایسه دو مجموعه داده کار میکند: اولین مورد توسط صاحب دستگاه از پیش تعیین شده است، در حالیکه دومین داده به بازدید کننده دستگاه تعلق دارد. اگر دو داده تقریباً یکسان باشند، دستگاه میداند که “بازدیدکننده” و “صاحب دستگاه” یک نفرند و به شخص اجازه دسترسی میدهد.
نکته مهم این است که تطبیق بین دو مجموعه داده تقریباً یکسان است اما دقیقاً یکسان نیست. زیرا ممکن است ۲ مجموعه داده بیومتریک ۱۰۰٪ مطابقت نداشته باشند. به عنوان مثال، ممکن است انگشت ما کمی عرق کرده و خیس، کثیف و یا کمی زخمی باشد و در اثر آنها مدل اثر انگشت تغییر کند.
طراحی فرایند بهطوری که نیازی به تطبیق دقیق نداشته باشد احتمال خطا (دستگاه اثرانگشت واقعی شما را تشخیص نمیدهد) و در عین حال شانس اینکه اثر انگشت جعلی، صحیح در نظر گرفته شود را افزایش میدهد.
چندین روش احراز هویت برای شناسایی کاربران سامانهها وجود دارد که در ادامه به آنها اشارهشده است.
سه نوع اسکنر اثر انگشت وجود دارد: نوری، خازنی و اولتراسونیک (امواج فراصوتی).
گوگل و اپل هر دو، اثر انگشت شما را بر روی دستگاه خود شما ذخیره میکنند و هیچ نسخهای از آن را در سرورهای خود کپی نمیکنند.
شناساگر اثر انگشت اپل تصویر واقعی اثرانگشت شما را ذخیره نمیکند بلکه یک نمایش ریاضی از آن را ذخیره میکند. بنابراین حتی اگر یک هکر مخرب به این نمایش ریاضی دست یابد، نمیتواند آن را طوری طراحی کند تا یک عکس واقعی از اثر انگشت شما را نشان دهد. علاوه بر این، دادههای اثر انگشت شما رمزگذاری میشوند.
همانطور که یک محقق امنیتی اشاره کرده است، اگرچه شناساگر اثر انگشت را میتوان هک کرد ولی این روش هنوز هم یک روش بسیار امن برای احراز هویت بیومتریک است. کسی که میخواهد یک گوشی اپل با شناساگر اثر انگشت را هک کند، به یک کپی بسیار عالی از اثرانگشت شخص نیاز دارد تا به تلفن او دسترسی یابد، به همین دلیل این روش با سرقت یک رمز عبور، کاملاً متفاوت است.
حتی سیستمعامل دستگاه هم نمیتواند مستقیماً به دادههای اثر انگشت دسترسی پیدا کند و نسبت به سایر برنامهها دسترسی بسیار کمتری دارد. در عوض، یک نرمافزار امنیتی “gatekeeper” باقابلیت Secure Enclave (تضمینکننده امنیت یک جلسه) وجود دارد که بین دادههای اثر انگشت و برنامهای که اسکن اثر انگشت را انجام میدهد، قرار میگیرد.
“Gatekeeper” فنآوری جدید امنیتی اپل است که همزمان با “Mountain Lion” منتشر میشود. با این فنآوری اپل به شما اجازه میدهد برنامههای تولیدکنندگان مورد تأیید اپل را نیز در کنار برنامههای موجود در Mac Store نصب کنید و درصورتیکه این برنامه در اجرا با مشکل حادی مواجه شود، اپل قادر به غیر فعالسازی آن و لغو مجوز اعطاشده میباشد.
“Secure Enclave” بخشی از تراشههای A7 و جدیدترین تراشهای است که برای Touch ID استفاده میشود.
گوشیهای اندروید تحت دستورالعملهای مشابه کار میکنند. آنها دادههای اثر انگشت را در قسمت امن پردازشگر اصلی به نام “Trusted Execution Environment” یا بهطور خلاصه TEE نگه میدارند. TEE از دیگر قسمتهای پردازنده جدا میباشد و بهطور مستقیم با برنامههای نصبشده ارتباط برقرار نمیکند.
مانند دستگاههای اپل، دادههای اثر انگشت در حالت رمزگذاری شده ذخیره میشوند. علاوه بر این، هنگامیکه کاربری از دستگاه استفاده نمیکند، باید هرگونه اثر انگشت ذخیرهشده بر روی آن حذف شود.
در حالیکه سایر دستگاهها هنوز متکی به روش اثر انگشت هستند، اپل تکنولوژی اسکن اثرانگشت را تغییر داد و شناساگر چهره را با شناساگر اثر انگشت جایگزین کرد.
درواقع، در سال ۲۰۱۸، بسیاری از توسعهدهندگان گوشیهای هوشمند قصد دارند اسکنر اثر انگشت را بر روی صفحهنمایش خود قرار دهند. Vivo اولین شرکتی است که چنین دستگاهی را عرضه میکند. گوشی Vivo دارای یک سنسور CMOS Synaptic و یک دوربین کوچک، که در زیر نمایشگر (قطعه OLED) قرار دارد، میباشد.
هر زمان که صفحه OLED روشن میشود حسگر، اثر انگشت شما را نیز میبیند و سپس آن را با اطلاعاتی که قبلاً ذخیرهشده مقایسه میکند. برای کاربران، نتیجه مشابه روش قبل است، صفحه را با انگشت خود لمس میکنند و گوشی آنها باز میشود.
محققان امنیتی، چشم را یکی از قابل اطمینانترین قسمتهای بدن برای احراز هویت بیومتریک میدانند، زیرا شبکیه و عنبیه در طول عمر فرد کاملاً بدون تغییر باقی میمانند.
هنگامیکه حرف از بیومتریک است، عنبیه چشم دارای چندین مزیت عمده در مقایسه با اثر انگشت است:
تنها عیب اصلی اسکنر عنبیه این است که عکسهای با کیفیت بالا از چشم یا چهره شما میتوانند اسکنر را فریب دهند و دستگاه را باز کنند.
باوجود این محدودیتها، تکنولوژی بیومتریک بهعنوان یک ویژگی امنیتی در فرودگاهها، بانکها و دیگر سازمانهای حساس استفاده میشود. البته، درست مثل سایر مشخصههای امنیتی، از تکنولوژیهای احراز هویت چندگانه در آنها استفاده میشود.
نحوه عملکرد آنها چنین است، در مرحله ثبتنام، اسکنر با استفاده از هر نور طبیعی و همچنین نور مادون قرمز عکس عنبیه را با دقت بالا میگیرد. زیرا در غیر این صورت عنبیه چشم قابل مشاهده نیست.
پس از آنکه دستگاه مشخصات عنبیه فرد را ثبت کرد، جزئیات غیرضروری مانند مژهها را حذف میکند، سپس اطلاعات را به دادههای ریاضی تبدیل میکند و آنها را رمزگذاری میکند.
برای تأیید نهایی، یک اسکنر عنبیه دوباره نور مادونقرمز را برای شناسایی بهتر جزئیات پنهان به چشم میتاباند. از آنجا که یک اسکنر عنبیه نور خود را تأمین میکند، در شرایط تاریک نیز کار میکند.
شناساگر متکلم، برعکس شناساگر صدا، میخواهد کسی را که صحبت میکند شناسایی کند و نه حرفی که گفته میشود.
بهمنظور شناسایی متکلم، نرمافزار تخصصی، کلمات شما را به بستههای فرکانسی تجزیه میکند که فورمنت (formants) نامیده میشوند. این بستههای فورمنت نیز شامل یک تن صدایی از کاربر بوده و این دو با هم، مدل صدای شما را تشکیل میدهند.
فورمنت (formant): فورمنت را بهعنوان “قله طیفی” طیف صدا تعریف میکنند. انجمن آکوستیک آمریکا یک فورمنت را چنین تعریف میکند: “طیف وسیعی از فرکانسها [صدای پیچیده] که در آن حداکثر مطلق یا نسبی در طیف صدا وجود دارد”.
برخلاف سایر روشهای ذکر شده در اینجا، تشخیص متکلم یک مشکل دارد و آن این است که صداهای پسزمینه و صداهای موجود در محیط پیرامون، صدای شخص را از شکل طبیعی خارج میکند و تشخیص درست غیرممکن میشود.
اما بزرگترین مسئله برای تشخیص متکلم این است که چگونه میتوان یک نمونه صدای ضبط شده با کیفیت بالا ایجاد کرد. حتی تلفنهای هوشمند با کیفیت پایین نیز میتوانند صدای شخص، آهنگ صدا، تن و لهجه را با دقت کامل ضبط کنند.
این مشکل، شناساگر متکلم و تکنولوژیهای مشابه به آن را از رسیدن به مسیر اصلی متوقف نکرده است. کافیست به موفقیت Amazon Echo، Google Home و دیگر کنترلکنندههای صدای متکلمان که در بسیاری از خانههای هوشمند به کار برده شدهاند، نگاه کنید.
منظور ما سوءاستفاده از احراز هویت بیومتریک نیست، بلکه منظورمان روشهای “کلاسیک” هکرهاست. آزمایشگاههای امنیتی Rhino نشان دادند که مهاجمان چگونه از طریق وایفای (شبکه اینترنت بیسیم) به Amazon Key حمله میکنند تا دوربینهای امنیتی تعبیهشده در منزل، فیلم افرادی را که وارد خانه میشوند، ضبط نکنند.
روشهای بالا شناختهشدهترین و محبوبترین آنها هستند، اما تنها این موارد نیستند. در این قسمت به برخی دیگر از این فنآوریها اشارهشده است:
بهطورکلی، سیستمهای تشخیص چهره از بسیاری از روشهای احراز هویت بیومتریک استفاده میکنند.
روش کلاسیک آن، این است که بهراحتی ویژگیهای چهره خود را (چشمها، بینی، فاصله بین لبها و …) از یک تصویر استخراج کنید و آنها را با سایر تصاویر مقایسه کنید تا یک همخوانی و شباهت پیدا کنید.
روش مدرن آن با تجزیه و تحلیل بافت پوست، خطوط منحصر بهفرد، علائم زیبایی، چین و چروک و … در چهره شما به یک فضای ریاضی تبدیل میشوند که بعداً با سایر تصاویر مقایسه میشوند.
هر دو روش را میتوان بهراحتی با آرایش، ماسک و یا در برخی موارد، بهسادگی با پوشش بخشی از چهره خود فریب داد. این همانجایی بود که با بهکارگیری تصاویر حرارتی و سایر تکنولوژیها این بازی را قبل از رسیدن به اوج خود متوقف ساختیم که از استقبال گسترده سیستمهایی مانند Apple برخوردار شد.
شناساگر چهره آیفون از بیش از ۰۰۰ ۳۰ نقطه مادونقرمز برای تعیین مدل چهره شما استفاده میکند، سپس یک نقشه سهبعدی از ویژگیهای چهره شما را ایجاد میکند. این نقشه به Enclave Secure در پردازنده فرستاده میشود تا با داده از پیش ذخیره شده در دستگاه مقایسه شود. نتیجه؟ تلفن شما فقط با نگاه کردن به آن باز شده است.
اپل برای بازاریابیهای خود گفته است که از بین یکمیلیون فرصت برای باز کردن قفل آیفون تنها یک شانس با استفاده از شناساگر چهره وجود دارد. البته، این فقط بهعنوان یک چالش برای کارشناسان امنیتی به نظر میرسد. یک محقق از ویتنام شناساگر چهره را با یک ماسک سهبعدی چاپشده از نوار سیلیکون و کاغذ فریب داد.
این روش هرچند به منحصر به فردی اثر اسکن عنبیه چشم و یا چهرهنگاری سهبعدی نیست، اما از آنجا که دست ما تا حدودی متفاوت از دست سایر افراد است، این روش در شرایط خاص میتواند، یک روش احراز هویت قابل اعتماد باشد.
اسکنر دست، شکل و هندسه، ضخامت کف دست، طول و عرض انگشتان و… را اندازهگیری میکند.
مزایای استفاده از این نوع سیستم کمهزینه بودن، سهولت استفاده و محبوبیت آن است. این مورد نیز دارای چند عیب عمده است. اندازه دست در طول زمان میتواند متفاوت باشد. مشکلات بهداشتی ممکن است حرکات را محدود کنند. مهمتر از همه، یکدست بهاندازه کافی منحصر به فرد نیست، بنابراین دقت سیستم کم است.
طرح رگهای ما کاملاً منحصر به فرد است و حتی برای دوقلوها هندسه و شکل مشابهی ندارند. درواقع طرح کلی رگها از یکدست تا دست دیگر متفاوت است.
مزیت اضافهای که رگها دارند این است که کپی کردن و سرقت از طریق آنها به طرز باورنکردنی دشوار است زیرا آنها تحت شرایطی کاملاً خاص قابلمشاهده هستند.
یک اسکنر هندسی رگهای، میتواند رگها را با نور کم مادونقرمز روشن کند و درنتیجه رگها روی تصویر قابلمشاهده باشند.
درنهایت، همه تکنیکهای احراز هویت بیومتریک مربوط به امنیت است. اگر آن را به عنوان یک قابلیت بدانیم رقیب اصلی آنها رمز عبورها (و یا در موارد خاص پین کدها)هستند و مقایسه بین این دو، نقاط ضعف آنها را نشان میدهد.
استفاده از اثر انگشت یا اسکن عنبیه چشم بسیار آسانتر از استفاده از یک رمز عبور است، بهویژه اگر رمز عبور طولانی باشد. برای گوشی هوشمند که بتواند یک اثر انگشت را شناسایی کند و به کاربر اجازه دسترسی به تلفن را بدهد، تنها یک ثانیه طول خواهد کشید. اسکنرهای اولتراسونیک بهزودی رایج میشوند، زیرا تولیدکنندگان میتوانند آن را بهطور مستقیم در پشت صفحهنمایش قرار دهند، بدون اینکه هرگونه شرایط اضافهای را بر روی یک گوشی قرار دهند.
از سوی دیگر، تشخیص صدا منوط به برقراری شرایطی است و صداهای پسزمینه میتوانند بهراحتی فرایند را متوقف کنند و آن را غیر عملی سازند.
بزرگترین مزیت بیومتریک این است که یک هکر مخرب باید در نزدیک جسم شما باشد تا اطلاعات مورد نیاز برای ورود به سیستم را جمعآوری کند.
در صورتی که قفل شما به نحوی بیومتریک باشد، دایره مظنونین احتمالی را محدود میکند و هکرهای مخرب که به طور معمول از قاره دیگر هک میکنند دیگر نمیتوانند کاری کنند.
هنگامی که برای اولین بار میخواهید اثر انگشت خود را ثبت کنید، دستگاه شما از چندین زاویه مختلف اثرانگشت شما را میخواهد. سپس این نمونهها بهعنوان دادههای اصلی با تلاشهای بعدی که برای باز کردن دستگاه مورداستفاده قرار میگیرند، مقایسه میشوند.
اگرچه، سنسورهای گوشیهای هوشمند کوچک هستند، ولی اغلب به موارد جزئی از اثر انگشت دست مییابند.
محققان کشف کردهاند که مجموعهای متشکل از ۵ “اثر انگشت کلیدی “میتواند از این تطبیقهای جزئی بهرهبرداری کند و حدود ۶۵ درصد از دستگاهها را باز کند.
این تعداد بهاحتمال زیاد در شرایط فعلی، کمتر است اما نرخ حقیقی آن حتی اگر ۱۰ الی ۱۵ درصد باشد بازهم زیاد است و میتواند میلیونها دستگاه را تحت تأثیر قرار دهد.
اگر کسی رمز عبور شما را بدست آورد، همیشه میتوانید گذرواژه خود را تغییر دهید، اما هیچ راهی برای تغییر عنبیه چشم، شبکیه یا اثر انگشت شما وجود ندارد. هنگامیکه کسی نسخهای از آنها را داشته باشد، بههیچوجه نمیتوانید امنیت بیشتری داشته باشید، به غیر از تغییر رمز عبور یا استفاده از اثر انگشتی دیگر.
در یکی از بزرگترین هکهای اداره مدیریت منابع انسانی ایالاتمتحده، هکرها ۵.۶ میلیون اثرانگشت به دست آوردند و از طریق آنها نفوذ کردند. کارکنان و افراد وابسته، بخشی از هویتشان برای همیشه به خطر افتاد.
یک نکته مهم در امنیت بیومتریک این است که کاربر نمیتواند از راه دور آنها را تغییر دهد. اگر شما نتوانید به ایمیل خود دسترسی پیدا کنید، در این زمان شما میتوانید یک بازیابی از راه دور داشته باشید تا دوباره آن را کنترل کنید. در طول فرایند، شما میتوانید رمز عبور خود را تغییر دهید یا رمز عبور دو مرحلهای را اضافه کنید تا امنیت حسابتان را دو برابر کنید.
ولی عملکرد بیومتریک اینگونه نیست. جسم شما باید در نزدیکی دستگاه باشد تا مجموعه داده اولیه و امن آن را تغییر دهید.
یک دزد میتواند گوشی هوشمند شما را سرقت کند، یک اثر انگشت جعلی ایجاد کند، و سپس از آن برای باز کردن قفل گوشی بهصورت خودکار استفاده کند. مگر اینکه شما به سرعت از راه دور تلفن خود را قفل کرده باشید، هرچند یک دزد حرفهای بهسرعت بیت به بیت اطلاعات را بر روی دستگاه سرقت میکند.
چند سال پیش، محققان امنیتی نقاط ضعف دستگاههای اندروید را که به هکرها اجازه میداد تا اثر انگشت کاربر را استخراج کنند و از در پشتی (backdoor) نرمافزار برای ربودن پرداختهای با تلفن همراه یا حتی نصب نرمافزارهای مخرب استفاده کنند، کشف کردند.
علاوه بر این، آنها قادر به انجام این کار از راه دور بدون دسترسی فیزیکی به دستگاه بودند.
پس از آن، کارهایی برای رفع آسیبپذیریهای مربوط به نرمافزارهای احراز هویت انجام شد، اما همچنان شکارچیان حقیقی در حال شکار با موارد جدیدتر هستند.
محققان امنیتی کلاهسفید (Whitehat) بارها و بارها نشان دادهاند که چگونه اسکنر اثر انگشت یا عنبیه چشم را فریب میدهند. در اینجا فقط به برخی از روشهایی که استفاده میکنند، اشاره شده است:
اصطلاح “کلاهسفید” در زبان عامیانه اینترنت به یک هکر کامپیوتری اخلاقی یا یک متخصص امنیتی کامپیوتر که متخصص در آزمایش نفوذ و سایر روشهای تست برای حصول اطمینان از امنیت سیستمهای اطلاعاتی سازمان است گفته میشود.
برای باز کردن یک گوشی هوشمند با یک اثر انگشت ایمن، هکر باید در ابتدا یک چاپ با کیفیت بالا را که شامل الگوهای خاص و کافی برای باز کردن دستگاه است آماده کند.
بعد، مهاجم اثر انگشت را برداشته، آن را روی یک ورقه پلاستیکی قرار داده و سپس مدل اثر انگشت را قالبگیری کند.
هنگامیکه هکری اثرانگشت جعلی شما را ایجاد میکند، تمام کاری که او باید انجام دهد این است که آن را در اسکنر قرار دهد، انگشت خود را برای انجام عملیات الکتریکی فشار دهد و سپس از تلفن باز شده استفاده کند.
برای فریب برخی از اسکنرهای عنبیه چشم، تمام کاری که باید انجام شود این است: گرفتن عکس با یک دوربین ارزان در حالت شب، چاپ عنبیه چشم بر روی کاغذ، سپس یک لنز مرطوب برای ایجاد شباهت به چشم انسان بر روی آن قرار میدهند.
یکی دیگر از روشهای مؤثر در به دست آوردن دادههای مربوط به اثر انگشت یک تلفن و باز کردن قفل آن این است که، هکرها مستقیماً قسمت ذخیرهسازی اطلاعات تلفن را هک میکنند.
برای دستگاههای iOS، این کار به معنی شکستن امنیت Enclave است. ازلحاظ فنی، این امکانپذیر است، اما از محدوده هکهای روزمره هکرهای سایبری فراتر است. تعداد زیادی برای این نوع از هک توسط سلبریت (Cellebrite) گزارش نشده است.
اگر کسی تلفن هوشمند شما را سرقت کند، قفل اثر انگشت بیفایده است، چراکه به راحتی نمونه چاپی را از دستگاه برمیدارد.
در اینجا چند گام ساده برای به حداقل رساندن تعداد کپیها از اثر انگشت موجود بر تلفن همراه شما ارائه شده است:
به یاد داشته باشید احراز هویت بیومتریک در چند سال گذشته بهشدت گسترش یافته است و روز به روز مورد استقبال بیشتری قرار میگیرد.
آیا شما از هر نوع فناوری بیومتریکی استفاده میکنید؟ چه حسی در مورد آن دارید؟ فکر میکنید از چه میزان امنیتی برخوردار است؟