[1]
Системы аутентификации с использованием анализа биометрических признаков по-прежнему остаются ненадежными и неточными решениями в массовых приложениях. Об этом свидетельствуют результаты испытаний 700 различных решений для анализа отпечатков пальцев и 450 алгоритмов распознавания лиц, проведенных в лабораториях NIST (Национальный институт стандартов и технологий).
Безопасность, основанная на системах аутентификации на основе паролей, считается устаревшей, поскольку пароли относительно легко взломать или украсть с помощью фишинга и, следовательно, они не очень безопасны. Несмотря на это, такие системы продолжают функционировать, хотя сейчас чаще всего они поддерживаются дополнительными методами многофакторной аутентификации.
На протяжении многих лет самые большие надежды на повышение уровня безопасности были связаны с популяризацией биометрических механизмов. Основываясь на уникальных биометрических характеристиках человека, идентификация лиц считается методикой, которая обеспечит эффективную, быструю и точную идентификацию лиц, и поэтому на нее возлагаются большие надежды для повышения уровня безопасности.
В то же время биометрические системы становятся все более доступными и стандартно устанавливаются, например, в ноутбуки или смартфоны. Это очень важно для их популяризации, поскольку не требует от пользователя никаких затрат и самостоятельной установки дополнительных аппаратных или программных решений.
Механизмы безопасности, основанные на использовании биометрии [2], часто считаются методом, который изменит способ аутентификации пользователей и сделает невозможным или значительно затруднит для хакеров доступ к скомпрометированным учетным записям и ИТ-системам.
К сожалению, тщательный анализ показывает, что многие реализации биометрических механизмов дают очень неточные результаты и не обеспечивают ожидаемого уровня безопасности.
Методы аутентификации, основанные на биометрических технологиях, уже много лет считаются базовым элементом современных систем безопасности, а некоторые из них, такие как сканирование отпечатков пальцев или распознавание лиц, все чаще внедряются в стандартные клиентские устройства.
Каковы результаты практических испытаний биометрических систем
Тесты биометрических систем и используемых в них алгоритмов годами проводились, в том числе, в лабораториях американского NIST. Любая компания, разрабатывающая или продающая такие системы, может представить их для оценки этому институту.
В NIST уже представлено более 700 различных решений для анализа отпечатков пальцев и 450 алгоритмов распознавания лиц. Это означает, что лаборатории института получили большое количество тестовых решений, что позволяет сделать выводы о состоянии развития наиболее популярных биометрических технологий.
К сожалению, многие реализации биометрических систем, использующих алгоритмы сканирования отпечатков пальцев или распознавания лиц, дают очень неточные результаты и едва ли могут считаться решениями для обеспечения безопасности.
В независимых тестах многие системы не достигают обещанных производителем параметров. В то же время многие поставщики, в том числе Apple и Google, устанавливают низкоуровневую аутентификацию по умолчанию в маркетинговых целях, чтобы не отпугивать пользователей, чьи устройства блокируются из-за того, что их отпечатки пальцев или сканирование лица не распознаются должным образом.
При этом системы некоторых производителей оснащены аварийной возможностью запуска устройств по паролю. С точки зрения безопасной аутентификации эта биометрическая система — шутка. Потому что все, что нужно сделать злоумышленнику, — это сделать одну или несколько неудачных попыток входа в систему, а затем использовать пароль, который легче взломать.
Согласно NIST, чтобы биометрическая технология считалась безопасной, она должна иметь точность около 1:100 000, что составляет одну ошибку на 100 000 тестов. Термин «ошибка» применяется как к ложноположительным, так и к ложноотрицательным результатам (т.е. неправильная авторизация неуполномоченным лицом или отклонение законного пользователя).
В настоящее время это очень труднодостижимая цель. Ни один из алгоритмов и систем, протестированных NIST, даже близко не приблизился к этому. Большинство решений имеют процент ошибок 1,9%, что составляет почти две ошибки на каждые 100 тестов.
В профессиональных системах, установленных в компаниях, ситуация ненамного лучше. Во многих крупномасштабных корпоративных биометрических внедрениях практическая точность составляет 1:500 или меньше.
Теория и практика
Существует множество практических причин, по которым биометрия плохо работает в реальном мире и теоретическая точность часто имеет мало общего с точностью в реальном мире.
Сравним, например, два самых популярных метода биометрической аутентификации: распознавание лиц и отпечатков пальцев. Теоретически распознавание лиц намного точнее, потому что оно обычно учитывает больше точек данных. Однако на практике этому методу приходится иметь дело с изменением освещения, косметики, прически и десятками других факторов, влияющих на точность и достоверность сканирования. Ни один из этих факторов не играет роли, когда речь идет о распознавании отпечатков пальцев. Но и в последнем случае тоже могут возникнуть проблемы, ведь далеко не каждая система регистрации отпечатков пальцев способна их правильно отсканировать у каждого человека.
Крупные производители смартфонов меньше используют биометрические данные для обеспечения высокой безопасности и больше для удобства пользователей, которые могут получить доступ к устройству без ввода PIN-кода.
Технологий, позволяющих внедрять биометрию, больше. К ним относятся сканирование сетчатки глаза, анализ ДНК или голоса. В частности, голосовая биометрия уже используется многими финансовыми учреждениями.
Если настройки параметров сканирования достаточно жесткие, то все методы могут стать серьезным механизмом обеспечения достаточно высокого уровня безопасности.
Биометрические технологии все еще развиваются и приобретают все большее значение в мире цифровых методов аутентификации человека. При рассмотрении вопроса о внедрении такой системы в компании стоит проанализировать ее преимущества и недостатки, при этом понимая, что идеальных решений не существует.