Zostań kluczem

Wykorzystanie biometrii w formie, w jakiej znana jest dziś – z udziałem komputerów – ma swoje początki w drugiej połowie XX wieku. Zaczęło się od wojskowych technologii, które później, w latach 90., stały się ogólnodostępne. Jednak dopiero stosunkowo niedawno biometryczne metody identyfikacji weszły na masową skalę do świata elektroniki. Dzięki temu np. hasła tekstowe, jakich dziś trzeba używać, przestaną być potrzebne, bo hasłem stanie się sam człowiek. Już za parę lat użytkownicy banków i sklepów będą się legitymować częściami własnego ciała.

Dotychczas jako metod autoryzacji używano dwóch rodzajów zabezpieczenia. Pierwszym była identyfikacja za pomocą obiektu: klucza, karty, sygnalizatora RFID itp. Stosowana jest od bardzo dawna i ma jedną dużą wadę: opiera się na wykorzystaniu przedmiotu – przedmiot można komuś zabrać, co dla złodzieja jest zadaniem względnie prostym. Dlatego stworzono drugi stopień bezpieczeństwa.

Chodzi oczywiście o system haseł, czyli czegoś, co użytkownik wie – wiedzy nie można po prostu zabrać. Problem polega jednak na tym, że przeciętni użytkownicy stosują bardzo proste hasła i często zapisują je w rozmaitych miejscach. Co więcej, w obecnych czasach potrzeba zapamiętywania coraz większej liczby „tajemnych słów”, a zapomniane hasło stanowi problem. Tymczasem złodzieje nie próżnują – tworzone są programy „zgadujące” hasła, które stają się coraz skuteczniejsze.

Ludzie wykorzystują biometrię każdego dnia od zarania dziejów. Podobnie postępują wszystkie zwierzęta, które wzajemnie się rozpoznają i zapamiętują. Najczęściej człowiek działa jak program do dwuskładnikowej autoryzacji: identyfikuje osoby na podstawie wyglądu twarzy i tonu głosu.

Biometria zapewnia trzeci poziom zabezpieczeń. Kluczem i hasłem staje się sam użytkownik. Ma to wiele zalet: przepustkę do konta czy pokoju w firmie nosi się zawsze przy sobie, nie ma możliwości jej zapomnienia, a złodziej będzie musiał poważnie pogłówkować, zanim uda mu się sforsować zabezpieczenie biometryczne. Trzeba mieć tylko nadzieję, że odcinanie kończyn nie stanie się powszechną praktyką amatorów cudzych pieniędzy.

Programy wykorzystujące kamerę komputera do identyfikacji twarzy są dziś dobrze znane, istnieją także czytniki linii papilarnych czy wzoru tęczówki oka. Prace nad kolejnymi metodami identyfikacji stale trwają.

Czytniki linii papilarnych są od dawna montowane w laptopach biznesowych i w większości nowoczesnych smartfonów. Bez problemu kupisz też urządzenia do autoryzacji tą metodą, które za pośrednictwem programu pozwolą zabezpieczyć ważne treści na komputerze. Co więcej, zabezpieczony w ten sposób dysk twardy będzie nadal bezpieczny, jeśli ktoś wymontuje go i odczyta na innym komputerze. W Japonii prowadzi się testy zintegrowanej metody potwierdzania tożsamości odciskiem palca podczas płacenia w sklepach. Odciski mają być też przypisane do paszportu i potwierdzane podczas okazywania tego dokumentu – dzięki temu trudniej będzie go podrobić.

W Polsce baza danych biometrycznych funkcjonuje od roku 2000 – paszporty zawierają informacje o cechach fizycznych właścicieli. Są niewidoczne podczas przeglądania dokumentu, ukryto je w warstwie elektronicznej.

Zapowiadane są nowe modele telefonów z czytnikami siatkówki oka, a wiele banków wdraża technologię Finger Vein do bankomatów. Na kartach płatniczych Getin Bank wkrótce pojawią się czytniki linii papilarnych zastępujące PIN.

Zgodnie z definicją encyklopedyczną biometria jest dziedziną nauki zajmującą się m.in. techniką wykonywania pomiarów istot żywych. Obecnie jej rozwój ukierunkowany jest na identyfikowanie ludzi na podstawie cech fizycznych. Pomiary biometryczne obejmują cechy fizyczne (np. wzór tęczówki i siatkówki oka, linie papilarne, układ naczyń krwionośnych na dłoni lub przegubie ręki, kształt dłoni, formę linii zgięcia wnętrza dłoni i kształt ucha, wygląd twarzy i rozkład temperatur na niej, kształt i układ zębów, zapach, DNA), jak też i behawioralne, tzn. związane z zachowaniem (np. sposób chodzenia, kształt podpisu, głos).

Wadami metod biometrycznych jest fakt, że nie u wszystkich osób dana cecha funkcjonuje w stanie możliwym do jej pomiaru oraz że prawie wszystkie cechy ulegają zmianom w trakcie życia.

Przykłady wykorzystania faktu, że ludzie różnią się od siebie i można bezbłędnie rozpoznać konkretne osoby na tej podstawie, znane są jeszcze z czasów antycznych. Można się tego dowiedzieć nawet z Pisma Świętego: „Wtedy powiedział do niego człowiek z Gilead: „Powiedz teraz ‚Shibboleth’. I powiedział ‚Shibboleth’. Nie mógł poprawnie wymówić tego słowa. Więc zabrał go i zabił go podczas przejścia przez Jordan. I wtedy powalił 42 tysiące Efraimitów” (Księga Sędziów 12:5–6). Pechowi powaleni Efraimici nie przeszli prostego testu i zostali zidentyfikowani jako wrogowie.

Na rynkach w starożytnym Egipcie również stosowano prostą bazę biometryczną, choć służyła ona do mniej drastycznych celów. Sprawdzonych i godnych zaufania kupców można było rozpoznać po powszechnie znanych opisach fizycznych, zawierających zestaw cech charakterystycznych dla nich, np. informacje o widocznych bliznach. W ten sposób ludzie szukający towarów nie musieli znać kupców osobiście, by otrzymać na ich temat sprawdzone informacje i zidentyfikować handlarza.

Podobny przykład wystąpił także na ziemiach polskich. Za panowania Władysława Łokietka w 1312 roku doszło do buntu przeciw władcy, który został wywołany przez wójta Krakowa o niemieckim pochodzeniu. Podczas tłumienia rozruchów represjonowano mieszczan o niemieckim pochodzeniu. Aby ich rozpoznać, kazano wymawiać frazę: „soczewica, koło, miele młyn”, która dla Niemców jest trudna do prawidłowej artykulacji.

Świat zabezpieczeń to miejsce nieustannego wyścigu technologicznego. Ilekroć powstaje system mający chronić to, co wartościowe, powstają coraz bardziej pomysłowe sposoby łamania, oszukiwania i niszczenia barier.

Popularne czytniki linii papilarnych można „oszukać”, wykorzystując niewielkie zaplecze techniczne. Z powodzeniem udowodnili to studenci z Politechniki Warszawskiej. Odcisk palca został sfotografowany i wydrukowany na folii. Drukarka, nanosząc na niechłonny materiał farbę, stworzyła nierówności odpowiadające tym na ludzkim palcu. Potem wystarczyło przykleić wycięty kawałek folii do swojego opuszka, by stać się zupełnie inną osobą – no, przynajmniej dla programu rozpoznającego tożsamość.

W bardzo podobny sposób można próbować – choć tu szansa na sukces jest o wiele mniejsza – oszukiwać czytniki wzoru tęczówki oka. Na swoje oko trzeba nałożyć wydrukowane zdjęcie w dużej rozdzielczości (600 dpi lub większej), pamiętając o wycięciu dziury na źrenicę. Po co? Program rozpoznaje również odblaski powstające w tej części narządu wzroku. Z kartką zasłaniającą twarz trzeba stanąć przed czytnikiem i liczyć na powodzenie.

Na całe szczęście w tym nieustającym wyścigu zbrojeń biometria nie pozostaje w tyle. Prowadzi się już badania nad nowoczesnymi czytnikami linii papilarnych, które rozpoznają również układ porów w skórze palca, natomiast urządzenia identyfikujące tęczówkę oka mogą emitować rozbłyski światła i sprawdzać kurczenie się źrenicy. To proste, ale i genialne rozwiązania – a ile dodatkowej pracy dla biednego złodzieja!

Czytnik działa na zasadzie aparatu fotograficznego. Wzorcowe zdjęcie odcisku palca jest zapisywane przy rejestracji, a przy logowaniu urządzenie wykonuje nowe i porównuje je ze sobą. Nie nakłada na siebie całych fotografii – są sprawdzane tzw. minucje, czyli wybrane przez program rozgałęzienia czy zakończenia. Skanery linii papilarnych są niezbyt dokładne: z wzorcem musi się zgadzać zaledwie około 40 proc. minucji, bo w przeciwnym wypadku logowanie byłoby zbyt często odrzucane. Niestety czytniki te są łatwe do oszukania poprzez wykonanie wydruku odcisku palca.

Czytnik działa podobnie do aparatu fotograficznego, choć są drobne różnice. Podczas wyonywania skanu tęczówki oko jest naświetlane diodą podczerwoną, by komputer mógł wyodrębnić charakterystyczne cechy – w przeciwieństwie do zwykłego aparatu matryca czytnika jest więc czuła na podczerwień. Po wykonaniu zdjęcia program izoluje z niego samą tęczówkę i koduje ją do porównania z wzorcem. Odczyty mogą być błędne, jeśli użytkownik zachoruje i jego tęczówka rozszerzy się. Można też oszukać system autoryzacji zdjęciem oka w wysokiej rozdzielczości.

Rozpoznawanie osoby według kodu genetycznego jest raczej niewygodne, jeśli chodzi o systemy autoryzacji dostępu. Niemniej wprowadzenie do powszechnej bazy danych biometrycznych również informacji o genomie to tylko kwestia czasu. Porównanie fragmentów sekwencji zasad w DNA jest obecnie najpewniejszym sposobem na stuprocentowe potwierdzenie tożsamości. Niestety wymaga to pobrania próbki (fragmentu ciała) do sprawdzenia – im doskonalsza technologia, tym mniejszej.

Do sprawdzania głosu potrzebny jest jedynie mikrofon i odpowiedni program. Przez porównanie wypowiedzianego przez użytkownika zdania z tym zakodowanym w bazie dokonuje się autoryzacji. Porównywać można praktycznie każdą cechę wypowiadanego dźwięku, ale najpopularniejszy jest ton głosu. Niestety te czytniki często zawodzą, ponieważ głos ulega tymczasowym zmianom – na przykład podczas choroby górnych dróg oddechowych.

Najczęściej kontroluje się żyły dłoni lub nadgarstka. Skaner wykorzystuje światło podczerwone, by uwidocznić i sfotografować układ naczyń krwionośnych, który jest unikatową cechą każdego człowieka. Taką metodę identyfikacji będzie się prawdopodobnie najczęściej wykorzystywać w służbie zdrowia – odczyt jest bezdotykowy (a więc higieniczny) i niewiele stanów chorobowych może wpłynąć na możliwość powstania błędów.

Przy pomocy kamery i programu można wyodrębnić charakterystyczny układ punktów w małżowinie ucha, na twarzy czy dłoni. Program zapisuje je jako układ współrzędnych. Dla poprawy dokładności odczytu i większego skomplikowania kodu buduje się systemy złożone z wielu kamer, które tworzą obrazy 3D. Na tej zasadzie można mierzyć i wykorzystywać wiele cech biometrycznych, nawet kształt uśmiechu czy fakturę fragmentu skóry. Taki system można oszukać, np. za pomocą dobrego odlewu kończyny użytkownika.

Charakter podpisu to jedna z najdłużej wykorzystywanych cech biometrycznych, którą wykorzystywano jeszcze przed narodzinami komputerów. Program porównuje zdjęcie podpisu wzorcowego z podawanym przy logowaniu. Bardziej skomplikowane algorytmy są w stanie rozpoznać nie tylko sam podpis, ale również charakter ruchów dłoni i nacisku na powierzchnię. Dzięki temu w „oczach” komputera nawet doskonale podrobiony podpis będzie się różnił od oryginału.

To wbrew pozorom jedna z najbardziej skomplikowanych cech biometrycznych. Pomiarowi podlega długość kroku, tempo poruszania się oraz częstotliwość stawiania kroków: wszystkie te cechy wynikają z siebie wzajemnie i tworzą unikatową całość. A kiedy dorzuci się do tego tory ruchu kończyn, kąty zginania się stawów i przemieszczenia środka ciężkości, powstaje naprawdę solidna cecha biometryczna. Niestety systemy rozpoznające osoby po sposobie chodzenia to drogi sprzęt – wymagają kamer z programami „motion capture” lub ultradźwiękowych urządzeń do analizy ruchu.

Fala mózgowa P300 uaktywnia się, kiedy człowiek zobaczy lub usłyszy coś znajomego. Badano jej znaczenie w kryminalistyce. Poddane testom osoby wykazywały podwyższoną aktywność P300, kiedy pytano je o wydarzenia, w których uczestniczyli. Fale te są unikatowe dla każdego człowieka i można je będzie wykorzystać w biometrii w połączeniu z indywidualnie dobranymi bodźcami.