Istnieje kilka podstawowych problemów związanych z wykorzystaniem danych biometrycznych, takich jak odciski palców, rozpoznawanie twarzy itp. do uwierzytelniania. Jest to jeszcze bardziej problematyczne, gdy w grę wchodzi szyfrowanie.
Korzystanie z biometrii do uwierzytelniania wiąże się z dwoma głównymi problemami.
- Jeśli nikt inny nie obserwuje, jak „stosujesz” dane biometryczne, naprawdę trudno jest zapewnić, że jest naprawdę przywiązany do prawdziwej osoby. Pomyśl o modelu 3D twarzy lub odciętym kciuku :-( .
- Nie możesz zmienić swojej twarzy ani odcisku palca, a to nie jest tajemnica, więc gdy wiedza trafi w niepowołane ręce, staje się technologicznym wyścigiem zbrojeń z fizycznymi i elektronicznymi urządzeniami do podszywania się, takimi jak fałszywe kciuki lub czytniki odcisków palców omijające technologię, i wiele więcej. Na zawsze utknąłeś z twarzą i palcami.
To dość jasno pokazuje, że czyste uwierzytelnianie biometryczne jest odpowiednie tylko wtedy, gdy chroniony zasób ma wystarczająco niską wartość, aby atakujący nie uznał kosztów i ryzyka ominięcia go za opłacalny.
Obecny trend włączania uwierzytelniania odcisków palców do urządzeń mobilnych jest niepokojący. Wartość reprezentowana przez nowoczesne urządzenie mobilne, w tym aktywa potencjalnie osiągalne pośrednio, takie jak konta internetowe, może z łatwością sprawić, że podszywanie się będzie opłacalne. W niektórych częściach świata nie potrzeba zbyt dużej wyobraźni, by wyobrazić sobie, że ludzie są okradani nie tylko z telefonów, jak dzisiaj, ale z palca o tej samej porze jutro.
Mamy już sytuację, w której kradzież tożsamości jest poważnym problemem. Ale w rzeczywistości można sobie z tym poradzić, nawet jeśli proces jest utrudniony przez przestarzałe systemy i przepisy. Jeśli biometria nadal będzie się rozwijała, możemy uzyskać grupę ludzi, którzy nigdy w pełni nie zintegrują się ze społeczeństwem, ponieważ ich skradzione dane biometryczne nigdy nie zostaną odzyskane ani zmienione. Kradzież może nastąpić pojedynczo lub z korporacyjnych lub rządowych baz danych.
Chociaż prawdopodobieństwo wycieku krajowej lub korporacyjnej bazy danych o odciskach palców jest prawdopodobnie niskie, nie jest ono zerowe. Z czasem to nastąpi. A jeśli nastąpi, nigdy nie można tego cofnąć.
Z drugiej strony skradzione hasło jest stosunkowo łatwe do zmiany.
Biometria do szyfrowania
Dość często otrzymujemy prośby o zintegrowanie różnych form biometrii z AxCrypt zamiast lub jako uzupełnienie hasła. Problem polega na tym, że odpowiednio zaprojektowane systemy szyfrowania zakładają, że atakujący ma ogromne zasoby i pełną wiedzę o wszystkim. Z wyjątkiem jednej informacji: klucza deszyfrującego. To wszystko, co musi być utrzymywane w tajemnicy, a także musi być utrzymywane w tajemnicy. Wszystko zależy od tego, czy ten klucz jest tajny. W terminologii AxCrypt hasło jest ostatecznie kluczem, który musi być tajny.
Odcisk palca jest unikalny, ale nie jest tajny i nie można go zmienić. Całkowicie nie nadaje się do użycia bezpośrednio lub pośrednio jako klucza szyfrowania.
Możliwe jest robienie tego, co robią producenci urządzeń mobilnych, wykorzystanie wewnętrznego zaufanego sprzętu jako strażnika tajnych kluczy, które ujawnią sekrety tylko wtedy, gdy zostaną uwierzytelnione na przykład odciskiem palca. Tak działa Apple Touch ID. Pamiętaj jednak o zastrzeżeniach uwierzytelniania biometrycznego, o których mowa powyżej. Wewnętrzny zaufany sprzęt zawsze może zostać oszukany przez wystarczająco dobrze wykonane urządzenie lub artefakt, a często wymagany odcisk palca znajduje się nawet na samym urządzeniu!
Miłego AxCryptowania!