BIOMETRIA - NOWOCZESNE METODY UWIERZYTELNIANIA

BIOMETRIA - NOWOCZESNE METODY UWIERZYTELNIANIA WHITE PAPER Autor: Michał Szybalski

SPIS TREŚCI

WPROWADZENIE

1. CZYM JEST BIOMETRIA?

1.1. JAKI MA WPŁYW NA NASZE BEZPIECZEŃSTWO?

1.2 BEZPIECZEŃSTWO RÓŻNYCH METOD UWIERZYTELNIANIA

2. BIOMETRIA GŁOSOWA JAKO SZCZEGÓLNY PRZYPADEK BIOMETRII

3. PRZYKŁADY WDROŻEŃ NA ŚWIECIE

4. UWIERZYTELNIANIE BIOMETRYCZNE

5. SCENARIUSZ IDENTYFIKACJI BIOMETRYCZNEJ

6. BEZPIECZEŃSTWO BIOMETRII

7. UWIERZYTELNIANIE WIELOKANAŁOWE

8. KORZYŚCI Z BIOMETRII GŁOSOWEJ

3

12

6

4

14

17

20

22

7

8

10

WHITE PAPER: BIOMETRIA 3

WPROWADZENIE

W 2012 roku odnotowano na całym świecie przynajmniej 44 milio-

nów kradzieży tożsamości. Banki, firmy ubezpieczeniowe oraz

firmy medyczne tracą ponad 50 miliardów dolarów każdego roku

na skutek wyłudzeń świadczeń przez osoby nieuprawnione. Staje

się to łatwiejsze, jeśli weźmiemy pod uwagę, że aż 11% Polaków

zgubiło swój dowód osobisty, 5% padło ofiarą jego kradzieży, a 3%

doświadczyło kradzieży hasła do konta czy skrzynki e-mailowej

– wynika z badania BIK (Badanie BIK „Ochrona tożsamości”, listo-

pad 2015). Mimo tego wciąż najpopularniejszym rozwiązaniem

służącym do identyfikacji użytkownika jest hasło oraz kod PIN.

Czasami dodatkowo stosuje się zestaw pytań pomocniczych.

Dane te są łatwe do przejęcia i wykorzystania w celu uzyskania

nieautoryzowanego dostępu do kont bankowych czy też informa-

cji o ubezpieczeniu klienta. Wielu specjalistów zajmujących się

bezpieczeństwem uważa biometrię za znacznie lepsze i wygod-

niejsze rozwiązanie służące identyfikacji użytkowników.


1. CZYM JEST BIOMETRIA?


BIOMETRIA

to nauka o metodach mierzenia biologicznych i behawioralnych cech organizmów żywych, w tym ludzi. Wiele z tych cech i ich kombinacji ma unikatowy charakter, co pozwala na odróżnianie ich od siebie. Termin „biometria” pochodzi od słów języka greckiego: bios, oznaczającego „życie” oraz metron – „pomiar”. Najbardziej rozpowszechnione mechanizmy to biometria naczyń krwionośnych palca, twarzy czy bio-metria tęczówki. Jednym ze szczególnych przypadków biometrii jest biometria głosowa – wykorzysty-wana do weryfikacji tożsamości podczas komunikacji telefonicznej. Główną zasadą biometrii głosowej jest porównanie wypowiadanego głosu przez klienta z zestawem próbek (voiceprints) zebranych wcześniej w celu określenia, czy dana fraza została rzeczywiście wypowiedziana przez daną osobę. Najczęściej biometrię głosową stosuje się jako jeden z elementów kompleksowej polityki bezpieczeństwa w organizacjach takich jak banki, ubezpieczyciele czy też firmy z branży medycznej. Rozwiązanie to jest znacznie bezpieczniejsze i skutecz-niejsze niż metody identyfikacji bazujące na wiedzy takie jak np. hasła czy pytania bezpieczeństwa. Obecnie biometria głosowa zabezpiecza przed nieautoryzowanym dostępem do konta, zmniejsza możliwość wycieku danych osobowych oraz zapewnia wygodny sposób autoryzacji użytkowników we wszystkich kanałach kontaktu – zarówno podczas komunikacji telefonicznej, z wykorzystaniem aplikacji mobilnych oraz przez stronę WWW.

Według Gartnera w 2012 roku podmioty komercyjne przeprowadziły ponad 150 milionów uwierzytelnień. Do ogólnej liczby nie zaliczamy z przyczyn oczywistych operacji przeprowadzonych przez agencje rządowe oraz służby wywiadowcze.


VV1.1. JAKI MA WPŁYW NA NASZE BEZPIECZEŃSTWO?

Co roku setki milionów złotych są wyłudzane za pomocą skradzionych danych osobowych, takich jak hasła i numery PIN. Dodatkowe zabezpieczenia w postaci haseł bezpieczeństwa są zabezpieczeniem dość iluzo-rycznym, biorąc pod uwagę ile danych osobowych sami użytkownicy udostępniają w serwisach społecznościo-wych. Raporty takich dostawców jak Verizon, IBM, czy Symantec wskazują na rosnące zagrożenia płynące ze strony zorganizowanych grup przestępczych, coraz powszechniej atakujących zasoby dostępne przez internet. Poniżej opiszemy najczęściej wykorzystywane metody kradzieży danych wrażliwych.

NARUSZENIE DANYCH

W 2012 roku firma Verizon oszacowała, że ponad 44 milionów źródeł danych zawierających dane osobowe zostało skradzionych, a 621 milionów – uszkodzonych. Do głośniejszych spraw należy zaliczyć włamania do takich serwisów jak LivingSocial, LinkedIn, czy EverNote, skąd skradziono miliony adresów i haseł wykorzystanych później w różnego rodzaju atakach. Najczęściej ataki te miały miejsce w Stanach Zjednoczonych (prawie 50% wszystkich ataków), następnie w Wielki Brytanii – 8%. W różnym stopniu zagrożonych było prawie 37% danych osobowych na całym świecie.

UDOSTĘPNIANIE DANYCH DO LOGOWANIA

Ponad 50% osób ankietowanych przez Verizon przyznało, że udostępniało hasło lub PIN rodzinie, znajomym czy kolegom z pracy. Przykładowo, członkowie rodziny używali wspólnie kart płatniczych, współpracownicy – korzy-stali z haseł do komputerów firmowych, zasobów sieciowych czy określonych aplikacji. Rozpowszechnianie takich danych (np. używanie jednego hasła do wszystkich serwisów, lub też przechowywanie go na karteczce przyklejonej do monitora) w znaczący sposób upraszcza atak na określone zasoby sieciowe.

WYŁUDZANIE INFORMACJI (PHISHING)

Phishing polega na podszywaniu się pod znane adresatowi osoby lub firmy w celu nakłonienia go do ujawnienia poufnych danych osobowych, takich jak numery kart kredytowych i debetowych lub haseł do kont. Phishing to skrót od password harvesting fishing (łowienie haseł). Niektórzy twierdzą jednak, że nazwa phishing pochodzi od nazwiska Briana Phisha, który jako jeden z pierwszych stosował socjotechnikę do wykradania numerów kart kredytowych. Najczęściej odbywa się to za pomocą maili czy stron podobnych do tych, z których najczęściej korzystamy i którym ufamy. Atakujący muszą uzyskać takie dane jak np. login i hasło (ale też imię i nazwisko, adres mail, data urodzenia itp.). Według badań RSA Anti-Fraud Command Center (AFCC) w 2012 roku liczba ataków phishingowych wzrosła o 59% w stosunku do roku poprzedniego, a straty poniesione przez ataki kosz-towały gospodarkę amerykańską 1,5 miliarda dolarów (wzrost o 22% w stosunku do poprzedniego roku).

VISHING

Jedną z odmian phishingu jest vishing (voice phishing) – czyli kradzież danych osobowych za pośrednictwem tele-fonu. Jest to znacznie bardziej wyrafinowana metoda niż „klasyczny” phishing, wymagająca większego zaangażowa-nia oraz lepszego zaplanowania ataku. Najczęściej atakujący poszywają się pod takie instytucje jak banki, towarzystwa ubezpieczeniowe, ale też policję. Prócz wyłudzeń danych często też dochodzi do bezpośredniej kradzieży.

BRUTE FORCE

Najpowszechniejszą metodą uwierzytelniania wykorzystanie jest wykorzystanie kombinacji takich czynników jak nazwa użytkownika, PIN oraz hasło. W 2014 roku firma SplashData na podstawie analizy trzech milionów haseł, które wyciekły do sieci opublikowała raport zawierający najpopularniejsze hasła w sieci. Większość haseł to „123456”, „12345” , „12345678”, czy „1234567890”. W pierwszej dziesiątce można było znaleźć też „password” czy „qwerty”. Często też można trafić na daty urodzin (łatwo dostępne np. w serwisach społecznościowych) stosowanych jako kod PIN. Zabezpieczenia takie można łatwo złamać za pomocą ataku typu Brute Force, czyli sukcesywnemu sprawdzaniu wszystkich możliwych kombinacji w poszukiwaniu rozwiązania.


1.2. BEZPIECZEŃSTWO RÓŻNYCH METOD UWIERZYTELNIANIA

Biometria – czyli dane oparte o cechy fizyczne jak tęczówka, głos, czy odciski palców jest znacznie skuteczniej-szą metodą weryfikacji niż uwierzytelnianie oparte o wiedzę (Knowledge Based Authentication – KBA). Poniżej zamieszczamy krótkie zestawienie podstawowych metod uwierzytelniania, oraz poziomu bezpieczeństwa odpowiednich mechanizmów. Zaproponowaliśmy następujące progi związane z podatnością na ataki:

WYSOKI – POWYŻEJ 25%

ŚREDNI – 5%-25%

NISKI – MNIEJ NIŻ 5%

Biometria głosowa PIN i hasłoPytania

bezpieczeństwa Token sprzętowy

Naruszenie danych/kradzież

Niski Średni Średni Wysoki

Udostępnianie danych Niski Wysoki Wysoki Średni

Brute Force Niski Wysoki Wysoki Niski

Socjotechnika Brak Średni Wysoki Brak

Hacking Niski Średni Średni Średni

Phishing Niski Średni Średni Niski

Vishing Brak Wysoki Wysoki Brak

Żródło: Opus Research


2. BIOMETRIA GŁOSOWA JAKO SZCZEGÓLNY PRZYPADEK BIOMETRII


Ataki na systemy teleinformatyczne z roku na rok są coraz częstsze i coraz bardziej spektakularne. Jednocześnie coraz większa ilość danych przechowywana jest w postaci cyfrowej, a więc ataki na infrastrukturę teleinforma-tyczną mogą przynieś straty trudne do oszacowania. Dodatkowa linia obrony w postaci haseł biometrycznych pozwala na weryfikację tożsamości użytkowników oraz uniemożliwia nieautoryzowany dostęp do kont.

Klienci i użytkownicy są coraz bardziej sfrustrowani wzrastającymi wymaganiami dotyczącymi haseł. Zgodnie z szeroko rozumianymi zasadami bezpieczeństwa hasła powinny być długie i skomplikowane, zawierać duże i małe litery, cyfry oraz znaki specjalne. Skuteczne hasła muszą być zmieniane dość często. Truizmem jest fakt, że do każdego serwisu powinniśmy używać osobnego hasła. Używanie haseł biometrycznych powoduje, że użytkownicy po pierwsze nie muszą już dbać o jakość haseł i, po drugie, nie muszą pamiętać jakie hasło zastosowano dla jakiego serwisu, co w znaczący sposób uprasza cały proces logowania.

Uwierzytelnianie głosowe w dłuższej perspektywie czasowej jest znacznie tańsze niż obecnie stosowane sys-temy uwierzytelniania. Zwiększone bezpieczeństwo sprawia, że organizacje redukują potencjalne straty, oraz zmniejszają koszt utraty dobrej reputacji.



3. PRZYKŁADY WDROŻEŃ NA ŚWIECIE


USŁUGI FINANSOWE

Branżą ponoszącą największe straty na skutek kradzieży tożsamości jest branża finansowa. W 2014 roku w Polsce średnio aż dwadzieścia cztery razy dziennie udaremniano próbę wyłudzenia kredytu. Według firmy Red Bird w drugim kwartale 2014 roku zanotowano ponad 37 tysięcy prób wyłudzenia kredytów na łączną kwotę 55 milionów zł. Według raportu Verizon, w 2012 roku na świecie 37% wszystkich przestępstw związanych z kradzieżami tożsamości dotyczyło branży finansowej. ¾ kadry zarządzającej z 19 z 40 największych instytucji finansowych USA twierdzi, że tego rodzaju przestępstwa są obecnie największym zagrożeniem dla ich firm. Weryfikacja za pomocą głosu jest znacznie bardziej efektywna niż rozwiązania „klasyczne” i znacznie skutecz-niej pozwala chronić zarówno przed zwykłymi fraudami, naruszeniem danych, czy atakami socjotechnicznymi.

SŁUŻBA ZDROWIA

Badanie z 2012 r. opublikowane przez Ponemon Institute pokazuje, że 94% szpitali w Stanach Zjednoczonych doświadczyło w ciągu minionych dwóch lat przynajmniej jednego przypadku naruszenia poufności danych. W artykule opublikowanych w „Journal of American Medical Association” przeanalizowano bazę danych Ministerstwa Zdrowia i Opieki Społecznej zawierającą ujawnione wycieki danych z ponad 500 firm w latach 2010-2013. Artykuł wskazuje, że w tym okresie miało miejsce 949 włamań dotyczących w sumie 29 milio-nów źródeł informacji. W 2014 wycieki danych medycznych obejmowały już 80 milionów źródeł informacji. Z raportów wynika, że skradzione informacje w większości obejmowały rachunki wystawiane pacjentom oraz informacje dotyczące ubezpieczenia. Narzędzia biometryczne, tymczasem, pozwalają na dostęp do danych medycznych z zachowaniem najwyższego poziomu bezpieczeństwa.

ADMINISTRACJA PUBLICZNA

W przypadku administracji publicznej, wdrożenie biometrii pozwoli na upowszechnienie transakcji elektro-nicznych, usuwanie procesów opartych na dokumentacji papierowej czy też poprawę skuteczności systemów administracji publicznej. Przykładowo, jednym z większych projektów biometrycznych jest baza IDENT zarzą-dzana przez Department of Homeland Security, Immigration Control & Enforcement (USA). W 2012 roku noto-wano średnio 188 tysięcy zapytań biometrycznych dziennie, a w latach 2004 – 2014 przeprowadzono łącznie ponad 148 milionów weryfikacji.



4. UWIERZYTELNIANIE BIOMETRYCZNE


Wykorzystanie rozwiązań biometrycznych jest znacznie szybsze i wygodniejsze niż wykorzystanie haseł i numerów PIN, a jednocześnie pozwala na szybsze weryfikowanie klientów. Nie ma konieczności zapamięty-wania hasła czy PINu – tu głos klienta jest hasłem. Rozwiązania biometryczne ze względu na prostotę używa-nia i szybkość działania są preferowane przez klientów jako najwygodniejszy sposób weryfikacji tożsamości. Poniżej zamieściliśmy kilka scenariuszy opisujących takie wdrożenia.

WERYFIKACJA W CALL CENTER

Weryfikacja biometryczna jest średnio o 20 sekund szybsza niż przy wykorzystaniu metod klasycz-nych takich jak login i hasło wprowadzane za pomocą kodów DTMF. Pozwala to zmniejszyć poziom frustracji osób dzwoniących, a jednocześnie może przełożyć się na większą lojalność obecnych klien-tów. Dzięki lepszej obsłudze pozyskiwanie nowych klientów staje się łatwiejsze. Ponadto, zwiększone bezpieczeństwo pozwala zmniejszyć ewentualne ryzyko strat finansowych. Dodatkowa linia obrony w postaci haseł biometrycznych umożliwia weryfikację tożsamości użytkowników oraz uniemożliwia nieauto-ryzowany dostęp do kont.

Uwierzytelnianie głosowe w dłuższej perspektywie czasowej jest znacznie tańsze niż obecnie stosowane sys-temy. Zwiększone bezpieczeństwo sprawia, że organizacje redukują potencjalne straty, oraz eliminują ryzyko utraty reputacji.

TRANSAKCJE FINANSOWE I PŁATNOŚCI

Najpowszechniejszym zastosowaniem biometrii w branży finansowej jest możliwość weryfikacji klienta w oddziale lub uwierzytelniania operacji. W ostatnich latach szereg banków w Europie rozpoczął projekty pilo-tażowe płatności biometrycznych. W 2011 roku ruszył pilotaż w Banku IS Bankasi A.S. w Turcji, który wcześniej uruchomił sieć bankomatów biometrycznych. W 2012 roku Banque Accord we Francji uruchomił pilotaż w sieci supermarketów Auchan. W rozwiązaniu wykorzystano kartę MasterCard dalekiego zasięgu (WPAN) oraz dwie technologie biometryczne do wyboru: biometrię odcisku palca (Finger Print) i biometrię naczyń krwionośnych palca (Finger Vein). Dzięki takiemu połączeniu klient nie musiał wyciągać karty płatniczej z kieszeni, a za każdy rodzaj zakupów płacił palcem. Jeśli chodzi o rynek polski, to w 2012 roku Bank BPH wdrożył biometrię Finger Veinw w całej sieci swoich oddziałów własnych. Niedługo potem możliwość uwierzytelniania biometrycznego operacji oddziałowych uruchomiły Getin Bank i Podkarpacki Bank Spółdzielczy.

RESETOWANIE HASEŁ

Jednym z najpowszechniejszych procesów w przypadku outsourcingu IT jest możliwość zmiany haseł/zablokowania konta. Z danych Comarch SA wynika, że stanowi to przynajmniej 15% zgłoszeń serwisowych. Jednocześnie jest to proces najprostszy do zautomatyzowania – w porównaniu do metod tradycyjnych, obsługa za pomocą mechanizmów biometrycznych jest średnio o 20% tańsza, a jednocześnie znacznie skuteczniejsza. Rozwiązanie to wprowadzane jest masowo do obsługi takich aplikacji jak Twitter czy Google Business Apps. W tym przypadku scenariusz obsługi zgłoszenia wygląda następująco – po zgłoszeniu konieczności zmiany hasła klient musi odebrać połączenie telefoniczne na zgłoszony wcześniej numer, i za pomocą głosu weryfikuje swoją tożsamość. W przypadku resetu hasła przez agenta koszt operacji wynosi 5$ – 15$, w przypadku automa-tycznego resetu jest poniżej 1$.

BEZPIECZEŃSTWO APLIKACJI MOBILNYCH

Według raportu firmy doradczej Frost & Sullivan pt. „Biometria w urządzeniach mobilnych. Przegląd rynku” szacuje się, że globalna liczba użytkowników biometrii w telefonach komórkowych osiągnie 471,11 mln w 2017 r, w porównaniu z 43,23 mln użytkowników w roku 2013. Pierwsze urządzenia biometryczne w telefonach komór-kowych pojawiły się właśnie w 2013 roku – pionierem tego typu rozwiązań było Apple stosując między innymi czytniki linii papilarnych do uzyskania dostępu do telefonu komórkowego oraz znalazło zastosowanie w syste-mie płatności mobilnych Apple Pay.


5. SCENARIUSZ IDENTYFIKACJI BIOMETRYCZNEJ


Cały proces identyfikacji możemy podzielić następujące etapy:

n Rejestracja biometryczna wzorca głosu. W przypadku dokładnego zidentyfikowania klienta, klient pro-szony jest o kilkukrotne powtórzenie określonych kwestii (np. dat, numerów, czy określonych fraz). Należy mieć na uwadze, że próbka powinna być możliwie dobrej jakości.

n Parametryzowanie/przetwarzanie wzorca. Próbka wzorcowa zostaje przetworzona do postaci matema-tycznej, co umożliwia ich klasyfikację, porównywanie i przechowywanie.

n Identyfikacja biometryczna. W zależności od procesu możemy wyróżnić trzy różne scenariusze:

» Zależne od treści (Text-dependent) – uwierzytelnianie polega na wypowiadaniu tego samego hasła (np. „Mój głos jest moim hasłem”). Możliwe są np. różne hasła dla każdego użytkownika

» Konwersacyjne (Text-prompted) – odmiana systemu zależnego od treści. Najczęstszy scenariusz w przypadku interaktywnej identyfikacji osoby dzwoniącej. Klient proszony jest o wypowiedzenie określonych fraz – np. dat, nazw miast itp. Metoda ta, mimo niższej bezwzględnej skuteczności bio-metrycznej ma swoje zalety związane m. in. z ochroną systemu biometrii przed atakami za pomocą różnych środków technicznych (np. nagrań z podsłuchu)

» Niezależne od treści (Text-independent) – polega na dokonaniu pomiaru wzorca głosu użytkownika w trakcie normalnej rozmowy telefonicznej. Pierwsze wdrożenie tego rodzaju przeprowadzone zostało w 2013 roku w banki Barclays. Jest to najwygodniejsza forma weryfikacji, jednak konieczność zgromadzenia wystarczająco dużej ilości danych zarówno do przygotowania próbki wzorcowej (ponad 30 sekund mowy) jak i do samej weryfikacji (przynajmniej 5 sekund) powoduje, że nie wszędzie znaj-duje ona zastosowanie. Jest to jednak obecnie najczęściej badana i najszybciej rozwijana przez środo-wisko naukowe forma weryfikacji mówców.

Zależne od treści Konwersacyjne Niezależne od treści

Sposób identyfikacjiWielokrotne powtarzanie

tej samej frazyWielokrotne powtarzanie

różnych frazSwobodna konwersacja (od 30 do 120 sekund)

Długość próbki wymaganej

dla identyfikacji

Pojedyncze zdanie (fraza)

Pojedyncze zdanie (fraza)

10 sekund (dłuższa próbka zmniejsza

prawdopodobieństwo błędnej klasyfikacji)

Podatność na atak przez odtwarzanie fraz

TAKCzęściowo

(część fraz może się powtarzać)

NIE

Mechanizm rozpoznawania mowy

Wymagany Wymagany NIE


Adaptacja wzorca. Na skutek procesów biologicznych (starzenie się, choroba itp.) po pewnym czasie głos może ulec zmianie. Aby zminimalizować ryzyko błędnych weryfikacji należy weryfikować i adaptować wzorzec, wykorzystując np. nagrania o wysokim współczynniku zgodności.

Scenariusze alternatywne. W czasie uwierzytelniania może dość do zdarzeń uniemożliwiających poprawną identyfikację, np. zbyt duży hałas otoczenia, choroba krtani, czy też słaba jakość wzorca. Na taką okoliczność należy mieć przygotowany scenariusz alternatywny umożlwiający weryfikację dokonywaną bezpośrednio przez konsultanta, np. na podstawie wiedzy osoby dzwoniącej. Innym scenariuszem są podejrzenia potencjalnych oszustw – wówczas telefon należy przełączyć do specjalnego zespołu do spraw zwalczania oszustw.

Pobranie próbki

Parametryzowanie

Wynik

Baza danych

Próbkawzorcowa

Porównaniepróbek

Dopuszczalnypoziombłędów



6. BEZPIECZEŃSTWO BIOMETRII


Systemy biometryczne opierają się na porównywaniu dwóch próbek głosu – wzorcowej, i pobranej w procesie weryfikacji. Proces weryfikacji przebiegać będzie w innych warunkach niż pobranie materiału wzorcowego – inne będą warunki otoczenia (np. rozmawiamy w samochodzie lub w biurze). Stąd też próbka wzorcowa zawsze będzie różniła się od aktualnej konwersacji. Sam proces weryfikacji biometrycznej można opisać za pomocą następujących parametrów:

n poziom błędnych akceptacji FAR (False Acceptance Rate), niekiedy określany też akronimem FPR (ang. False Positive Rate), dla przyjętego punktu pracy (czułości systemu),

n poziom błędnych odrzuceń FRR (ang. False Rejection Rate) dla przyjętego punktu pracy,

n równoliczny błąd detekcji EER (ang. Equal Error Rate), czyli wartość, dla której EER=FAR=FRR, i która syntetycznie opisuje zdolność dyskryminacyjną systemu weryfikacji,

n współczynnik niepowodzenia pobrania próbki FTA (ang. Failure to Enroll) – parametr zależny między innymi od progu czułości systemu biometrycznego. Informuje o odsetku transakcji w których system nie był w stanie pobrać cech odpowiednich do weryfikacji lub identyfikacji próbki z przyczyn zarówno technologicznych (jakość połączenia) lub organizacyjnych (np. wypowiedzenie innego hasła).

n Współczynnik niepowodzenia rejestracji FTE (and. Failure to Enrollment Rate). Współczynnik ten może być spowodowany np. awarią systemu rejestracji, małą unikalnością i dużą powtarzalnością badanej cechy wśród społeczeństwa, czy niedogodnymi warunkami otoczenia uniemożliwiającymi przeprowa-dzenie pobrania próbki o odpowiedniej jakości

Dokładność

Niski poziom dokładności

Wysoki poziom dokładności

FRR

FARWsp

ółc

zyn

nik

Poziom równowagi


Obniżenie wartości jednego ze współczynników poprzez zmianę wartości ERR skutkuje wzrostem war-tości drugiego. By dokonać oceny całkowitej wydajność systemu należy uwzględnić obie te wartości. Im niższa wartość współczynnika EER, tym wyższa dokładność systemu. Wartości współczynników pozwalają na modyfikowanie parametrów systemu. Przykładowo – zakładając że nasza infolinia miałaby pełnić rolę głów-nie informacyjną, preferowana byłaby niska wartość stopy fałszywego odrzucenia FRR, stopa fałszywej akcep-tacji miałaby drugorzędne znaczenie. Oznaczałoby to znaczne przyspieszenie samego procesu identyfikacji, z możliwością jednakowoż mniejszej dokładności. Odwrotna sytuacja miałaby miejsce przy weryfikacji dla celów np. zatwierdzania przelewów, gdzie fałszywa akceptacja nie może być akceptowana.

Najbardziej skuteczne silniki biometrii głosowej oferują FAR na poziomie 0,01% i FRR poniżej 5%.



7. UWIERZYTELNIANIE WIELOKANAŁOWE


Trzy podstawowe metody uwierzytelniania wykorzystują:

n coś, co wiesz (ang. something you know) – informacja będąca w wyłączonym posiadaniu uprawnionego podmiotu, na przykład hasło lub klucz prywatny;

n coś, co masz (ang. something you have) – przedmiot będący w posiadaniu uprawnionego podmiotu, na przykład sprzętowy token;

n coś, czym jesteś (ang. something you are) – metody biometryczne

Hasło biometryczne jest jednym z elementów składowych procesu uwierzytelniania. W celu poprawy bez-pieczeństwa proponujemy wykorzystanie mechanizmów wielokanałowych, w znaczący sposób usprawniają-cych proces, a jednocześnie zwiększających poziom bezpieczeństwa. Przykładowo autoryzacja może zawierać dwa elementy – takie jak „zaufany” numer telefonu z którego dzwoni klient, plus hasło biometryczne. Inną z metod jest wykorzystanie „pasywnej” metody uwierzytelniania, niezależnej od hasła głosowego, będącej jed-nocześnie odpowiedzią na pytanie bezpieczeństwa. Rozwiązaniem gwarantującym najwyższy poziom bez-pieczeństwa jest kombinacja tych trzech czynników: zaufanego numeru telefonu, hasła biometrycznego oraz hasła bezpieczeństwa.

WiedzaCoś co wiesz

UrządzenieCoś co masz

BiometriaCoś kim jesteś


8. KORZYŚCI Z BIOMETRII GŁOSOWEJ


NIKT NIE MOŻE UKRAŚĆ TWOJEGO GŁOSU

W bazie danych przechowywane jest jedynie matematyczne odwzorowanie głosu – nie samo nagranie. Oznacza to, że nawet po włamaniu do bazy danych hakerzy uzyskają dostęp jedynie do ciągu liczb i znaków. Przejęte próbki głosu nie mają żadnej wartości – nie mogą być wykorzystywane do uwierzytelniania, nie można na ich podstawie odtworzyć głosu. Raz zapisane próbki ulegają cyklicznym zmianom, w celu odwzorowania rzeczywistego głosu klienta, natomiast nie można samodzielnie modyfikować ich parametrów (tak aby np. głos „A” brzmiał jak głos „B”). Sprawia to, że samo rozwiązanie jest wyjątkowo bezpieczne.

WYGODA UŻYTKOWANIA

Klienci i użytkownicy są coraz bardziej sfrustrowani wzrastającymi wymaganiami dotyczącymi haseł. Zgodnie z szeroko rozumianymi zasadami bezpieczeństwa hasła powinny być długie, skomplikowane, zawierać duże i małe litery, cyfry oraz znaki specjalne oraz być zmieniane dość często. Używanie haseł biometrycznych powo-duje, że użytkownicy po pierwsze nie muszą już dbać o jakość haseł, a po drugie nie muszą pamiętać jakie hasło „pasuje” do jakiego serwisu, co w znaczący sposób uprasza cały proces logowania.

UWIERZYTELNIANIE WIELOPOZIOMOWE

Biometria jest jednym z elementów polityki bezpieczeństwa dla całej organizacji. Oznacza to, może być wyko-rzystywana jako samodzielne narzędzie, lub też w połączeniu z innymi mechanizmami weryfikującymi (jak np. tokeny sprzętowe). Dodatkowo biometria głosu może wspierać np. komunikację wideo.

WERYFIKACJA ZDALNA

Większość technik biometrycznych wymaga stosowania specjalistycznych urządzeń (np. czytniki palców) lub przynajmniej odpowiednich telefonów komórkowych wspierających technologię biometryczną. Biometria głosu jest jedyną technologia nie wymagającą żadnego specjalistycznego wyposażenia po stronie klienta, a jednocześnie pozwalającą na przeprowadzenie procesu całkowicie biernie – bez konieczności wpatrywania się w kamerę lub przyciskania palca do czytnika. Dzięki temu doskonale nadaje się do zdalnej identyfikacji osób.

ELASTYCZNOŚĆ ARCHITEKTURY

W zależności od wymogów bezpieczeństwa system biometryczny można zainstalować zarówno lokalnie, lecz istnieje także możliwość pracy „w chmurze” (zarówno publicznej, prywatnej jak i hybrydowej). Jedna instancja może wspierać pracę kilku ośrodków wyniesionych (czyli np. w centrali w Warszawie instalujemy jedną plat-formę biometryczną, a każdy proces identyfikacji z oddziałów lokalnych zostaje „przekierowany” do centrali) lub też możemy działać w strukturze rozproszonej (wówczas każdy z oddziałów posiada własną infrastrukturę, z możliwością posiadania centralnej bazy danych) – wszystko zależy od kwestii bezpieczeństwa i wydajności.

ODPORNOŚĆ NA ATAKI Z ODTWARZANIEM FRAZ

Najprostszą metodą ataku przy systemach ze stałym hasłem (Text-dependent) jest nagranie i odtworzenie hasła podczas późniejszej sesji. Mechanizmy działające w technologii niezależnej od treści pozwalają na stosowanie zmiennych haseł lub też całkowite pozbycie się haseł, co w znaczący sposób poprawia bezpieczeństwo systemu.

NIEZALEŻNOŚĆ OD JĘZYKA

Biometria nie jest zależna od języka. Tu liczy się to, jak mówimy, a nie to, co mówimy. Oznacza to że system może być szybko zaadaptowany do nowych warunków (np. po otwarciu nowego oddziału zagranicą) bez konieczności budowania skomplikowanych algorytmów. Rozwiązanie jest szybkie, wydajne i skalowalne.

COMARCHComarch jako globalny dostawca oprogramowania posiada w swojej ofercie również usługi związane z obsługą infrastruktury IT. Wybierając

outsourcing od Comarch klient ma do dyspozycji 13 lokalizacji Data Center na całym świecie. Bogate międzynarodowe doświadczenie i

wielość lokalizacji pozwala firmie oferować usługi w modelu nearschoringu. Elastyczność oferowanych rozwiązań spowodowała, że globalne

marki, m.in. Thomas Cook, Heathrow czy BP, zdecydowały się na podjęcie wieloletniej współpracy z Comarch. Od 23 lat firma pomaga im

optymalizować koszty biznesowe korzystając z najnowszych technologii oraz dbając o standardy bezpieczeństwa danych.

Copyright © Comarch 2016. All Rights Reserved

[email protected] | www.ict.comarch.com

SKONTAKTUJSIĘ Z NAMIOdwiedź www.comarch.com aby uzyskać kontakt do naszych biur w następujących krajach:

Albania AustriaBelgia BrazyliaChile ChinyFinlandiaFrancjaHiszpaniaKanada LuksemburgMalezjaNiemcy Panama

RosjaSzwajcariaTurcjaUkraina USAWłochyWielka BrytaniaZjednoczone Emiraty Arabskie

BIOMETRIA - NOWOCZESNE METODY UWIERZYTELNIANIA

Documents

Transcript of BIOMETRIA - NOWOCZESNE METODY UWIERZYTELNIANIA