Biometri är på frammarsch som ett avancerat lager för många personliga och företags säkerhetssystem. Med unika identifierare från din biologi och ditt beteende kan detta verka idiotsäkert. Men biometrisk identitet har gjort många försiktiga när det gäller att använda den som enda autentisering.
Modern cybersäkerhet fokuserar på att minska riskerna för denna kraftfulla säkerhetslösning: traditionella lösenord har länge varit en svag punkt i säkerhetssystemen. Biometri avser att vara svaret på detta problem genom att länka identitetsbevisen till våra kroppar och beteendemönster.
I den här artikeln kommer vi att utforska grunderna i hur cybersäkerhet använder biometri. Vi ska svara på några vanliga frågor om biometri för att bryta ner det hela:
- Vad är syftet med biometri?
- Vad är biometriska data?
- Vad är en biometrisk skanner?
- Vilka är riskerna med biometrisk säkerhet?
- Hur kan vi göra biometri ännu säkrare?
Vi börjar med grunderna.
Vad är biometri?
En snabb definition: biometri är biologiska mätningar – eller fysiska egenskaper – som kan användas för att identifiera individer. Fingeravtrycksläsning, ansiktsigenkänning och näthinneskanning är olika former av biometrisk teknik, men det är bara de mest erkända alternativen.
Forskare säger att formen på ett öra, hur någon sitter och går, unika kroppslukter, blodådrorna på handen och till och med grimaser kan vara unika identifieringstecken. Dessa egenskaper definierar ytterligare biometri.
Tre typer av biometrisk säkerhet
Även om det finns andra tillämpningar har biometri ofta använts inom säkerhet och man kan dela in biometri i tre grupper:
- Biologisk biometri
- Morfologisk biometri
- Beteendebiometri
Biologisk biometri använder egenskaper på genetisk och molekylär nivå. Dessa kan inkludera egenskaper som DNA eller ditt blod, vilket kan bedömas med ett prov av dina kroppsvätskor.
Morfologisk biometri inbegriper din kropps struktur. Mer fysiska egenskaper som ditt öga, fingeravtryck eller din ansiktsform kan kartläggas för att användas i säkerhetsskanningar.
Beteendebiometri baseras på mönster som är unika för varje person. Hur du går, talar eller skriver på ett tangentbord kan vara en indikation på din identitet om dessa mönster spåras.
Biometrisk säkerhet fungerar
Biometrisk identifiering har en växande roll i vår vardagssäkerhet. Fysiska särdrag är relativt fasta och individuella, även när det gäller tvillingar. Varje persons biometriska identitet kan användas till att ersätta eller åtminstone komplettera lösenordssystem för datorer, telefoner och rum eller byggnader med begränsad åtkomst.
När biometrisk data har erhållits och mappats har den sparats och kan användas för att matcha vid framtida åtkomstförsök. Större delen av tiden kommer denna data att vara krypterad och lagras inom enheten eller i en fjärrserver.
Biometriska skannrar är maskinvara som används för att läsa av biometrin som ska verifiera identiteten. Dessa skanningar matchas mot den sparade databasen för att bevilja eller neka åtkomst till systemet.
Med andra ord innebär biometrisk säkerhet att din kropp blir "nyckeln" som låser upp din åtkomst.
Biometri används tack vare två stora fördelar:
- Smidigt att använda: biometrin har du alltid med dig och går inte att förlora eller glömma.
- Svårt att stjäla eller härma: biometri går inte att stjäla som ett lösenord eller en nyckel.
Även om dessa system inte är perfekta erbjuder de goda förhoppningar för framtidens cybersäkerhet.
Exempel på biometrisk säkerhet
Här kommer några vanliga exempel på biometrisk säkerhet:
- Röstigenkänning
- Fingeravtrycksskanning
- Ansiktsigenkänning
- Irisigenkänning
- Hjärtfrekvenssensorer
I praktiken används redan biometrisk säkerhet i många branscher.
Avancerad biometri används också för att skydda känsliga dokument och värdesaker. Citibank använder röstigenkänning och den brittiska banken Halifax testar enheter som övervakar hjärtslag för att verifiera kunders identitet. Ford överväger även att sätta in biometriska sensorer i bilar.
Biometri ingår i e-pass över hela världen. I USA har e-pass ett chipp som innehåller ett digitalt foto av ansiktet, fingeravtryck eller iris, samt teknik som förhindrar att chippet läses – och data stjäls – av ej auktoriserade dataläsare.
Nu när dessa säkerhetssystem läggs ut kan vi se för- och nackdelarna med dem i realtid.
Är biometriskannrar säkra? – Förbättringar och orosmoln
Biometriskannrar blir alltmer sofistikerade. Det finns till och med biometri i system för telefonsäkerhet. Tekniken för ansiktsigenkänning på Apples iPhone X projicerar 30 000 infraröda prickar på användarens ansikte för att verifiera användaren genom mönstermatchning. Enligt Apple är risken att förväxla identiteten med biometrin i iPhone X en på miljonen.
Den nya smarta telefonen LG V30 kombinerar ansikts- och röstigenkänning med fingeravtrycksläsare och behåller dessa data på telefonen för ökad säkerhet. Sensortillverkaren CrucialTec länkar en pulssensor till sin fingeravtrycksläsare för tvåstegsverifiering. Detta gör att klonade fingeravtryck inte kan användas för att komma åt deras system.
Utmaningen är att biometriskannrar, inklusive ansiktsigenkänning, kan bli lurade. Forskare vid University of North Carolina i Chapel Hill hämtade foton av 20 frivilliga från sociala medier och använde dem för att konstruera 3D-modeller av deras ansikten. Forskarna lyckades knäcka fyra av de fem säkerhetssystem de testade.
Exempel på fingeravtryckskloning finns överallt. Ett exempel från cybersäkerhetskonferensen Black Hat visade att ett fingeravtryck kan klonas pålitligt på ungefär 40 minuter med material för 100 kronor, genom att helt enkelt göra ett avtryck av fingeravtrycket i formplast eller vax.
Tysklands Chaos Computer Club lurade iPhones fingeravtrycksläsare TouchID inom två dagar efter lanseringen. Gruppen fotograferade helt enkelt ett fingeravtryck på en glasyta och använde det för att låsa upp iPhone 5s.
Biometri – Identitets- och integritetsbekymmer
Biometrisk verifiering är praktiskt, men sekretessförespråkare fruktar att biometrisk säkerhet urholkar den personliga integriteten. Faran är att personuppgifter enkelt kan samlas in utan medgivande.
Ansiktsigenkänning är en del av vardagen i kinesiska städer, där det används för rutinmässiga inköp, och London är översållat med övervakningskameror. New York, Chicago, och Moskva kopplar nu upp övervakningskameror i sina respektive städer till databaser för ansiktsigenkänning, för att hjälpa polisen att bekämpa brott. Carnegie Mellon University trimmar tekniken och utvecklar en kamera som kan skanna iris hos människor i folksamlingar på tio meters håll.
År 2018 infördes ansiktsigenkänning på Dubais flygplats, där resenärer fotograferas med 80 kameror när de passerar genom en tunnel i ett virtuellt akvarium.
Kameror för ansiktsigenkänning är redan i bruk på andra flygplatser över hela världen, bland annat i Helsingfors, Amsterdam, Minneapolis-St. Paul och Tampa. Alla data måste lagras någonstans, vilket spär på fruktan för konstant övervakning och missbruk av data.
Säkerhetsbekymmer gällande biometriska data
Ett mer omedelbart problem är att databaser med personlig information är mål för hackare. När till exempel den amerikanska myndigheten för personalhantering hackades år 2015 kom cyberbrottslingar undan med fingeravtryck från 5,6 miljoner offentliganställda och gjorde dem till mål för identitetsstöld.
Lagring av biometriska data på en enhet – som iPhones TouchID eller Face ID – anses vara säkrare än att förvara det hos en tjänsteleverantör, även när sådana data krypteras.
Risken liknar den för en lösenordsdatabas där hackare kan bryta sig in i systemet och stjäla data som inte skyddas effektivt. Men följderna är väldigt annorlunda. Om ett lösenord avslöjas kan det ändras. Biometriska data däremot förblir desamma för evigt.
Sätt att skydda en biometrisk identitet
Extra skyddsåtgärder måste vidtas i biometriska system med avseende på riskerna med integritet och säkerhet.
Obehörig åtkomst blir svårare när systemen kräver flera verifieringssätt, som detektion i realtid (t. ex. blinkningar) och matchande kodade prover för användare i krypterade domäner.
Vissa säkerhetssystem tar även med extra särdrag, såsom ålder, kön och längd, i sina biometriska data för att stoppa hackare.
Indiens program från India Aadhaars myndighet för unika ID är ett bra exempel. Programmet för flerstegsverifiering inleddes 2009 och omfattar irisavläsning, fingeravtryck från samtliga tio fingrar och ansiktsigenkänning.
Informationen är kopplad till ett unikt id-kort som utfärdas till var och en av Indiens 1,2 miljarder invånare. Snart kommer det här kortet att vara obligatoriskt för alla som ansluter till sociala tjänster i Indien.
Biometri är en bra ersättning för användarnamn som en del av en strategi med tvåfaktorsautentisering. Den inbegriper:
- Något du är (biometri)
- Något du har (som en token med maskinvara) eller något som du känner till (som ett lösenord)
Tvåfaktorsautentisering utgör en kraftfull kombination, särskilt som IoT-enheter ökar kraftigt. Om du har flera lager i skyddet blir säkrade internetenheter mindre sårbara för dataintrång.
Dessutom kan du får extra skydd genom att använda en lösenordshanterare till att lagra traditionella lösenord.
Lärdomar om biometri
Sammanfattningsvis fortsätter biometri att växa som ett sätt att verifiera identiteten i cybersäkerhetssystem.
Det kombinerade skyddet av dina fysiska eller beteendemässiga signaturer med andra autentiseringar ger en säkerhet som är bland de starkaste vi känner till. För tillfället är det som minimum bättre än att använda ett teckenbaserat lösenord som enda verifiering.
Biometrisk teknik erbjuder mycket tilltalande lösningar för säkerhet. Trots riskerna är systemen behändiga, och de är svåra att duplicera. Dessa system kommer dessutom att fortsätta att utvecklas under lång tid in i framtiden.
Relaterade artiklar: