Berta Sándor
Kijátszhatók a biometrikus azonosítórendszerek
Egy-két esztendőn belül már akár Magyarországon is megjelenhetnek az ujjlenyomatokat digitálisan tároló személyi igazolványok vagy útlevelek. Egyre többen vonják kétségbe a biometrikus személyazonosítási módszerek és eljárások hatékonyságát, illetve megbízhatóságát.
Először csak adatvédelmi aggályokról lehetett hallani a biometrikus okmányokkal kapcsolatban. Aztán felmerültek a várható költségeket firtató kritikák is. Most pedig úgy tűnik, ez a személyazonosítási módszer már biztonságosnak sem mondható. Ez derül ki a New York-i Clarkson Egyetem kutatói által elvégzett tesztekből. A biometrikus rendszerek és leginkább a mintákat beolvasó készülékek meglehetősen pontatlanok és könnyen kijátszhatók. A szakemberek szerint ez azt jelenti, hogy például adott esetben akár egy halott ember levágott ujjával is könnyen bebocsátást lehet nyerni egy szigorúan őrzött intézménybe.
Az egyetem egy Play-Doh-nak nevezett, leginkább a gyurmára hasonlító massza segítségével tízből kilenc esetben ki tudták játszani az ujjlenyomat-azonosító rendszereket és az olvasóberendezéseket. Stephanie Schuckers professzor és csapata több mint hatvan hamis modell felhasználásával kísérleteztek. A spoofingnak is nevezett módszer, amelynél például halottak ujjait is alkalmazzák, ezúttal hatásos volt a biztonsági készülékek kijátszásában.
A vizsgálatokat az amerikai Nemzetbiztonsági Alapítvány (NSF), az Egyesült Államok belbiztonsági és a védelmi minisztériuma finanszírozta. Schuckers és kutatótársainak feladata, hogy a biometrikus azonosító rendszerek hibáit kiderítsék, majd ezeket a berendezéseket tökéletesítsék. Az ITR Biometrics: Performance, Security and Societal Impact nevű program költségvetése 3,1 millió dollár és a szakembereknek minél több, a repülőtereken, kikötőkben, számítógépes adatbázisokban és intézményekben alkalmazott biometrikus azonosító rendszert kell megvizsgálniuk és tökéletesebbé tenniük.
Egy igazi ujjat a hamistól többek között a nedvességtartalom alapján tud megkülönböztetni egy leolvasó készülék. Amikor ugyanis valaki ráhelyezi a felületre az ujját, a nyomás miatt nedvesség csapódik ki, ez pedig szétoszlik az ujjbegyen. Így jön létre mindenkinek az egyedi ujjlenyomata. A professzor és társai egy olyan programot fejlesztettek ki, amelyik ezt a nedvességet figyeli és méri. Az új szoftver már csak a hamis modellek tíz százalékát engedte át, ami több mint biztató. Persze ez még mindig messze van a tökéletes azonosítástól.
Az ujjlenyomat-azonosító és más biometrikus eszközök kapcsán hasonló eredményekről számolt be egyébként még 2004-ben egy londoni konferencián egy japán kutató is, aki a piacon fellelhető különböző íriszszkennereket egy egyszerű kinyomtatott íriszlenyomattal be tudta csapni. Egy másik japán kutató pedig zselatinból készült ujjlenyomat-másolatokkal meg tudta téveszteni a biztonsági rendszereket.
Először csak adatvédelmi aggályokról lehetett hallani a biometrikus okmányokkal kapcsolatban. Aztán felmerültek a várható költségeket firtató kritikák is. Most pedig úgy tűnik, ez a személyazonosítási módszer már biztonságosnak sem mondható. Ez derül ki a New York-i Clarkson Egyetem kutatói által elvégzett tesztekből. A biometrikus rendszerek és leginkább a mintákat beolvasó készülékek meglehetősen pontatlanok és könnyen kijátszhatók. A szakemberek szerint ez azt jelenti, hogy például adott esetben akár egy halott ember levágott ujjával is könnyen bebocsátást lehet nyerni egy szigorúan őrzött intézménybe.
Az egyetem egy Play-Doh-nak nevezett, leginkább a gyurmára hasonlító massza segítségével tízből kilenc esetben ki tudták játszani az ujjlenyomat-azonosító rendszereket és az olvasóberendezéseket. Stephanie Schuckers professzor és csapata több mint hatvan hamis modell felhasználásával kísérleteztek. A spoofingnak is nevezett módszer, amelynél például halottak ujjait is alkalmazzák, ezúttal hatásos volt a biztonsági készülékek kijátszásában.
A vizsgálatokat az amerikai Nemzetbiztonsági Alapítvány (NSF), az Egyesült Államok belbiztonsági és a védelmi minisztériuma finanszírozta. Schuckers és kutatótársainak feladata, hogy a biometrikus azonosító rendszerek hibáit kiderítsék, majd ezeket a berendezéseket tökéletesítsék. Az ITR Biometrics: Performance, Security and Societal Impact nevű program költségvetése 3,1 millió dollár és a szakembereknek minél több, a repülőtereken, kikötőkben, számítógépes adatbázisokban és intézményekben alkalmazott biometrikus azonosító rendszert kell megvizsgálniuk és tökéletesebbé tenniük.
Egy igazi ujjat a hamistól többek között a nedvességtartalom alapján tud megkülönböztetni egy leolvasó készülék. Amikor ugyanis valaki ráhelyezi a felületre az ujját, a nyomás miatt nedvesség csapódik ki, ez pedig szétoszlik az ujjbegyen. Így jön létre mindenkinek az egyedi ujjlenyomata. A professzor és társai egy olyan programot fejlesztettek ki, amelyik ezt a nedvességet figyeli és méri. Az új szoftver már csak a hamis modellek tíz százalékát engedte át, ami több mint biztató. Persze ez még mindig messze van a tökéletes azonosítástól.
Az ujjlenyomat-azonosító és más biometrikus eszközök kapcsán hasonló eredményekről számolt be egyébként még 2004-ben egy londoni konferencián egy japán kutató is, aki a piacon fellelhető különböző íriszszkennereket egy egyszerű kinyomtatott íriszlenyomattal be tudta csapni. Egy másik japán kutató pedig zselatinból készült ujjlenyomat-másolatokkal meg tudta téveszteni a biztonsági rendszereket.