В последнее время все большее распространение получает биометрическая аутентификация пользователя, позволяющая уверенно аутентифицировать потенци­ального пользователя путем измерения физиологических пара­метров и характеристик человека, особенностей его поведения. Основные достоинства биометрических методов:

· высокая степень достоверности аутентификации по био­метрическим признакам (из-за их уникальности);

· неотделимость биометрических признаков от дееспособной личности;

· трудность фальсификации биометрических признаков. Активно используются следующие биометрические признаки:

· отпечатки пальцев;

· геометрическая форма кисти руки;

· форма и размеры лица;

· узор радужной оболочки и сетчатки глаз.

При регистрации в системе пользователь должен продемонстрировать один или несколько раз свои характерные биометрические признаки. Эти признаки регистрируются системой как кон­трольный «образ» (биометрическая подпись) законного пользо­вателя. Этот образ пользователя хранится системой в электрон­ной форме и используется для проверки идентичности каждого, кто выдает себя за соответствующего законного пользователя. В зависимости от совпадения или несовпадения совокупности предъявленных признаков с зарегистрированными в контроль­ном образе предъявивший их признается законным пользовате­лем (при совпадении) или незаконным (при несовпадении).

С точки зрения потребителя, эффективность биометриче­ской аутентификационной системы характеризуется двумя пара­метрами:

· коэффициентом ошибочных отказов FRR;

· коэффициентом ошибочных подтверждений FAR.

Ошибочный отказ возникает, когда система не подтверждает личность законного пользователя (типичные значения FRR - порядка одной ошибки на 100). Ошибочное подтверждение про­исходит в случае подтверждения личности незаконного пользо­вателя (типичные значения FAR - порядка одной ошибки на 10 000). Эти коэффициенты связаны друг с другом: каждом коэффициенту ошибочных отказов соответствует определенны коэффициент ошибочных подтверждений.

В совершенной биометрической системе оба параметра ошибки должны быть равны нулю. К сожалению, биометрические системы тоже не идеальны. Обычно системные параметры настраивают так, чтобы добиться требуемого коэффициента ошибочных подтверждений, что определяет соответствующий коэффициент ошибочных отказов.

К настоящему времени разработаны и продолжают совер­шенствоваться технологии аутентификации по отпечаткам паль­цев, радужной оболочке глаза, по форме кисти руки и ладони, по форме и размеру лица, по голосу и «клавиатурному почерку». Чаще всего биометрические системы используют в качестве параметра идентификации отпечатки пальцев (дактилоскопиче­ские системы аутентификации). Такие системы просты и удоб­ны, обладают высокой надежностью аутентификации.

Дактилоскопические системы аутентификации. Одна из основ­ных причин широкого распространения таких систем - наличие больших банков данных отпечатков пальцев. В общем случае биометрическая технология распознавания отпечатков пальцев заменяет защиту доступа с использованием пароля. Большинство систем используют отпечаток одного пальца.

Основными элементами дактилоскопической системы аутен­тификации являются:

· сканер;

· ПО идентификации, формирующее идентификатор пользо­вателя;

· ПО аутентификации, производящее сравнение отсканиро­ванного отпечатка пальца с имеющимися в БД «паспорта­ми» пользователей.

Дактилоскопическая система аутентификации работает сле­дующим образом. Сначала проходит регистрация пользователя. Как правило, производится несколько вариантов сканирования в разных положениях пальца на сканере. Понятно, что образцы будут немного отличаться, и поэтому требуется сформировать некоторый обобщенный образец - «паспорт». Результаты запо­минаются в БД аутентификации. При аутентификации производится сравнение отсканированного отпечатка пальца с «паспор­тами», хранящимися в БД.

Задача формирования «паспорта» и задача распознавания предъявляемого образца - это задачи распознавания образов. Для их решения используются различные алгоритмы, являю­щиеся ноу-хау фирм-производителей подобных устройств.

Сканеры отпечатков пальцев. Многие производители все чаще переходят от дактилоскопического оборудования на базе оптики к продуктам, основанным на интегральных схемах. По­следние имеют значительно меньшие размеры, чем оптические считыватели, и поэтому их проще реализовать в широком спек­тре периферийных устройств.

Системы аутентификации по форме ладони используют скане­ры формы ладони, обычно устанавливаемые на стенах. Следует отметить, что подавляющее большинство пользователей предпо­читают системы этого типа.

Устройства считывания формы ладони создают объемное изо­бражение ладони, измеряя длину пальцев, толщину и площадь поверхности ладони. Этот образец может быть сохранен локально, на индивидуальном сканере ладо­ни либо в централизованной БД.

По уровню доходов устройства сканирования формы ладони занимают 2-е место среди биометрических устройств, но редко применяются в сетевой среде из-за высокой стоимости и размера. Однако сканеры формы ладони хорошо подходят для вычислительных сред со строгим режимом безопасности и напряженным трафиком. Они достаточно точны и обладают довольно низким коэффициентом ошибочно­го отказа FRR.

Системы аутентификации по лицу и голосу наиболее доступны из-за их дешевизны, поскольку большинство современных компьютеров имеют видео- и аудиосредства. Системы данного класса применяются при удаленной идентификации субъекта досту­па в телекоммуникационных сетях.

Технология сканирования черт лица подходит для тех прило­жений, где прочие биометрические технологии непригодны. В этом случае для идентификации и верификации личности ис­пользуются особенности глаз, носа и губ. Производители уст­ройств распознавания черт лица применяют собственные мате­матические алгоритмы для идентификации пользователей

Технологии распознавания черт лица требуют дальнейшего совершенствования. Большая часть алго­ритмов распознавания черт лица чувствительна к колебаниям в освещении, вызванным изменением интенсивности солнечного света в течение дня. Изменение положения лица также может повлиять на узнаваемость. Различие в положении в 15 % между запрашиваемым изображением и изображением, которое нахо­дится в БД, напрямую сказывается на эффективности: при раз­личии в 45° распознавание становится неэффективным.

Системы аутентификации по голосу при записи образца и в процессе последующей идентификации опираются на такие осо­бенности голоса, как высота, модуляция и частота звука. Эти по­казатели определяются физическими характеристиками голосового тракта и уникальны для каждого человека. Распознавание голоса применяется вместо набора номера в определенных сис­темах Sprint. Технология распознавания голоса отличается от распознавания речи: последняя интерпретирует то, что говорит абонент, а технология распознавания голоса абонента подтвер­ждает личность говорящего.

Поскольку голос можно просто записать на пленку или дру­гие носители, некоторые производители встраивают в свои про­дукты операцию запроса отклика. Эта функция предлагает пользователю при входе ответить на предварительно подготовленный и регулярно меняющийся запрос, например такой: «Повторите числа 0, 1, 3».

Технологии распознавания говорящего имеют некоторые ог­раничения. Различные люди могут говорить похожими голосами, а голос любого человека может меняться со временем в зависи­мости от самочувствия, эмоционального состояния и возраста. Более того, разница в модификации телефонных аппаратов и ка­чество телефонных соединений могут серьезно усложнить распо­знавание.

Системы аутентификации по узору радужной оболочки и сет­чатки глаз могут быть разделены на два класса:

· использующие рисунок радужной оболочки глаза;

· использующие рисунок кровеносных сосудов сетчатки глаза.

Сетчатка человеческого глаза представляет собой уникаль­ный объект для аутентификации. Рисунок кровеносных сосудов глазного дна отличается даже у близнецов. Поскольку вероят­ность повторения параметров радужной оболочки и сетчатки глаза имеет порядок 10 -78 , такие системы являются наиболее надежными среди всех биометрических систем и применяются там, где требуется высокий уровень безопасности (например, в режимных зонах военных и оборонных объектов).

Биометрическая аутентификация пользователя может быть использована при шифровании в виде модулей блокировки доступа к секретному ключу, который позволяет воспользоваться этой! информацией только истинному владельцу частного ключа. Вла­делец может затем применять свой секретный ключ для шифрования информации, передаваемой по частным сетям или по Internet. Ахиллесовой пятой многих систем шифрования является проблема безопасного хранения самого криптографического секретного ключа. Зачастую доступ к ключу длиной 128 разрядов (или даже больше) защищен лишь паролем из 6 символов, т. е. 48 разрядов. Отпечатки пальцев обеспечивают намного более высокий уровень защиты и, в отличие от пароля, их невозможно забыть.

Биометрическая идентификация и аутентификация пользователя

Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.). В последнее время все большее распространение получает биометрическая идентификация и аутентификация пользователя, позволяющая уверенно идентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его Отметим основные достоинства биометрических методов идентификации и аутентификации пользователя по сравнению с традиционными:

Высокая степень достоверности идентификации по биометрическим признакам из-за их уникальности;

Неотделимость биометрических признаков от дееспособной личности;

Трудность фальсификации биометрических признаков.

При регистрации пользователь должен продемонстрировать один или несколько раз свои характерные биометрические признаки. Эти признаки регистрируются системой как контрольный "образ" законного пользователя. Этот образ пользователя хранится в электронной форме и используется для проверки идентичности каждого, кто выдает себя за соответствующего законного пользователя. В зависимости от совпадения или несовпадения совокупности предъявленных признаков с зарегистрированными в контрольном образе их предъявивший признается законным пользователем (при совпадении) или нет (при несовпадении).

Системы идентификации по узору радужной оболочки и сетчатки глаз могут быть разделены на два класса:

Использующие рисунок радужной оболочки глаза,

Использующие рисунок кровеносных сосудов сетчатки глаза.

Поскольку вероятность повторения данных параметров равна 10 -78 , эти системы являются наиболее надежными среди всех биометрических систем. Такие средства идентификации применяются там, где требуется высокий уровень безопасности (например, в США в зонах военных и оборонных объектов).

Стоимость устройств – 5-7 тыс. $.

Контрольный образ – 40 байт.

Существует несколько процентов вероятности непризнания законного пользователя.

100% вероятность обнаружения «чужака».

Системы идентификации по отпечаткам пальцев являются самыми распространенными. Одна из основных причин широкого распространения таких систем заключается в наличии больших банков данных по отпечаткам пальцев. Основными пользователями подобных систем во всем мире являются полиция, различные государственные и некоторые банковские организации.

Системы идентификации по геометрической форме руки используют сканеры формы руки, обычно устанавливаемые на стенах. Следует отметить, что подавляющее большинство пользователей предпочитают системы именно этого типа, а не описанные выше. Контрольный образ – 400-1000 байт.

Цена – 2-4 тыс. $. Надежность – 95-95%.

Руки человека должны быть теплыми. Термохромные материалы значительно изменяют отражающую способность при незначительном изменении температуры. Гарантированно не пропускает муляжи (датчик температуры, мелкие колебания пальцев).

Системы идентификации по голосу являются наиболее доступными из-за их дешевизны, поскольку большинство современных компьютеров имеют видео- и аудиосредства. Системы данного класса широко применяются при удаленной идентификации субъекта доступа в телекоммуникационных сетях.

Контрольный образ – 2-20 Кбайт. Стоимость оборудования – от 300 $.

Системы идентификации по биомеханическим характеристикам "клавиатурного почерка" основываются на том, что моменты нажатия и отпускания клавиш при наборе текста на клавиатуре существенно различаются у разных пользователей. Этот динамический ритм набора ("клавиатурный почерк") позволяет построить достаточно надежные средства идентификации. В случае обнаружения изменения клавиатурного почерка пользователя ему автоматически запрещается работа на ЭВМ.

Следует отметить, что применение биометрических параметров при идентификации субъектов доступа автоматизированных систем пока не получило надлежащего нормативно-правового обеспечения, в частности в виде стандартов. Поэтому применение систем биометрической идентификации допускается только в автоматизированных системах, обрабатывающих и хранящих персональные данные, составляющие коммерческую и служебную тайну.

Существуют определенные временные интервалы при последовательности нажатий клавиш на клавиатуре.

Позволяет производить аутентификацию скрытно и непрерывно.

1. По свободному тексту;

2. По набору ключевой фразы.

Типы механизмов защиты , которые могли бы быть реализованы, чтобы обеспечить службы идентификации и аутентификации, приведены в списке ниже:

· механизм, основанный на паролях,

· механизм, основанный на интеллектуальных картах

· механизм, основанный на биометрии,

· генератор паролей,

· блокировка с помощью пароля,

· блокировка клавиатуры,

· блокировка ПК или автоматизированного рабочего места,

· завершение соединения после нескольких ошибок при регистрации,

· уведомление пользователя о “последней успешной регистрации” и “числе ошибок при регистрации”,

· механизм аутентификации пользователя в реальном масштабе времени,

· криптография с уникальными ключами для каждого пользователя.

Типовые схемы идентификации и аутентификации

Схема 1 . В компьютерной системе выделяется объект-эталон для идентификации и аутентификации пользователей. Структура объекта-эталона показана в табл. 2.1. Здесь Ei=F(IDi, Кi), где F-функция, которая обладает свойством "невосстановимости" значения Кi по Еi и IDi. “Невоостановимость" K i оценивается некоторой пороговой трудоемкостью Т 0 решения задачи восстановления аутентифицирующей информации Кi по Еi и IDi. Кроме того, для пары Ki и Kj возможно совпадение соответствующих значений Е. В связи с этим вероятность ложной аутентификации пользователя не должна быть больше некоторого порогового значения Р 0 . На практике задают Т 0 =10 20 …10 30 , Р 0 =10 -7 ...10 -9­

Таблица 2.1 Структура объекта-эталона для схемы 1

Протокол идентификации и аутентификации (для схемы 1).

1. Пользователь предъявляет свой идентификатор ID.

2. Если ID не совпадает ни с одним IDi, зарегистрированным в компьютерной системе, то идентификация отвергается – пользователь не допускается к работе, иначе (существует IDi = ID) устанавливается, что пользователь, назвавшийся пользователем i, прошел идентификацию.

3. Субъект аутентификации запрашивает у пользователя его аутентификатор К.

4. Субъект аутентификации вычисляет значение E=F(IDi , К).

5. Субъект аутентификации производит сравнение значений E и Еi. При совпадении этих значений устанавливается, что данный пользователь успешно аутентифицирован в системе. Информация об этом пользователе передается в программные модули, использующие ключи пользователей (т.е. в систему шифрования, разграничения доступа и т.д.). В противном случае аутентификация отвергается - пользователь не допускается к работе.

Данная схема идентификации и аутентификации пользователя может быть модифицирована. Модифицированная схема 2 обладает лучшими характеристиками по сравнению со схемой 1.

Схема 2. В компьютерной системе выделяется модифицированный объект-эталон, структура которого показана в табл. 2.2.

Таблица 2.2 Структура модифицированного объекта-эталона

В отличие от схемы 1, в схеме 2 значение Еi равно F(Si, Кi), где Si – случайный вектор, задаваемый при создании идентификатора пользователя, т.е. при создании строки, необходимой для идентификации и аутентификации пользователя; F–функция, которая обладает свойством "невосстановимости" значения Кi по Ei и Si.

Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, персональный идентификатор, секретный ключ и т. п.). В последнее время все большее распространение получает биометрическая аутентификация пользователя, позволяющая уверенно аутентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения.

Основные достоинства биометрических методов:

• высокая степень достоверности аутентификации по биометрическим признакам (из-за их уникальности);
• неотделимость биометрических признаков от дееспособной личности;
• трудность фальсификации биометрических признаков.

Активно используются следующие биометрические признаки:

• отпечатки пальцев;
• геометрическая форма кисти руки;
• форма и размеры лица;
• особенности голоса;
• узор радужной оболочки и сетчатки глаз.

Рассмотрим типичную схему функционирования биометрической подсистемы аутентификации. При регистрации в системе пользователь должен продемонстрировать один или несколько раз свои характерные биометрические признаки. Эти признаки (известные как подлинные) регистрируются системой как контрольный «образ» (биометрическая подпись) законного пользователя. Этот образ пользователя хранится системой в электронной форме и используется для проверки идентичности каждого, кто выдает себя за соответствующего законного пользователя. В зависимости от совпадения или несовпадения совокупности предъявленных признаков с зарегистрированными в контрольном образе предъявивший их признается законным пользователем (при совпадении) или незаконным (при несовпадении).

С точки зрения потребителя, эффективность биометрической аутентификационной системы характеризуется двумя параметрами:

• коэффициентом ошибочных отказов FRR (false-reject rate);
• коэффициентом ошибочных подтверждений FAR (false-alarm rate).

Ошибочный отказ возникает, когда система не подтверждает личность законного пользователя (типичные значения FRR - порядка одной ошибки на 100). Ошибочное подтверждение происходит в случае подтверждения личности незаконного пользователя (типичные значения FAR - порядка одной ошибки на 10 000). Эти коэффициенты связаны друг с другом: каждому коэффициенту ошибочных отказов соответствует определенный коэффициент ошибочных подтверждений.

В совершенной биометрической системе оба параметра ошибки должны быть равны нулю. К сожалению, биометрические системы тоже не идеальны. Обычно системные параметры настраивают так, чтобы добиться требуемого коэффициента ошибочных подтверждений, что определяет соответствующий коэффициент ошибочных отказов.

К настоящему времени разработаны и продолжают совершенствоваться технологии аутентификации по отпечаткам пальцев, радужной оболочке глаза, по форме кисти руки и ладони, по форме и размеру лица, по голосу и «клавиатурному почерку».

Чаще всего биометрические системы используют в качестве параметра идентификации отпечатки пальцев (дактилоскопические системы аутентификации). Такие системы просты и удобны, обладают высокой надежностью аутентификации.

Дактилоскопические системы аутентификации. Одна из основных причин широкого распространения таких систем - наличие больших банков данных отпечатков пальцев. Пользователями подобных систем главным образом являются полиция, различные государственные и некоторые банковские организации.

В общем случае биометрическая технология распознавания отпечатков пальцев заменяет защиту доступа с использованием пароля. Большинство систем используют отпечаток одного пальца.

Основными элементами дактилоскопической системы аутентификации являются:

• сканер;
• ПО идентификации, формирующее идентификатор пользователя;
• ПО аутентификации, производящее сравнение отсканированного отпечатка пальца с имеющимися в БД «паспортами» пользователей.

Дактилоскопическая система аутентификации работает следующим образом. Сначала проходит регистрация пользователя. Как правило, производится несколько вариантов сканирования в разных положениях пальца на сканере. Понятно, что образцы будут немного отличаться, и поэтому требуется сформировать некоторый обобщенный образец - «паспорт». Результаты запоминаются в БД аутентификации. При аутентификации производится сравнение отсканированного отпечатка пальца с «паспортами», хранящимися в БД.

Задача формирования «паспорта» и задача распознавания предъявляемого образца - это задачи распознавания образов. Для их решения используются различные алгоритмы, являющиеся ноу-хау фирм-производителей подобных устройств.

Сканеры отпечатков пальцев. Многие производители все чаще переходят от дактилоскопического оборудования на базе оптики к продуктам, основанным на интегральных схемах. Последние имеют значительно меньшие размеры, чем оптические считыватели, и поэтому их проще реализовать в широком спектре периферийных устройств.

Некоторые производители комбинируют биометрические системы со смарт-картами и картами-ключами. Например, в биометрической идентификационной смарт-карте Authentic реализован следующий подход. Образец отпечатка пальца пользователя запоминается в памяти карты в процессе внесения в списки идентификаторов пользователей, устанавливая соответствие между образцом и личным ключом шифрования. Затем, когда пользователь вводит смарт-карту в считыватель и прикладывает палец к сенсору, ключ удостоверяет его личность. Комбинация биометрических устройств и смарт-карт является удачным решением, повышающим надежность процессов аутентификации и авторизации.

Небольшой размер и невысокая цена датчиков отпечатков пальцев на базе интегральных схем превращает их в идеальный интерфейс для систем защиты. Их можно встроить в брелок для ключей, и пользователи получат универсальный ключ, который обеспечит защищенный доступ ко всему, начиная от компьютеров до входных дверей, дверей автомобилей и банкоматов.

Системы аутентификации по форме ладони используют сканеры формы ладони, обычно устанавливаемые на стенах. Следует отметить, что подавляющее большинство пользователей предпочитают системы этого типа.

Устройства считывания формы ладони создают объемное изображение ладони, измеряя длину пальцев, толщину и площадь поверхности ладони. Например, продукты компании Recognition Systems выполняют более 90 измерений, которые преобразуются в 9-разрядный образец для дальнейших сравнений. Этот образец может быть сохранен локально, на индивидуальном сканере ладони либо в централизованной БД.

По уровню доходов устройства сканирования формы ладони, занимают 2-е место среди биометрических устройств, но редко применяются в сетевой среде из-за высокой стоимости и размера. Однако сканеры формы ладони хорошо подходят для вычислительных сред со строгим режимом безопасности и напряженным трафиком, включая серверные комнаты. Они достаточно точны и обладают довольно низким коэффициентом ошибочного отказа FRR.

Системы аутентификации по лицу и голосу наиболее доступны из-за их дешевизны, поскольку большинство современных компьютеров имеют видео- и аудиосредства. Системы данного класса применяются при удаленной идентификации субъекта доступа в телекоммуникационных сетях.

Технология сканирования черт лица подходит для тех приложений, где прочие биометрические технологии непригодны. В этом случае для идентификации и верификации личности используются особенности глаз, носа и губ. Производители устройств распознавания черт лица применяют собственные математические алгоритмы для идентификации пользователей

Исследования, проводимые компанией International Biometric Group, говорят о том, что сотрудники многих организаций не доверяют устройствам распознавания по чертам лица. Кроме того, по данным этой компании, сканирование черт лица - единственный метод биометрической аутентификации, который не требует согласия на выполнение проверки (и может осуществляться скрытой камерой), а потому имеет негативный для пользователей подтекст.

Следует отметить, что технологии распознавания черт лица требуют дальнейшего совершенствования. Большая часть алгоритмов распознавания черт лица чувствительна к колебаниям в освещении, вызванным изменением интенсивности солнечного света в течение дня. Изменение положения лица также может повлиять на узнаваемость. Различие в положении в 15 % между запрашиваемым изображением и изображением, которое находится в БД, напрямую сказывается на эффективности: при различии в 45° распознавание становится неэффективным.

Системы аутентификации по голосу экономически выгодны по тем же причинам, что и системы распознавания по чертам лица. В частности, их можно устанавливать с оборудованием (например, микрофонами), поставляемым в стандартной комплектации со многими ПК.

Системы аутентификации по голосу при записи образца и в процессе последующей идентификации опираются на такие особенности голоса, как высота, модуляция и частота звука. Эти показатели определяются физическими характеристиками голосового тракта и уникальны для каждого человека. Распознавание голоса применяется вместо набора номера в определенных системах 8рппй Технология распознавания голоса отличается от распознавания речи: последняя интерпретирует то, что говорит абонент, а технология распознавания голоса абонента подтверждает личность говорящего.

Поскольку голос можно просто записать на пленку или другие носители, некоторые производители встраивают в свои продукты операцию запроса отклика. Эта функция предлагает пользователю при входе ответить на предварительно подготовленный и регулярно меняющийся запрос, например такой: «Повторите числа 0, 1, 3».

Технологии распознавания говорящего имеют некоторые ограничения. Различные люди могут говорить похожими голосами, а голос любого человека может меняться со временем в зависимости от самочувствия, эмоционального состояния и возраста. Более того, разница в модификации телефонных аппаратов и качество телефонных соединений могут серьезно усложнить распознавание.

Системы аутентификации по узору радужной оболочки и сетчатки глаз могут быть разделены на два класса:

• использующие рисунок радужной оболочки глаза;
• использующие рисунок кровеносных сосудов сетчатки глаза.

Сетчатка человеческого глаза представляет собой уникальный объект для аутентификации. Рисунок кровеносных сосудов глазного дна отличается даже у близнецов. Поскольку вероятность повторения параметров радужной оболочки и сетчатки глаза имеет порядок 10~ 78 , такие системы являются наиболее надежными среди всех биометрических систем и применяются там, где требуется высокий уровень безопасности (например, в режимных зонах военных и оборонных объектов).

Биометрический подход позволяет упростить процесс выяснения «кто есть кто». При использовании дактилоскопических сканеров и устройств распознавания голоса для входа в сети сотрудники избавляются от необходимости запоминать сложные пароли. Ряд компаний интегрируют биометрические возможности в системы однократной аутентификации SSO (Single Sign-On) масштаба предприятия. Подобная консолидация позволяет сетевым администраторам заменить службы однократной аутентификации паролей биометрическими технологиями.

Биометрическая аутентификация пользователя может быть использована при шифровании в виде модулей блокировки доступа к секретному ключу, который позволяет воспользоваться этой информацией только истинному владельцу частного ключа. Владелец может затем применять свой секретный ключ для шифрования информации, передаваемой по частным сетям или по Internet. Ахиллесовой пятой многих систем шифрования является проблема безопасного хранения самого криптографического секретного ключа. Зачастую доступ к ключу длиной 128 разрядов (или даже больше) защищен лишь паролем из 6 символов, т. е. 48 разрядов. Отпечатки пальцев обеспечивают намного более высокий уровень защиты и, в отличие от пароля, их невозможно забыть.

ТЕХНОЛОГИИ ЗАЩИТЫ МЕЖСЕТЕВОГО ОБМЕНА ДАННЫМИ

Развитие глобальных компьютерных сетей, появление новых перспективных информационных технологий (ИТ) привлекают все большее внимание. Глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи головной штаб-квартиры организации с удаленными офисами или создания Web-сай-тов организации с размещенной на них рекламой и деловыми предложениями. Многие организации принимают решение о подключении своих локальных и корпоративных сетей к открытой глобальной сети.

Однако подключение к открытой глобальной сети может иметь и негативные последствия, поскольку появляются угрозы неправомерного вторжения из внешней сети во внутреннюю сеть. Такое вторжение может выполняться как с целью несанкционированного использования ресурсов внутренней сети, например хищения информации, так и с целью нарушения ее работоспособности. Количество уязвимостей сетевых ОС, прикладных программ и возможных атак на КИС постоянно растет. Без соответствующих средств защиты вероятность успешной реализации таких угроз является достаточно высокой.

Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютерных сетей организаций, оцениваются миллиардами долларов. Поэтому при подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети.

Проблема защиты от несанкционированных действий при взаимодействии с внешними сетями может быть успешно решена только на основе комплексной защиты корпоративных компьютерных сетей. К базовым средствам многоуровневой защиты межсетевого обмена данными относятся защищенные ОС, МЭ, виртуальные защищенные сети VPN, протоколы защиты на канальном, транспортном и сетевом (протокол IPSec) уровнях.

Биометрическая защита в смартфонах и ноутбуках позволяет разблокировать устройство за десятые доли секунды или быстро запустить приложение. Сканер отпечатка пальца сегодня есть во множестве смартфонов, планшетов и ноутбуков.

Парадокс, но чем изощреннее становятся пароли, тем труднее защищать данные - обычным пользователям сложно придумывать и запоминать пароли, которые с каждым годом заставляют делать всё сложнее. А биометрическая авторизация избавляет от многих неудобств, связанных с применением сложных паролей.

Технология идентификации по отпечатку пальца, форме лица и другим уникальным физиологическим данным человека, известна уже десятки лет, но не стоит на месте, а постоянно развивается. Сегодня биометрические технологии лучше, чем были десять лет назад, и прогресс не стоит на месте. Но хватит ли «запаса прочности» у обычной биометрии или ей на смену придут экзотические методы многофакторной аутентификации?

Истоки биометрии

История современных методов идентификации начинается в 1800-х годах, когда писарь Первого бюро полицейской префектуры Парижа Альфонсо Бертильон предложил метод установления тождества преступников. Бертильон разработал системный подход, измеряя несколько характеристик тела: рост, длину и объём головы, длину рук, пальцев и т.д. Кроме того, он отмечал цвет глаз, шрамы и увечья.

Система идентификации Бертильона имела недостатки, но помогла раскрыть несколько преступлений. И позже легла в основу куда более надежной дактилоскопии.

В 1877 году британский судья в Индии Уильям Гершель выдвинул гипотезу об уникальности папиллярного рисунка кожи человека. Фрэнсис Гальтон, двоюродный брат Чарльза Дарвина, разработал метод классификации отпечатков пальцев. Уже в 1902 году технологию идентификации человека по отпечаткам применили при расследовании уголовных преступлений.

Впрочем, даже в Древней Месопотамии люди использовали отпечатки ладоней на глиняных табличках для идентификации.

Технология, позволяющая нам сегодня быстро разблокировать смартфон, берет свое начало в 1960-х, когда компьютеры научились сканировать отпечаток пальца. Параллельно развивалась технология идентификации по лицу, где первый крупный прорыв произошел в 1968 год: правильно «опознать» больше тестовых образцов, чем человек.

Первый предложенный способ сбора данных с помощью технологий - оптический. Опечаток пальца - это совокупность бугорков и впадин, которые создают определенный рисунок, уникальный для каждого человека папиллярный узор. Поэтому его достаточно просто сфотографировать и сравнить с теми, что хранятся в базе.

Позже был придуман ёмкостный метод сканирования: узор на пальце определяют микроконденсаторы. Метод основан на заряде и разряде конденсаторов в зависимости от расстояния до кожи в каждой отдельной точке поля - если конденсатор расположен под бугорком, он посылает один вид сигнала, а если под впадинкой, то другой.

Сигналы объединяются и сравниваются с зашифрованной информацией об отпечатке, которая хранится на устройстве.

Существуют и другие методы сбора данных: они основаны на работе радиочастотных сканеров, термосканеров, чувствительных к давлению сканеров, ультразвуковых сканеров и так далее. Каждый способ имеет свои достоинства и недостатки, но в мобильных устройствах массово распространены полупроводниковые емкостные сканеры, простые и надёжные.

Поиск надежного пароля

Цифровые биометрические базы данных используются в США с 1980-х годов, но только в 1990-х удалось начать внедрять биометрию в устройства, предназначенные для обычных пользователей. Сначала биометрия не привлекла большого интереса, поскольку оставалась дорогой, неудобной и непонятной для конечного потребителя. Первый встроенный в ноутбук сканер считывал отпечаток пальца около 1 минуты .

Постепенно стоимость внедрения биометрии снижалась, а требования к безопасности росли. Пользователи использовали одинаковые пароли для всего подряд и не меняли их годами. Производители техники смогли предложить им универсальное решение - тот же самый один пароль для всего, который не нужно менять и который невозможно выкрасть из компьютера пользователя, подобрать брутфорсом или подглядеть через плечо.

В 1994 году Джон Даугман разработал и запатентовал первые алгоритмы компьютерной идентификации по радужной оболочке глаза. Хотя алгоритмы и технологии с тех пор значительно улучшились, именно алгоритмы Даугмана по-прежнему являются основой для всех популярных вариаций этого метода. Сегодня сканирование радужной оболочки глаза, его сетчатки, а также анализ ДНК по надежности превосходят отпечаток пальца, но требуют более сложных и дорогостоящих технических решений.

К 2000-м годам стала развиваться и другая биометрическая технология - распознавание лица в реальном времени. Технология во многом похожа на анализ отпечатка пальца: характерные черты лица сравниваются с образцом, хранящимся в базе данных. На лице определяется расстояние между важными точками, а также собирается подробная информация о форме: например, учитывается контур ноздрей, глаз и даже текстуры кожи.

Уязвимость отпечатка

Как показали исследователи из Мичиганского государственного университета, первые массовые сканеры отпечатков можно обмануть с помощью обычного струйного принтера и специальной бумаги. Исследователи отсканировали рисунки кожи на нескольких пальцах и просто напечатали их в 2D токопроводящими чернилами на специальной бумаге , которую обычно применяют для печати электронных схем. Процесс очень быстрый. Это была не первая попытка найти уязвимость в биометрической защите, но ранее на создание качественного образца уходило не менее 30 минут.

Если вы придумали и запомнили сложный пароль, то у вас никто его не «утащит» из головы. А в случае биометрии достаточно найти качественный отпечаток вашего пальца. Эксперты показали , что можно снять отпечаток при помощи мармеладного мишки, если его приложить к поверхности смартфона. Также отпечаток можно воспроизвести по фотографии или с помощью приложения, имитирующего экран разблокировки.

Люди оставляют свои отпечатки повсюду, как если бы записывали свои пароли на всех встречающихся предметах и поверхностях. Но пароль хотя бы можно поменять, а если биометрический материал скомпрометирован, то вы не можете поменять себе глаз или палец.
Кроме того, базы данных всё время взламывают. Это в меньшей степени касается смартфонов, хранящих информацию в зашифрованном виде. Но много биометрической информации есть у государственных структур, и это не самые надежные хранители.

Будущее биометрической защиты

Пароль никто не должен знать никто кроме вас. В идеальном случае вы никому его не говорите, нигде не записываете, не оставляете никаких лазеек (ответ на «секретный вопрос» - кличка вашей собаки), чтобы исключить возможность простого взлома. Конечно, при должном желании взломать можно очень многое, но уже другими способами. Например, через уязвимость в древнем протоколе SS7 перехватывают SMS и обходят двухфакторную аутентификацию - в этом плане биометрия даже надежнее. Правда, вы должны быть весьма важной персоной, чтобы кто-то потратил достаточно денег и усилий на взлом вашего смартфона или ноутбука с использованием всех доступных методов.

Очевидная проблема биометрии - её публичность. Все знают, что у вас есть пальцы, глаза и лицо. Однако «открытые биометрические данные» - это лишь вершина айсберга. Ведутся эксперименты со всеми возможными характерными признаками, от мониторинга вашего сердечного пульса (такое решение уже тестирует MasterCard) до имплантации чипов под кожу, сканирования рисунка внутриглазных сосудов, формы мочек ушей и т.д.

В проект Abicus от Google планируется отслеживать уникальные черты человеческой речи, что позволит в будущем устанавливать подлинность вашей личности даже во время разговора по телефону.

Экспериментальные камеры видеонаблюдения отслеживают человека буквально по его походке - эту технологию трудно представить в качестве защиты смартфона, но она хорошо работает в единой экосистеме умного дома.

Компания TeleSign запустила идентификатор поведения , основанный на интернет-серфинге пользователя. Приложение записывает, как пользователь перемещает мышь, в каких местах экрана чаще всего кликает. В результате программа создаёт уникальный цифровой отпечаток поведения пользователя.

Вены в запястьях, ладонях и пальцах также могут использоваться как уникальные идентификаторы - более того, они могут дополнять существующие методы идентификации по отпечатку пальца. И это намного проще, чем использовать вместо пароля электроэнцефалограмму , которую снимают электроды на голове.

Вероятно, будущее биометрической защиты - в простоте. Совершенствование современных методов - самый простой способ обеспечить массовый приемлемый уровень защиты. Например, можно сканировать отпечаток с 3D-проекцией всех крошечных деталей, а также учитывать рисунок сосудов.

Технологии биометрической идентификации улучшаются так быстро, что трудно предсказать, как они будут выглядеть через несколько лет. Одно можно предположить довольно уверенно - останутся в прошлом пароли, которые тяжело было использовать, менять и запоминать.

Понятие «аутентификация» характеризует проверку на подлинность, например: является ли Вася Пупкин действительно Васей или же это, возможно, Петя какой-нибудь? Является ли он тем, за кого себя выдает? Процесс аутентификации может быть выполнен одним из трех возможных способов:

• основан на том, что Вам известно, например, кодовая комбинация (пароль);
• основан на том, что у Вас есть: ключ, магнитная карта, брелок;
• то, что есть Вы: папиллярные узоры, геометрия лица, строение глаза.

Именно третий пункт заключает в себе биометрическую аутентификацию, которая с развитием технологий становится все более актуальной. Как она работает, какие существуют достоинства, недостатки и насколько это безопасно, давайте рассмотрим подробнее...

Краткая история биометрии

Упуская множество фактов, исторических событий и деталей, применение биометрических параметров человека началось еще задолго до появления технических средств. Еще 100 г. до н. э. некий китайский император ставил свой отпечаток пальца, как печать на особо-важных доисторических артефактах. В 1800-х годах, Альфонс Бертильон, разработал систему распознавания преступников по их анатомическим характеристикам.

С течением времени, полиция Великобритании, Франции, США, начали отслеживать злоумышленников и подозреваемых в преступлениях по их отпечаткам пальцев. В дальнейшем, технология нашла свое применение в ФБР. Отпечатки пальцев стали первой полноценной системой распознавания человека.

В нынешнее время, биометрия стала более обширной и являются средством дополнительной защиты для технических средств или же элементом безопасности, который применяется в , для пропуска на охраняемую территорию, помещения и т.д.

Разновидности биометрической аутентификации

В настоящее время широко используются: пальцы человека, лицо и его глаза, а также голос - это «три кита» на которых держится современная биометрическая проверка подлинности пользователей:

Существует их довольно много, однако, сегодня используются три основных типа сканеров отпечатков пальцев:

• емкостные - измеряют электрические сигналы, поступающие от наших пальцев. Анализируют емкостную разницу между приподнятой частью отпечатка и его впадиной, после чего формируется «карта» отпечатка и сравнивается с исходной;
• ультразвуковые - сканируют поверхность пальца путем звуковых волн, которые посылаются на палец, отражаются и обрабатываются;
• оптические - фотографируют отпечаток пальца и выполняют сравнивание на соответствие.

Трудности при сканировании могут возникнуть, если мокрые или грязные руки, если травма (порезы, ожоги), если человек является инвалидом (отсутствуют руки, кисти, пальцы).

1. Аутентификация по радужной оболочки глаза

Другая и довольно распространенная биометрическая форма аутентификации - сканеры радужной оболочки. Узоры в наших глазах является уникальным и не меняется в течении жизни человека, что позволяет выполнить проверку подлинности того или иного человека. Процесс проверки является довольно сложным, так как анализируется большое количество точек, по сравнению со сканерами отпечатков пальцев, что свидетельствует о надежности системы.

Однако, в этом случае, могут возникнуть трудности у людей с очками или контактными линзами - их нужно будет снимать для корректной работы сканера.

1. Аутентификация по сетчатке глаза

Альтернативный способ использовать человеческий глаз для биометрической аутентификации - сканирование сетчатки. Сканер светит в глазное яблоко и отображает структуру кровеносных сосудов, которые так же, как и оболочка - являются уникальными у каждого из нас.

Биометрическая проверка подлинности по голосу внедряется в потребительские технологии и также имеет большие перспективы. Распознавание голоса сейчас реализовано у Google Assistant на устройствах Android или у Siri на устройствах iOS, или у Alexa на Amazon Echo. В основном сейчас, это реализовано так:

• Пользователь: «Я хочу кушать»
• Голосовой помощник: «Окей, вот список ближайших кафе..»

Т.е. никакой проверки на подлинность пользователя не осуществляется, однако, с развитием технологий - кушать пойдет только подлинный пользователь устройства. Тем не менее, технология аутентификации по голосу существует и в процессе проверки подлинности анализируется интонация, тембр, модуляция и другие биометрические параметры человека.

Трудности здесь могут возникать из-за фоновых шумов, настроения человека, возраста, здоровья, что, как следствие, снижает качество метода, из-за этого он не имеет столь широкого распространения.

1. Аутентификация по геометрии лица человека

Последней в данной статье и одна из распространенных форм биометрической аутентификации - распознавание лица. Технология довольно простая: фотографируется лицо человека и сравнивается с исходным изображением лица пользователя, имеющего доступ к устройству или на охраняемую территорию. Подобную технологию, именуемой, как «FaceID» мы можем наблюдать реализованной в iPhone от Apple.

Мы немного похожи на маму, папу или более раннего поколения родственников, а кто-то и на соседа... Как бы там ни было - каждый из нас имеет уникальные черты лица, за исключением близнецов (хотя и у них могут быть родинки в разных местах).

Несмотря на то, что технология простая по своей сути, она довольно сложная в процессе обработки изображения, поскольку осуществляется построение трехмерной модели головы, выделяются контуры, рассчитывается расстояние между элементами лица: глазами, губами, бровями и др.

Метод активно развивается, поскольку его можно использовать не только для биометрической аутентификации пользователей или сотрудников, но и для поимки преступников и злоумышленников. Ряд из камер, в общественных местах (вокзалах, аэропортах, площадях, людных улицах и т.д.) устанавливают в сочетании с данной технологией, где сканер имеет довольно высокую скорость работы и точность распознавания.

Как злоумышленник может обмануть биометрическую аутентификацию?

Нужно понимать, что при сканировании определенных параметров возможно возникновение ошибок в алгоритме распознавания. И в то же время, имея определенные знания, навыки и ресурсы, злоумышленник, может уклониться от тех или иных методов проверки подлинности.

В случае со сканером отпечатков пальцев, некоторые из них можно обмануть путем:

• изготовления трехмерной модели пальца из специального материала (выбирается исходя из принципа работы сканера);
• использования пальцев спящего человека, без сознания или мертвого;

Сканеры радужной оболочки и сетчатки глаза можно, с легкостью, обмануть качественной фотографией человека распечатанной на цветной бумаге. Однако, большинство современных сканеров умеет распознавать 2D модель и отличать ее от 3D, в таком случае, на снимок необходимо положить контактную линзу, что сымитирует блик (отражение света). Посмотрите наглядный видеоролик демонстрирующий процесс обхода сканера глаза на устройстве Samsung Galaxy S8:

Голосовые сканеры также имеют свои слабые места, которые возникают вследствие существования искусственного интеллекта и нейронных сетей способных имитировать голоса людей - такие системы имеют возможность скопировать любой человеческий голос и воспроизвести его за считанные секунды.

Сканеры лица человека не уступают по степени уязвимости, поскольку некоторые из таких систем, злоумышленник может обмануть использованием фотографии человека, как, например, в случае с Samsung Galaxy Note 8:

Получить доступ через сканер лица, не составит трудностей и у близнецов, на примере Face ID в iPhone - это выглядит вот так:

Основное достоинство и недостаток биометрической аутентификации

Явное преимущество системы - удобство, по причине того, что у Вас отсутствует необходимость запоминать кодовую комбинацию (пароль) или последовательность графического ключа, думать о том,

Явный недостаток - безопасность, в силу того, что существует масса уязвимостей и система распознавания не является надежной на все 100%. В то же время биометрические параметры (отпечаток пальца или рисунок радужной оболочки) нельзя изменить, в отличие от пароля или ПИН-кода. Это существенный недостаток, поскольку, если единожды данные попадут к злоумышленнику мы подвергаем себя серьезным рискам.

Учитывая, насколько сейчас распространена биометрическая технология распознавания в современных смартфонах, есть несколько рекомендаций, позволяющих в некоторой степени повысить уровень защиты:

• большинство отпечатков, которые мы оставляем на поверхности - это большого пальца и указательного, поэтому для Вашей аутентификации на смартфоне лучше всего использовать другие пальцы;
• несмотря на наличие биометрической проверки, применения или ПИН-кода - обязательное условие для полноценной безопасности.