Biyometri, modern bir kimlik doğrulama sisteminin temellerinden biri olmalıdır. Ancak birçok biyometrik uygulama (ister parmak izi taraması ister yüz tanıma olsun) son derece yanlış olabilir ve bunlar hakkında evrensel olarak söylenebilecek tek olumlu şey, hiç yoktan iyidir.
Ayrıca – ve bu kritik olabilir – biyometrinin yanlış bir şekilde çok doğru olduğu gerçeği, bazı dolandırıcılık girişimlerini caydırmak için yeterli olabilir.
Biyometrinin gerçek dünyada iyi çalışmamasının çeşitli pratik nedenleri vardır ve bir güvenlik bilinci eğitimi sağlayıcısı olan KnowBe4’teki bir siber güvenlik uzmanının yakın zamanda yaptığı bir gönderi, biyometri konusuna yeni bir karmaşıklık katmanı ekliyor.
KnowBe4’te bir savunma müjdecisi olan Roger Grimes, LinkedIn’de yazdı hakkında Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) değerlendirme derecelendirmeleri. Açıkladığı gibi: “Herhangi bir biyometrik satıcı veya algoritma yaratıcısı, algoritmasını incelenmek üzere gönderebilir. NIST 733 başvuru aldı parmak izi incelemesi için ve onun için 450’den fazla başvuru yüz tanıma incelemeleri. NIST doğruluk hedefleri, incelemeye ve test edilen senaryoya bağlıdır, ancak NIST, 1:100.000 civarında bir doğruluk hedefi arıyor, bu da her 100.000 testte bir hata anlamına geliyor.
Grimes, NIST bulgularını özetleyerek “Şimdiye kadar sunulan adayların hiçbiri yaklaşamadı” diye yazdı. “En iyi çözümlerin hata oranı %1,9’dur, bu da her 100 testte neredeyse iki hata anlamına gelir. Bu, 1’den çok uzaktır. :100.000 ve kesinlikle çoğu satıcı tarafından öne sürülen rakamlara yakın değil. Geniş ölçekte birçok biyometrik dağıtıma dahil oldum ve NIST’in en iyi durumda gördüğünden bile çok daha yüksek hata oranları – yanlış pozitifler veya yanlış negatifler – görüyoruz. senaryo laboratuvar koşul testi. Rutin olarak 1:500 veya daha düşük seviyelerde hatalar görüyorum.”
Bir an için batmasına izin verin.
Bağımsız testlerde, birçok biyometri vaatlerini tam olarak yerine getirmiyor. Bunun da ötesinde, Apple (iOS) ve Google (Android) dahil olmak üzere birçok tedarikçi firma, kimlik doğrulamanın ne kadar katı veya yumuşak olacağını seçtikleri ayarlarında pazarlama seçimleri yapar. Pek çok kişinin telefonlarına uygunsuz bir şekilde kilitlenmesini istemiyorlar, bu nedenle daha az katı hale getirmeyi seçiyorlar, bu da aslında daha fazla sayıda yetkisiz kişinin cihaz erişimine yeşil ışık yakıyor.
Yüz tanıma kullanırken telefonların bir telefon kullanıcısının çocuklarına veya kardeşlerine izin verdiğini gösteren videoları hatırlıyor musunuz? Bu büyük bir sebep.
Diğer bir önemli faktör, gerçek dünya doğruluğuna karşı teorik doğruluktur. İki popüler telefon kimlik doğrulama yöntemini göz önünde bulundurun: yüz ve parmak izi tanıma. Teorik olarak, yüz tanıma çok daha ayırt edicidir çünkü daha fazla sayıda veri noktasını göz önünde bulundurabilir. Ancak pratikte bu genellikle olmaz.
Parmak iziyle telefona erişen çocuk veya kardeş gördünüz mü? Yüz tanıma, aydınlatma, kozmetik, saç değişikliği ve daha onlarca faktörle uğraşmak zorunda. Parmak izi tanıma kullanılırken bunların hiçbiri devreye girmiyor.
Bir de mesafe sorunu var. Yüz tanıma ile, bir cihazın doğru bir şekilde okuyabilmesi için yüzden tam olarak uzakta olması gerekir – ne çok yakın ne de çok uzak. Kişisel olarak Face ID’li bir iPhone kullanıyorum ve genellikle zamanın %60’ında başarısızlık görüyorum. Sonra farkı biraz ayarlıyorum ve – eğer şanslıysam – telefonumun kilidi açılacak. (Yine, bu parmak izleriyle ilgili bir sorun değildir.)
Yan not: Neden birçok bankacılık uygulaması çek taramalarıyla daha karmaşık bir şekilde ilgileniyor (evet, bazı şirketler hala çek kullanıyor)? Uygulama, kontrol görüntüsünün fotoğrafını çekmeden önce genellikle size “telefonu yaklaştırın” veya “geri çekilin” diyecektir. Yüz tanıma neden aynı şeyi yapamıyor?
Kimlik doğrulama açısından bakıldığında, birçok biyometrik konuşlandırmanın bir şaka olduğunu da unutmayın. Neden? Niye? Çünkü biyometrik kimlik doğrulama başarısız olduğunda, erişim varsayılan olarak telefonun PIN’ine yapılır.
Başka bir deyişle, bir hırsız biyometriyi aşmak isterse tek yapması gereken bir veya iki kez başarısız olmak ve ardından kırılması daha kolay olan PIN ile uğraşmak. Amaç ne? Büyük telefon satıcılarının biyometriyi kolaylıktan çok kimlik doğrulama veya siber güvenlik için kullandıkları açıktır. Bir PIN yazmak zorunda kalmadan bir cihaza erişmenin bir yolu.
Kulağa ne kadar gevşek gelse de, Grimes durumun muhtemelen daha kötü olduğunu savunuyor. “NIST testleri en iyi durum senaryolarıdır. Hepsi korkunç derecede yanlış. Güvenlik neredeyse her durumda fazlasıyla vaat ediliyor” dedi.n röportaj yapmak.
Grimes ayrıca biyometrinin değişmeyen doğasıyla ilgili endişelerini de dile getirdi. Bir parola veya PIN’in güvenliği ihlal edilirse, yeni bir parola veya PIN oluşturmak kolaydır. Fiziksel bir jeton bile değiştirilebilir. Peki biyometri tehlikeye girerse ne olur? Yüzünüzü, retinanızı, sesinizi veya parmak izinizi kolayca değiştiremezsiniz.
“Bir kez çalındığında, onları nasıl geri alırsınız?” Grimes, biyometrik verilerin tersine mühendislikle işlenmesinin oldukça mümkün olduğunu da sözlerine ekledi.
Buradaki en önemli sorun algı ve karakterizasyondur. Şu anda uygulanan bu biyometrik çabalar, kolaylıktan biraz daha fazlasıdır. (Beni yanlış anlamayın; doğuştan tembel bir insan olarak rahatlığa delice aşığım.) Ancak siber güvenlik için özel olarak tasarlanmış olarak sunuluyorlar. Sonuç olarak, kullanıcılar ve teknoloji uzmanları koruyucu bir önlem olarak biyometriye güvenecekler.
Biyometriyi güvenli bir şekilde dağıtmanın birçok yolu vardır. Retina taramaları genellikle güvenlidir ve parmak izleri düzgün şekilde taranabilen parmak izlerine sahip kişiler için iyi çalışır. Ancak şu anda çeşitli finansal kurumlar tarafından kullanılan ses biyometrisinin sahtesini yapmak çok kolay.
Bu bizi ayar kararlarına geri getiriyor. Ayarlar yeterince katıysa, yüz tanıma bile bir güvenlik mekanizması haline gelebilir. Kısacası, biyometri güzel bir kolaylık. Bir güvenlik savunması olarak, günümüzün uygulamalarının çoğu onu kesmiyor.
Telif hakkı © 2022 IDG Communications, Inc.