بیومتریک، مزایا و معایب آن

در حال حاضر با توجه به پیشرفت فناوری‌های مورد استفاده توسط هکرها و افزایش حملات سایبری، کلمه‌های عبور معمولی که متشکل از یک رشته از کاراکترها، حروف و اعداد هستند نه تنها امن نبوده بلکه حتی مجرمان سایبری به راحتی می‌توانند به آنها دسترسی یابند.

با وجود اینکه کاربران امکان استفاده از یک رمز عبور مشابه و ساده برای چندین حساب کاربری را دارند یا می‌توانند از یک برنامه مدیریت رمز عبور برای تعیین و انتخاب کلمه‌های عبور پیچیده استفاده نموده و هر چند وقت یکبار آنها را تغییر دهند، اما توصیه‌های کارشناسان امنیتی به افراد این است که به جای انتخاب رشته‌ای تصادفی از کاراکترها، از فناوری‌های جدید مانند بیومتریک (Biometric) که برای هر فرد کاملاً منحصر به فرد است و امکان هک آن به سادگی وجود ندارد، برای حساب‌های کاربری‌شان استفاده کنند.

بر اساس تحقیقات انجام شده از هر ده نفر، یک نفر گزارش هک حداقل یکی از حساب‌های خود را داده بود. همچنین 80 درصد از قربانیان این کلاهبرداری‌ها همواره از اینکه دوباره در دام بیفتند، احساس ترس داشتند.

حتی مشاغل و سازمان‌ها نیز از این حملات در امان نیستند. بر اساس گزارش‌های دریافتی از شرکت‌های انگلیسی، این کلاهبرداری‌ها حدود 20 هزار پوند ضرر مالی برای بسیاری از شرکت‌ها و کسب‌وکارشان به بار آورده‌اند. این سازمان‌ها علاوه بر اینکه ناچار به خسارت‌های مالی سنگین شدند، اعتمادشان در بین مشتریان خود را از دست داده و حدود یک چهارم از قربانیان این کلاهبرداری‌ها اعلام کردند که پس از وقوع چنین حوادثی، مبادلات و معاملات تجاری خود با کسب‌وکار مربوطه را متوقف نمودند.

در پی افزایش حملات افشای رمز عبور و دسترسی مهاجمان به داده‌های حساس سازمان‌ها و همچنین بر اساس توصیه‌های پی در پی کارشناسان امنیتی، شرکت‌ها به منظور حفاظت از اطلاعات و سیستم‌هایشان به روش‌های امنیتی و نوین بیومتریک روی آوردند.

بیومتریک چیست و چگونه هک می‌شوند؟

تکنولوژی بیومتریک (Biometric) به روش‌های خودکار تشخیص یا تأیید هویت یک شخص زنده از طریق اندازه‌گیری مشخصه‌های فیزیولوژیکی یا رفتاری وی اطلاق می‌شود؛ بدین ترتیب بیومتریک یک مجموعه فناوری محسوب می‌گردد.

فناوری بیومتریک، که در فارسی به آن فناوری زیست سنجی گویند، فناوری است که ویژگی‌ها و خصایص یکتا و منحصر به فرد یک انسان را اندازه گیری می‌کند. این فناوری برای احراز هویت و کنترل دسترسی به کار می‌رود. کاربرد فناوری بیومتریک در فرودگاه‌ها، ساعت‌های حضور و غیاب، ورودی‌های ساختمان و قفل‌های هوشمند در ساختمان‌های هوشمند، خودروهای جدید، پایگاه‌های اهدای خون، مدارس، مراکز داده و بسیاری از مکان‌های دیگر است. از جمله پارامترهای مهم برای بیومتریک اثر انگشت، هندسه کف دست، قرنیه چشم، شبکیه چشم، صورت و الگوری راه رفتن است. بیومتریک به دلیل دنیای دیجیتال، محافظت از داده‌های محرمانه، احراز هویت افراد برای استفاده از دستگاه ( مانند اثر انگشت در موبایل) مسیر رشد بالایی را در این زمان پیش رو دارد. در بسیاری از نوشتارها اشاره به این شده است که بیومتریک مناسب‌تر از رمز عبور بوده و بر اساس یک گزارش میدانی، 48% افراد بر این باورند که بیومتریک نسبت به رمز عبور امن‌تر ماست.

احراز هویت بیومتریک چیست؟

به بیانی ساده احراز هویت بیومتریک تأیید هویت شما با اندازه‌گیری ویژگی‌های منحصر به‌ فرد بدن شما می‌باشد، که پس از شناسایی، شما را به سرویس، اپلیکیشن، سامانه و… وارد می‌کند. دلیل پیچیدگی این تکنولوژی در آن نهان است، حال بیایید ببینیم این تکنولوژی چگونه کار می‌کند.

احراز هویت بیومتریک یک مرحله جلوتر رفته و از اطلاعات افراد برای مقایسه با یک پایگاه داده استفاده می‌کند و آنها را به یک سرویس وارد می‌کند.

به این موضوع این‌ گونه نگاه کنید: شناسایی بیومتریک مانند فردی است که با چشم نیمه باز از طریق روزنه در می‌خواهد به 2 نفر که زنگ ‌زده‌اند، نگاه کند. او بر اساس قد، رنگ مو، رنگ چشم و‌… تصمیم می‌گیرد که کدام‌یک از آنها دوست است.

احراز هویت بیومتریک ، همان فردی است که با چشم نیمه باز از طریق روزنه در می‌خواهد ببیند چه کسی به دیدار او رفته است. اگر دوست باشد، به او اجازه ورود می‌دهد.

اگر دوست نباشد، درب بسته باقی خواهد ماند.

موضوعی که ما در این مقاله پوشش می‌دهیم توضیح گسترده‌ای از احراز هویت بیومتریک، یک تکنولوژی جذاب که در حال حاضر به شکل قابل‌ توجهی پذیرفته شده است و پتانسیل گسترش در آینده را دارد، می‌باشد.

بیشتر بخوانید : چرا همین حالا باید احراز هویت دو مرحله‌ای را فعال کنید

لیست محتوا

• احراز هویت بیومتریک چگونه کار می‌کند؟
• روش‌های احراز هویت بیومتریک و نحوه کار آنها: 1.اسکنر اثرانگشت و نحوه ذخیره‌سازی اطلاعات توسط آن 2.تکنولوژی بیومتریک سیستم تشخیص چهره 3.اسکنر چشم 4.شناسایی متکلم
• سایر فناوری‌های بیومتریک
• مزایا و معایب اراز هویت بیومتریک
• روش‌های هک کردن
• چگونه تلفن هوشمند / لپ‌تاپ را با اسکنر اثرانگشت ایمن کنیم

احراز هویت بیومتریک با مقایسه دو مجموعه داده کار می‌کند: اولین مورد توسط صاحب دستگاه از پیش تعیین شده است، در حالی‌که دومین داده به بازدید کننده دستگاه تعلق دارد. اگر دو داده تقریباً یکسان باشند، دستگاه می‌داند که “بازدیدکننده” و “‌صاحب دستگاه‌” یک نفرند و به شخص اجازه دسترسی می‌دهد.

احراز هویت بیومتریک چگونه کار می‌کند؟

نکته مهم این است که تطبیق بین دو مجموعه داده تقریباً یکسان است اما دقیقاً یکسان نیست. زیرا ممکن است 2 مجموعه داده بیومتریک 100٪ مطابقت نداشته باشند. به‌ عنوان‌ مثال، ممکن است انگشت ما کمی عرق کرده و خیس، کثیف و یا کمی زخمی باشد و در اثر آنها مدل اثر انگشت تغییر کند.

طراحی فرایند به‌طوری‌ که نیازی به تطبیق دقیق نداشته باشد احتمال خطا (دستگاه اثرانگشت واقعی شما را تشخیص نمی‌دهد) و در عین‌ حال شانس اینکه اثر انگشت جعلی، صحیح در نظر گرفته شود را افزایش می‌دهد.

روش‌های احراز هویت بیومتریک و نحوه کار آنها

چندین روش احراز هویت برای شناسایی کاربران سامانه‌ها وجود دارد که در ادامه به آنها اشاره‌شده است.

1.اسکنر اثر انگشت و نحوه ذخیره‌سازی اطلاعات توسط آن

سه نوع اسکنر اثر انگشت وجود دارد: نوری، خازنی و اولتراسونیک (امواج فراصوتی).

• اسکنر نوری یک عکس از انگشت می‌گیرد، مدل اثرانگشت را شناسایی می‌کند، سپس آن را به یک کد شناسایی تبدیل می‌کند.

• اسکنر خازنی با اندازه‌گیری سیگنال‌های الکتریکی ارسال‌شده از انگشت به اسکنر، کار می‌کند. برآمدگی‌های انگشت به‌طور مستقیم با اسکنر در تماس قرار می‌گیرند، جریان الکتریکی را ارسال می‌کنند، درحالی‌که شیارهای اثرانگشت، شکاف‌های هوایی ایجاد می‌کنند. یک اسکنر خازنی اساساً این نقاط تماس و شیارهای هوایی را که منجر به یک مدل کاملاً منحصربه‌فرد می‌شوند به تصویر می‌کشد. این نمونه از اسکنرها درگوشی‌های هوشمند و لپ‌تاپ‌ها استفاده می‌شوند.
• اسکنر اولتراسونیک که در جدیدترین نسل از تلفن‌های هوشمند بکار برده خواهد شد، امواج فراصوتی را منتشر می‌کند که دوباره به اسکنر بازمی‌گردند و مانند اسکنر خازنی، یک مدل منحصر از انگشت همان فرد را ارائه می‌دهد.

اثر انگشت شما چگونه ذخیره می‌شود؟

گوگل و اپل هر دو، اثر انگشت شما را بر روی دستگاه خود شما ذخیره می‌کنند و هیچ ‌نسخه‌ای از آن را در سرورهای خود کپی نمی‌کنند.

شناساگر اثر انگشت اپل تصویر واقعی اثرانگشت شما را ذخیره نمی‌کند بلکه یک نمایش ریاضی از آن را ذخیره می‌کند. بنابراین حتی اگر یک هکر مخرب به این نمایش ریاضی دست یابد، نمی‌تواند آن را طوری طراحی کند تا یک عکس واقعی از اثر انگشت شما را نشان دهد. علاوه بر این، داده‌های اثر انگشت شما رمزگذاری می‌شوند.

همان‌طور که یک محقق امنیتی اشاره کرده است، اگرچه شناساگر اثر انگشت را می‌توان هک کرد ولی این روش هنوز هم یک روش بسیار امن برای احراز هویت بیومتریک (Biometric) است. کسی که می‌خواهد یک گوشی اپل با شناساگر اثر انگشت را هک کند، به یک کپی بسیار عالی از اثرانگشت شخص نیاز دارد تا  به تلفن او دسترسی یابد، به همین دلیل این روش با سرقت یک رمز عبور، کاملاً متفاوت است.

حتی سیستم‌عامل دستگاه هم نمی‌تواند مستقیماً به داده‌های اثر انگشت دسترسی پیدا کند و نسبت به سایر برنامه‌ها دسترسی بسیار کمتری دارد. در عوض، یک نرم‌افزار امنیتی “gatekeeper” باقابلیت Secure Enclave (تضمین‌کننده امنیت یک جلسه) وجود دارد که بین داده‌های اثر انگشت و برنامه‌ای که اسکن اثر انگشت را انجام می‌دهد، قرار می‌گیرد.

“Gatekeeper” فن‌آوری جدید امنیتی اپل است که هم‌زمان با “Mountain Lion” منتشر می‌شود. با این فن‌آوری اپل به شما اجازه می‌دهد برنامه‌های تولیدکنندگان مورد تأیید اپل را نیز در کنار برنامه‌های موجود در Mac Store نصب کنید و درصورتی‌که این برنامه در اجرا با مشکل حادی مواجه شود، اپل قادر به غیر فعال‌سازی آن و لغو مجوز اعطاشده می‌باشد.

“Secure Enclave” بخشی از تراشه‌های A7 و جدیدترین تراشه‌ای است که برای Touch ID استفاده می‌شود.

گوشی‌های اندروید تحت دستورالعمل‌های مشابه کار می‌کنند. آنها داده‌های اثر انگشت را در قسمت امن پردازشگر اصلی به نام “Trusted Execution Environment” یا به‌طور خلاصه TEE نگه می‌دارند. TEE از دیگر قسمت‌های پردازنده جدا می‌باشد و به‌طور مستقیم با برنامه‌های نصب‌شده ارتباط برقرار نمی‌کند.

مانند دستگاه‌های اپل، داده‌های اثر انگشت در حالت رمزگذاری شده ذخیره می‌شوند. علاوه بر این، هنگامی‌که کاربری از دستگاه استفاده نمی‌کند، باید هرگونه اثر انگشت ذخیره‌شده بر روی آن حذف شود.

در حالی‌که  سایر دستگاه‌ها هنوز متکی به روش اثر انگشت هستند، اپل تکنولوژی اسکن اثرانگشت را تغییر داد و شناساگر چهره را با شناساگر اثر انگشت جایگزین کرد.

درواقع، در سال 2018، بسیاری از توسعه‌دهندگان گوشی‌های هوشمند قصد دارند اسکنر اثر انگشت را بر روی صفحه‌نمایش خود قرار دهند. Vivo اولین شرکتی است که چنین دستگاهی را عرضه می‌کند. گوشی Vivo دارای یک سنسور CMOS Synaptic و یک دوربین کوچک، که در زیر نمایشگر (قطعه‌ ‌OLED‌) قرار دارد، می‌باشد.

هر زمان که صفحه OLED روشن می‌شود حسگر، اثر انگشت شما را نیز می‌بیند و سپس آن را با اطلاعاتی که قبلاً ذخیره‌شده مقایسه می‌کند. برای کاربران، نتیجه مشابه روش قبل است، صفحه را با انگشت خود لمس می‌کنند و گوشی آنها باز می‌شود.

بیشتر بخوانید : سرقت از کاربران iOS به کمک اسکن اثر انگشت آن‌ها

2.اسکنر چشم

محققان امنیتی، چشم را یکی از قابل‌ اطمینان‌ترین قسمت‌های بدن برای احراز هویت بیومتریک (Biometric) می‌دانند، زیرا شبکیه و عنبیه در طول عمر فرد کاملاً بدون تغییر باقی می‌مانند.

• یک اسکنر شبکیه، عروق خونی پیچیده در چشم یک فرد را با استفاده از نور مادون‌ قرمز روشن می‌کند و باعث می‌شود که قسمت بیشتری از بافت اطراف قابل‌مشاهده باشد. دقیقاً مانند اثرانگشت، دو نفر هرگز نمی‌توانند یک الگوی شبکیه مشابه به هم را داشته باشند.

• اسکنرهای عنبیه چشم به عکس یا فیلم‌های با کیفیت بالا از یک یا هر دو عنبیه چشم وابسته هستند. عنبیه چشم نیز منحصر به‌ فرد است. با این‌ حال ثابت‌ شده، اسکنرهای عنبیه به‌سادگی با استفاده از یک عکس با کیفیت بالا از چهره یا چشم‌های شخص فریب می‌خورند.

اسکنر عنبیه چشم چگونه کار می‌کند‌؟

هنگامی‌که حرف از بیومتریک است، عنبیه چشم دارای چندین مزیت عمده در مقایسه با اثر انگشت است:

• شما هر بار که چیزی را لمس می‌کنید اطلاعاتی را منتشر نمی‌کنید.
• عنبیه در طول زندگی شخص عملاً بدون تغییر باقی می‌ماند. از طرف دیگر یک اثر انگشت می‌تواند کثیف، زخمی و یا مرطوب باشد.
• شما نمی‌توانید یک اثرانگشت را با دست‌های کثیف و عرق کرده استفاده کنید. ولی عنبیه چشم چنین مشکلی ندارد.

تنها عیب اصلی اسکنر عنبیه این است که عکس‌های با کیفیت بالا از چشم یا چهره شما می‌توانند اسکنر را فریب دهند و دستگاه را باز کنند.

باوجود این محدودیت‌ها، تکنولوژی بیومتریک به‌عنوان یک ویژگی امنیتی در فرودگاه‌ها، بانک‌ها و دیگر سازمان‌های حساس استفاده می‌شود. البته، درست مثل سایر مشخصه‌های امنیتی، از تکنولوژی‌های احراز هویت چندگانه در آنها استفاده می‌شود.

نحوه عملکرد آنها چنین است، در مرحله ثبت‌نام، اسکنر با استفاده از هر نور طبیعی و همچنین نور مادون‌ قرمز عکس عنبیه را با دقت بالا می‌گیرد. زیرا در غیر این صورت عنبیه چشم قابل‌ مشاهده نیست.

پس‌ از آنکه دستگاه مشخصات عنبیه فرد را ثبت کرد، جزئیات غیرضروری مانند مژه‌ها را حذف می‌کند، سپس اطلاعات را به داده‌های ریاضی تبدیل می‌کند و آنها را رمزگذاری می‌کند.

برای تأیید نهایی، یک اسکنر عنبیه دوباره نور مادون‌قرمز را برای شناسایی بهتر جزئیات پنهان به چشم می‌تاباند. از آنجا که یک اسکنر عنبیه نور خود را تأمین می‌کند، در شرایط تاریک نیز کار می‌کند.

3.شناسایی متکلم

شناساگر متکلم، برعکس شناساگر صدا، می‌خواهد کسی را که صحبت می‌کند شناسایی کند و نه‌ حرفی که گفته می‌شود.

به‌منظور شناسایی متکلم، نرم‌افزار تخصصی، کلمات شما را به بسته‌های فرکانسی تجزیه می‌کند که فورمنت (formants) نامیده می‌شوند. این بسته‌های فورمنت نیز شامل یک تن صدایی از کاربر بوده و این دو با هم، مدل صدای شما را تشکیل می‌دهند.

فورمنت (formant): فورمنت را به‌عنوان “قله طیفی” طیف صدا تعریف می‌کنند. انجمن آکوستیک آمریکا یک فورمنت را چنین تعریف می‌کند: “طیف وسیعی از فرکانس‌ها [صدای پیچیده] که در آن حداکثر مطلق یا نسبی در طیف صدا وجود دارد”.

فناوری تشخیص متکلم می‌تواند:

• به متن بستگی داشته باشد، به این معنی که پس از شناسایی کلمات یا عبارات خاص همچنان آن را باز کند. (مثلاً “سلام گوگول” برای گوشی‌های اندروید 7)
• مستقل از متن باشد، یعنی در این حالت سعی می‌کند صدای خود شما را تشخیص دهد و آنچه که درواقع گفته می‌شود را نادیده می‌گیرد.

برخلاف سایر روش‌های ذکر شده در اینجا، تشخیص متکلم یک مشکل دارد و آن این است که صداهای پس‌زمینه و صداهای موجود در محیط پیرامون، صدای شخص را از شکل طبیعی خارج می‌کند و تشخیص درست غیرممکن می‌شود.

اما بزرگ‌ترین مسئله برای تشخیص متکلم این است که چگونه می‌توان یک نمونه صدای ضبط‌ شده با کیفیت بالا ایجاد کرد. حتی تلفن‌های هوشمند با کیفیت پایین نیز می‌توانند صدای شخص، آهنگ صدا، تن و لهجه را با دقت کامل ضبط کنند.

این مشکل، شناساگر متکلم و تکنولوژی‌های مشابه به آن را از رسیدن به مسیر اصلی متوقف نکرده است. کافیست به موفقیت Amazon Echo، Google Home و دیگر کنترل‌کننده‌های صدای متکلمان که در بسیاری از خانه‌های هوشمند به کار برده شده‌اند، نگاه کنید.

منظور ما سوءاستفاده از احراز هویت بیومتریک نیست، بلکه منظورمان روش‌های “کلاسیک” هکرهاست. آزمایشگاه‌های امنیتی Rhino نشان دادند که مهاجمان چگونه از طریق وای‌فای (شبکه اینترنت بی‌سیم) به Amazon Key حمله می‌کنند تا دوربین‌های امنیتی تعبیه‌شده در منزل، فیلم افرادی را که وارد خانه می‌شوند، ضبط نکنند.

سایر فناوری‌های بیومتریک

روش‌های بالا شناخته‌شده‌ترین و محبوب‌ترین آنها هستند، اما تنها این موارد نیستند. در این قسمت به برخی دیگر از این فن‌آوری‌ها اشاره‌شده است:

تشخیص چهره

به‌طورکلی، سیستم‌های تشخیص چهره از بسیاری از روش‌های احراز هویت بیومتریک استفاده می‌کنند.

روش کلاسیک آن، این است که به‌راحتی ویژگی‌های چهره خود را (چشم‌ها، بینی، فاصله بین لب‌ها و …) از یک تصویر استخراج کنید و آنها را با سایر تصاویر مقایسه کنید تا یک همخوانی و شباهت پیدا کنید.

روش مدرن آن با تجزیه‌ و تحلیل بافت پوست، خطوط منحصر به‌فرد، علائم زیبایی، چین‌ و چروک و … در چهره شما به یک فضای ریاضی تبدیل می‌شوند که بعداً با سایر تصاویر مقایسه می‌شوند.

هر دو روش را می‌توان به‌راحتی با آرایش، ماسک و یا در برخی موارد، به‌سادگی با پوشش بخشی از چهره خود فریب داد. این همان‌جایی بود که با به‌کارگیری تصاویر حرارتی و سایر تکنولوژی‌ها این بازی را قبل از رسیدن به اوج خود متوقف ساختیم که از استقبال گسترده سیستم‌هایی مانند Apple برخوردار شد.

شناساگر چهره آیفون از بیش از 000 30 نقطه مادون‌قرمز برای تعیین مدل چهره شما استفاده می‌کند، سپس یک نقشه سه‌بعدی از ویژگی‌های چهره شما را ایجاد می‌کند. این نقشه به Enclave Secure در پردازنده فرستاده می‌شود تا با داده از پیش ذخیره‌ شده در دستگاه مقایسه شود. نتیجه؟ تلفن شما فقط با نگاه کردن به آن باز شده است.

اپل برای بازاریابی‌های خود گفته است که از بین یک‌میلیون فرصت برای باز کردن قفل آیفون تنها یک شانس با استفاده از شناساگر چهره وجود دارد. البته، این فقط به‌عنوان یک چالش برای کارشناسان امنیتی به نظر می‌رسد. یک محقق از ویتنام شناساگر چهره را با یک ماسک سه‌بعدی چاپ‌شده از نوار سیلیکون و کاغذ فریب داد.

بیشتر بخوانید : تکنولوژی بیومتریک: سیستم تشخیص چهره

هندسه و شکل کف دست و انگشتان

این روش هرچند به منحصر به‌ فردی اثر اسکن عنبیه چشم و یا چهره‌نگاری سه‌بعدی نیست، اما از آنجا که دست ما تا حدودی متفاوت از دست سایر افراد است، این روش در شرایط خاص می‌تواند، یک روش احراز هویت قابل‌ اعتماد باشد.

اسکنر دست، شکل و هندسه، ضخامت کف دست، طول و عرض انگشتان و‌… را اندازه‌گیری می‌کند.

مزایای استفاده از این نوع سیستم کم‌هزینه بودن، سهولت استفاده و محبوبیت آن است. این مورد نیز دارای چند عیب عمده است. اندازه دست در طول زمان می‌تواند متفاوت باشد. مشکلات بهداشتی ممکن است حرکات را محدود کنند. مهم‌تر از همه، یکدست به‌اندازه کافی منحصر به‌ فرد نیست، بنابراین دقت سیستم کم است.

هندسه رگ‌ها

طرح رگ‌های ما کاملاً منحصر به‌ فرد است و حتی برای دوقلوها هندسه و شکل مشابهی ندارند. درواقع طرح کلی رگ‌ها از یکدست تا دست دیگر متفاوت است.

مزیت اضافه‌ای که رگ‌ها دارند این است که کپی کردن و سرقت از طریق آنها به طرز باورنکردنی دشوار است زیرا آنها تحت شرایطی کاملاً خاص قابل‌مشاهده هستند.

یک اسکنر هندسی رگه‌ای، می‌تواند رگ‌ها را با نور کم مادون‌قرمز روشن کند و درنتیجه رگ‌ها روی تصویر قابل‌مشاهده باشند.

مزایا و معایب احراز هویت بیومتریک

درنهایت، همه تکنیک‌های احراز هویت بیومتریک (Biometric) مربوط به امنیت است. اگر آن را به‌ عنوان یک قابلیت بدانیم رقیب اصلی آنها رمز عبورها (و یا در موارد خاص پین کدها)هستند و مقایسه بین این دو، نقاط ضعف آنها را نشان می‌دهد.

در واقع مدیران سازمان‌ها و کسب‌وکارها همواره در تلاش هستند که نقص‌های امنیتی ناشی از کلمه‌های عبور معمولی که منجر به ایجاد حفره‌هایی بین امنیت و کاربردی بودن شده‌اند را برطرف نمایند. کاربرانی که از روش‌های احراز هویت مرسوم نیز دلخور و ناراضی بودند خواستار استفاده از این فناوری امنیتی شدند. بر اساس مطالعات صورت گرفته، حدود دو سوم از افراد خواهان استفاده از روش‌های احراز هویت بیومتریک در پرداخت‌های آنلاین خود بوده‌اند.

مزایا:

سهولت استفاده

استفاده از اثر انگشت یا اسکن عنبیه چشم بسیار آسان‌تر از استفاده از یک رمز عبور است، به‌ویژه اگر رمز عبور طولانی باشد. برای گوشی هوشمند که بتواند یک اثر انگشت را شناسایی کند و به کاربر اجازه دسترسی به تلفن را بدهد، تنها یک ثانیه طول خواهد کشید. اسکنرهای اولتراسونیک به‌زودی رایج می‌شوند، زیرا تولیدکنندگان می‌توانند آن را به‌طور مستقیم در پشت صفحه‌نمایش قرار دهند، بدون اینکه هرگونه شرایط اضافه‌ای را بر روی یک گوشی قرار دهند.

از سوی دیگر، تشخیص صدا منوط به برقراری شرایطی است و صداهای پس‌زمینه می‌توانند به‌راحتی فرایند را متوقف کنند و آن را غیر عملی سازند.

بر اساس آمار و نتایج مؤسسات تحقیقاتی، بیومتریک صدا حدود 90 درصد از کلاهبرداری‌های صورت گرفته از طریق کانال‌های صوتی و گوشی موبایل را تشخیص می‌دهد.

حتی یک بانک برتر آمریکایی اعلام کرده است که پس از استفاده از فناوری بیومتریک، حدود 6 میلیون دلار از خسارت‌های ناشی از کلاهبرداری‌های سایبری سالانه‌اش کاهش یافته است. یکی از سازمان‌های آمریکایی دیگر نیز شاهد کاهش نرخ 59 درصدی ضررهای مالی ناشی از کلاهبرداری‌های صورت گرفته توسط هکرها در طی یک ماه بوده است. بنابراین با توجه به نتایج حاصل از به‌کارگیری احراز هویت بیومتریک، علت محبوبیت آن در بین کسب‌وکارها قابل توجیه است.

فناوری احراز هویت از طرق مختلفی از جمله صدا، اثر انگشت یا تصویر سلفی انجام می‌شود که هرکدام از آنها نیز با طرح یک پرسش از کاربر و تأیید آن توسط وی برای انجام عمل مشخصی فعال می‌شود. مثلاً در احراز هویت از طریق تکنولوژی بیومتریک صدا، تماس‌گیرنده پرسش‌هایی را به صورت پی در پی مطرح می‌کند و صدای کاربر را حین اینکه به سؤالات مطرح شده پاسخ می‌دهد، با پرینت صدای اصلی کاربر در یک تماس طبیعی تطبیق می‌دهد.

با استفاده از بیومتریک‌های صوتی علاوه بر اینکه بهره‌وری در مراکز تماس افزایش می‌یابد، تجربیات کاربران یک سازمان نیز بهبود چشمگیری پیدا می‌کند.

بیشتر بخوانید : بهره‌گیری از تکنولوژی اسکن اثر انگشت در خودرو‌های جدید هیوندای

به صورت میانگین مدت زمان بررسی و شناسایی امنیتی توسط عامل شرکت، 33 ثانیه است که این زمان برای صنعت حدود 1.87 میلیارد پوند در سال هزینه در بر دارد. فناوری بیومتریک زمان بیش فروش را به عاملان شرکت بازگردانده و یک شرکت ارتباطات از راه دور اروپایی را قادر ساخته که به افزایش 156 درصدی در ارزش فروش مرکز خدمات برسد. بنابراین اقدام پیش‌فروشی فروشنده، مشتری را به خرید محصول با قیمت بیشتر تشویق نموده و به مشتری خود نسخه گران‌تری از محصولات را ارایه می‌دهد.

مثال معروفی که در این زمینه وجود دارد و مصداق بارز این شرایط است مربوط به زمانی است که شما در رستورانی ابتدا همبرگر سفارش می‌دهید، اما صندوق‌دار پیشنهاد دوبل برگر می‌دهد و شما را وسوسه به تغییر انتخابتان و درنهایت پرداخت پول بیشتر و در پی آن سود بیشتر برای رستوران می‌کند.

علاوه بر این، برتری بیومتریک صدا بر سایر روش‌­های احراز هویت این است که حتی اگر هکر، پایگاه داده پرینت‌های صوتی را هک کرده باشد، این داده‌ها برای دسترسی به حساب‌های کاربران بی‌مصرف است و این پرینت‌های صوتی به‌خودی‌ خود اعتباری ندارند. حتی اگر هکر بتواند صدای ضبط‌ شده را سرقت کند، فناوری شناسایی بازپخش می‌تواند صدا را آزمایش کرده و تشخیص دهد که آیا این صدا زنده است یا تقلبی است.

یکی دیگر از مزیت‌های بیومتریک صدا در مقایسه با سایر روش‌های احراز هویت این است که اگر هکر حتی پایگاه داده پرینت‌های صوتی را هک کرده باشد، این داده‌ها برای دسترسی به حساب‌های کاربران چندان مفید نیستند و در واقع این پرینت‌های صوتی اعتبار چندانی ندارند. زیرا حتی در صورتی که هکر صدای ضبط شده فردی را سرقت کند، فناوری شناسایی بازپخش قادر به آزمایش صدا بوده و تشخیص می‌دهد که آیا این صدا تقلبی است یا خیر.

هکر باید در نزدیکی شما باشد

بزرگ‌ترین مزیت بیومتریک این است که یک هکر مخرب باید در نزدیک جسم شما باشد تا اطلاعات مورد نیاز برای ورود به سیستم را جمع‌آوری کند.

در صورتی‌ که قفل شما به نحوی بیومتریک باشد، دایره مظنونین احتمالی را محدود می‌کند و هکرهای مخرب که به‌ طور معمول از قاره دیگر هک می‌کنند دیگر نمی‌توانند کاری کنند.

معایب:

“اثر انگشت کلیدی” می‌تواند بسیاری از گوشی‌ها و اسکنرها را فریب دهد.

هنگامی‌ که برای اولین بار می‌خواهید اثر انگشت خود را ثبت کنید، دستگاه شما از چندین زاویه مختلف اثرانگشت شما را می‌خواهد. سپس این نمونه‌ها به‌عنوان داده‌های اصلی با تلاش‌های بعدی که برای باز کردن دستگاه مورداستفاده قرار می‌گیرند، مقایسه می‌شوند.

اگرچه، سنسورهای گوشی‌های هوشمند کوچک هستند، ولی اغلب به موارد جزئی از اثر انگشت دست می‌یابند.

محققان کشف کرده‌اند که مجموعه‌ای متشکل از 5 “‌اثر انگشت کلیدی “می‌تواند از این تطبیق‌های جزئی بهره‌برداری کند و حدود 65 درصد از دستگاه‌ها را باز کند.

این تعداد به‌احتمال‌ زیاد در شرایط فعلی، کمتر است اما نرخ حقیقی آن حتی اگر 10 الی 15 درصد باشد بازهم زیاد است و می‌تواند میلیون‌ها دستگاه را تحت تأثیر قرار دهد.

تغییر مشخصات بیومتریک به‌اندازه یک‌عمر طول می‌کشد، پس مراقب باشید.

اگر کسی رمز عبور شما را بدست آورد، همیشه می‌توانید گذرواژه خود را تغییر دهید، اما هیچ راهی برای تغییر عنبیه چشم، شبکیه یا اثر انگشت شما وجود ندارد. هنگامی‌که کسی نسخه‌ای از آنها را داشته باشد، به‌هیچ‌وجه نمی‌توانید امنیت بیشتری داشته باشید، به‌ غیر از تغییر رمز عبور یا استفاده از اثر انگشتی دیگر.

در یکی از بزرگ‌ترین هک‌های اداره مدیریت منابع انسانی ایالات‌متحده، هکرها 5.6 میلیون اثرانگشت به دست آوردند و از طریق آنها نفوذ کردند. کارکنان و افراد وابسته، بخشی از هویتشان برای همیشه به خطر افتاد.

شما نمی‌توانید شناسایی اثر انگشت‌،‌ عنبیه چشم یا صدا را از راه دور لغو کنید.

یک نکته مهم در امنیت بیومتریک این است که کاربر نمی‌تواند از راه دور آنها را تغییر دهد. اگر شما نتوانید به ایمیل خود دسترسی پیدا کنید، در این زمان شما می‌توانید یک بازیابی از راه دور داشته باشید تا دوباره آن را کنترل کنید. در طول فرایند، شما می‌توانید رمز عبور خود را تغییر دهید یا رمز عبور دو مرحله‌ای را اضافه کنید تا امنیت حسابتان را دو برابر کنید.

ولی عملکرد بیومتریک این‌گونه نیست. جسم شما باید در نزدیکی دستگاه باشد تا مجموعه داده اولیه و امن آن را تغییر دهید.

یک دزد می‌تواند گوشی هوشمند شما را سرقت کند، یک اثر انگشت جعلی ایجاد کند، و سپس‌ از آن برای باز کردن قفل گوشی به‌صورت خودکار استفاده کند. مگر اینکه شما به‌ سرعت از راه دور تلفن خود را قفل کرده باشید، هرچند یک دزد حرفه‌ای به‌سرعت بیت به بیت اطلاعات را بر روی دستگاه سرقت می‌کند.

آسیب‌پذیری در نرم‌افزار احراز هویت بیومتریک

چند سال پیش، محققان امنیتی نقاط ضعف دستگاه‌های اندروید را که به هکرها اجازه می‌داد تا اثر انگشت کاربر را استخراج کنند و از در پشتی (backdoor) نرم‌افزار برای ربودن پرداخت‌های با تلفن همراه یا حتی نصب نرم‌افزارهای مخرب استفاده کنند، کشف کردند.

علاوه بر این، آنها قادر به انجام این کار از راه دور بدون دسترسی فیزیکی به دستگاه بودند.

پس‌ از آن، کارهایی برای رفع آسیب‌پذیری‌های مربوط به نرم‌افزارهای احراز هویت انجام شد، اما همچنان شکارچیان حقیقی در حال شکار با موارد جدیدتر هستند.

بیشتر بخوانید :  بهره‌گیری از تکنولوژی اسکن اثر انگشت در خودرو‌های جدید هیوندای

روش‌های هک کردن

محققان امنیتی کلاه‌سفید (Whitehat) بارها و بارها نشان داده‌اند که چگونه اسکنر اثر انگشت یا عنبیه چشم را فریب می‌دهند. در اینجا فقط به برخی از روش‌هایی که استفاده می‌کنند، اشاره‌ شده است:

اصطلاح “‌کلاه‌سفید” در زبان عامیانه اینترنت به یک هکر کامپیوتری اخلاقی یا یک متخصص امنیتی کامپیوتر که متخصص در آزمایش نفوذ و سایر روش‌های تست برای حصول اطمینان از امنیت سیستم‌های اطلاعاتی سازمان است گفته می‌شود.

1.ایجاد اثرانگشت جعلی

برای باز کردن یک گوشی هوشمند با یک اثر انگشت ایمن، هکر باید در ابتدا یک چاپ با کیفیت بالا را که شامل الگوهای خاص و کافی برای باز کردن دستگاه است آماده کند.

بعد، مهاجم اثر انگشت را برداشته، آن را روی یک ورقه پلاستیکی قرار داده و سپس مدل اثر انگشت را قالب‌گیری کند.

هنگامی‌که هکری اثرانگشت جعلی شما را ایجاد می‌کند، تمام کاری که او باید انجام دهد این است که آن را در اسکنر قرار دهد، انگشت خود را برای انجام عملیات الکتریکی فشار دهد و سپس از تلفن باز شده استفاده کند.

فریب اسکنر عنبیه چشم

برای فریب برخی از اسکنرهای عنبیه چشم، تمام کاری که باید انجام شود این است: گرفتن عکس با یک دوربین ارزان در حالت شب، چاپ عنبیه چشم بر روی کاغذ، سپس یک لنز مرطوب برای ایجاد شباهت به چشم انسان بر روی آن قرار می‌دهند.

هک کردن سنسور بیومتریک و سرقت داده‌ها

یکی دیگر از روش‌های مؤثر در به دست آوردن داده‌های مربوط به اثر انگشت یک تلفن و باز کردن قفل آن این است که، هکرها مستقیماً قسمت ذخیره‌سازی اطلاعات تلفن را هک می‌کنند.

برای دستگاه‌های iOS، این کار به معنی شکستن امنیت Enclave است. ازلحاظ فنی، این امکان‌پذیر است، اما از محدوده هک‌های روزمره هکرهای سایبری فراتر است. تعداد زیادی برای این نوع از هک توسط سلبریت (Cellebrite) گزارش نشده است.

امنیت بیومتریک برای دستگاه‌های تلفن همراه مانند گوشی‌های هوشمند و لپ‌تاپ‌ها

اگر کسی تلفن هوشمند شما را سرقت کند، قفل اثر انگشت بی‌فایده است، چراکه به‌ راحتی نمونه چاپی را از دستگاه برمی‌دارد.

چگونه از شناساگر اثرانگشت تلفن هوشمند‌/‌لپ‌تاپ محافظت کنیم؟

بیشتر بخوانید : ۱۰ اقدام مهم برای امنیت لپ‌تاپ

در اینجا چند گام ساده برای به حداقل رساندن تعداد کپی‌ها از اثر انگشت موجود بر تلفن همراه شما ارائه شده است:

• گوشی خود را با محافظ اثر انگشت، حروف الفبا و محافظ صفحه‌ نمایش ایمن نگه‌دارید.
• از یک انگشت متفاوت از سایر انگشت‌های خود استفاده کنید.
• اگر فقط راحتی برای شما مهم نیست، از هر دو روش اثرانگشت و رمز عبور‌/‌پین کد استفاده کنید. به‌خصوص این روش برای گوشی‌های هوشمند و لپ‌تاپ‌های حساس مفید است.
• از یک برنامه ردیاب اثر انگشت، اگر لپ‌تاپ یا گوشی هوشمند شما از آن پشتیبانی می‌کند استفاده کنید. به‌طور خلاصه، شما 2-3 اثرانگشت را ثبت می‌کنید و قفل صفحه برای ایجاد امنیت بیشتر هر بار از شما تمامی اثر انگشت‌های ثبت‌شده را درخواست می‌کند.

به یاد داشته باشید احراز هویت بیومتریک در چند سال گذشته به‌شدت گسترش یافته است و روز به‌ روز مورد استقبال بیشتری قرار می‌گیرد.

آیا شما از هر نوع فناوری بیومتریکی استفاده می‌کنید؟ چه حسی در مورد آن دارید؟ فکر می‌کنید از چه میزان امنیتی برخوردار است؟

البته هیچ‌کدام از روش‌های احراز هویت از جمله بیومتریک صدا یا احراز هویت از طریق تصویری سلفی دارای ایمنی صد در صد نیستند. اما مزیت روش بیومتریک در مقایسه با سایر روش‌های احراز هویت این است که این راهکار بدون اینکه هیچ تعهد و مسئولیتی بر عهده مشتری بگذارد فرایند احراز هویت را پیچیده‌تر می‌کند. برای مثال، احراز هویت بیومتریک از طریق صدا، چندین ویژگی منحصر به فرد از جمله، خصوصیات فیزیکی مانند سایز و شکل کانال تنفسی و همچنین ویژگی‌های رفتاری شامل لهجه، تلفظ و حتی سرعت صحبت کردن را به کار می‌گیرد.

با توجه به اینکه فناوری بیومتریک میزان کلاهبرداری‌ها را در سازمان‌ها کاهش داده و همچنین آنها را قادر می‌سازد که زمانی را که صرف احراز هویت مشتریان خود می‌کنند را برای بیش‌فروشی و تبلیغ محصولاتشان بگذارند، بنابراین مدیران سازمان‌ها و همچنین سایر کاربران تمایل به استفاده از این روش دارند.

علاوه بر این سرمایه قابل توجهی از بسیاری از شرکت‌ها در صنایع مختلف پس از استفاده از تکنولوژی بیومتریک (Biometric) به سازمان بازگشته است. بنابراین مدیران و کارشناسان بخش‌های امنیتی در استفاده و ترویج این فناوری در کسب‌وکارشان مطمئن هستند و تنها مسأله‌ای که وجود دارد این است که چه زمانی برای اجرای این فناوری در سازمان مناسب‌تراست.