احراز هویت بیومتریک چیست ؟ آشنایی با روش‌های احراز هویت بیومتریک

احراز هویت بیومتریک چیست؟

عبارت «احراز هویت بیومتریک» به زبان ساده، به راهکاری اطلاق می‌شود که در آن صحت ادعای افراد در رابطه با هویت مطرح شده توسط آنان، بررسی می‌شود. در تمامی فرآیند‌های احراز هویت بیومتریک، راستی‌آزمایی صحتِ ادعا‌های مطرح شده، به واسطه بررسی ویژگی‌های بیولوژیکی یا رفتار‌های شخصیتی متمایز‌کننده و منحصر به فرد افراد صورت خواهد گرفت. اساس کارِ سیستم‌های احراز هویت بیومتریک، مقایسه و انطباق میان داده‌های ارائه شده با داده‌های پیش‌تر ذخیره شده است که در پایگاه‌های داده تجمیع و شناخته می‌شود. در سیستم‌های احراز هویت سنتی، عاملی تحت عنوان «رمز عبور» که به ترکیبی از اعداد و کاراکتر‌ها در کنار یکدیگر محدود می‌شود، مسئولیت اجرای فرآیند تائید هویت افراد را بر عهده دارد. در انواع مختلفی از سیستم‌های احراز هویت بیومتریک اطلاعات و داده‌ها تحت عنوان ویژگی‌ها و رفتار‌های فیزیکی وجسمانی در نظر گرفته خواهند شد.

امنیت در سیستم‌های احراز هویت

بنا براین گفته‌ها، آیا فریب و هک سیستم‌های احراز هویت بیومتریک ممکن است؟ پاسخ این پرسش مثبت است. بر خلاف ایده‌ غیر‌قابل نفود‌پذیری سیستم‌های احراز هویت بیومتریک به علت بهره‌مندی از ویژگی‌های بیومتریک و منحصر به فرد افراد؛ باید دانست که این سیستم‌ها به مانند تمامی سیستم‌های احراز هویت قابل فریب و هک شدن خواهند بود.

برای مثال امروزه در تأمین امنیت این قبیل سیستم‌ها با الگوریتم‌های هوش مصنوعیِ مدرنی مواجه هستیم که قادرند که به تولید اثر انگشت با هدف فریب اسکنر اثر انگشت بپردازند و این قابلیت، ضد‌هک بودن این سیستم‌ها را زیر سوال خواهد برد. علاوه بر این، لازم به ذکر است که این فناوری در فرآیند جمع‌آوری، پردازش، انطباق یا حتی ثبت و ذخیره‌سازی اطلاعات می‌تواند با ضعف‌هایی مواجه شود.

اما، آیا راه حلی برای رفع این چالش و کاهش میزان نفود‌پذیری سیستم‌های احراز هویت بیومتریک وجود دارد؟ برای پاسخ به این پرسش لازم است تا با مفهومی تحت عنوان «احراز هویت بیومتریک چند وجهی» آشنا شویم. در سیستم‌های احراز هویت بیومتریک چند‌وجهی، بیومتریک‌های گوناگون با یکدیگر ترکیب شده‌اند و عملکرد خود را به عنوان مجموعه‌ای واحد به نمایش می‌گذارد. در این روش شما قادرید تا با ترکیب بیومتریک‌های مورد نظر خود به طور مثال، ترکیب بیومتریک قرنیه چشم و اثر انگشت به عنوان عامل احراز و تائید کننده هویت افراد، از ورود آسان نفوذ‌گران به سیستم‌های خود و آغاز حملات Spoofing جلوگیری کنید.

به عنوان مثال در شرایط استفاده از بیومتریک تک وجهی ممکن است فرد نفوذ‌گر با یافتن یک عکس از اینترنت، امکان فریب سیستم را داشته باشد اما در شرایط استفاده از بیومتریک چند وجهی و ارائه درخواست جهت بارگذاری ویدئو و خوانش رمز عبور، امکان نفوذ هکر‌ها به سیستم‌ها به حداقل میزان خواهد رسید. ترکیب بیومتریک‌های فیزیکی با بیومتریک‌های رفتاری نیز می‌تواند به عنوان راه‌حلی درخشان شناخته شود چرا که نفوذ‌گر با امکان جعل بیومتریک فیزیکی نظیر اثر‌انگشت می‌تواند به آسانی وارد سیستم شود. در ترکیب بیومتریک فیزیکی با بیومتریک رفتاری به طور مثال طریقه استفاده از کلید‌های میان‌بر، میزان حرکت موس یا سرعت تایپ فرد، دسترسی نفوذ‌گران به سیستم بسیار محدود خواهد شد.

علاوه بر اینها، می‌توان تا با ذخیره اطلاعات بر روی یک دستگاه محلی، از احتمال ورود هکر‌ها به سیستم کاسته و از دستیابی آنان به طیف وسیعی از داده‌های بیومتریک جلوگیری کرد.

احراز هویت بیومتریک چگونه کار می‌کند؟

اساس کار سیستم‌های احراز هویت بیومتریک بر پایه مقایسه بین دو دسته «داده ورودی» و «داده ذخیره شده روی سیستم» است. اگر پس از مقایسه میان داده‌ها، هر دو داده تقریباً یکسان باشد، دستگاه می‌داند که فرد «بازدیدکننده» همان «کاربر سیستم» است و به شخص دسترسی می‌دهد. نکته قابل توجه در این بخش، عبارت «تقریباً یکسان» است که در جمله پیش مطرح شد. در توصیف این عبارت لازم به ذکر است که تطابق ۱۰۰ درصدیِ ۲ داده بیومتریک تقریباً غیرممکن است. به عنوان مثال، ممکن است انگشت کاربر کمی عرق کرده باشد یا در اثر یک حادثه یک زخم خیلی کوچک بر روی آن قرار گرفته باشد؛ در این صورت ممکن است که الگوی اثر‌انگشت ذخیره شده با اثر‌انگشت فعلی کاربر کمی تفاوت داشته باشد.

همچنین در طراحی سیستم‌هایی که قادر به تشخیص دو شاخصه بیومتریک با اندکی تغییر هستند، احتمال وقوع منفی کاذب (مواردی که دستگاه به علت بروز تغییرات اندک، اثر انگشت شما را تشخیص نمی‌دهد) به شدت کاهش خواهد یافت. اما باید توجه داشت که بنا بر این رویکرد ممکن است تا داده‌های تقلبی به عنوان شاخصه‌های بیومتریک اصلی شناخته شوند و ممکن است این مسئله در امنیت سیستم تداخل ایجاد کند.

شاخص بیومتریک چیست؟

شاخص بیومتریک به داده‌هایی گفته می‌شود که سیستم احراز هویت بیومتریک بر اساس آن عملکرد خود را ارائه می‌دهد. در سیستم‌های احراز هویت بیومتریک (به مانند تمامی سیستم‌های احراز هویت) نیاز است که داده‌‌های اولیه برای مقایسه با داده وارد شده در دفعات بعدی ذخیره شود. در سیستم‌های احراز هویت بر پایه شاخص بیومتریک نیاز است تا داده‌های بیومتریک هر فرد (کاربران) در سیستمی ذخیره سازی شود. این شاخص‌های بیومتریک می‌توانند اثر‌انگشت، عمق شبکیه چشم، رگ‌های بدن، DNA، ساختار صورت یا رفتار کاربر با سیستم در نظر گرفته شوند که بهره‌گیری از هر شاخص با توجه به نیاز‌ها و سیاست کاری هر مجموعه در نظر گرفته می‌شود. به طور مثال شاخص بیومتریک رفتار کاربر با سیستم یا DNA فرد، قابلیت جعل بسیار پایینی دارد و می‌تواند عملکرد مناسبی از خود در سیستم‌های نیازمند به امنیت بالا، نشان دهند.

روش‌های احراز هویت بیومتریک

به طور کلی، در سیستم‌های تشخیص چهره، ویژگی‌های طلایی و کلیدی چهره افراد با استفاده از تصاویری که مورد تحلیل قرار گرفته شده است، استخراج می‌شود. در گام بعدی،  ویژگی‌های بدست آمده به داده‌های عددی قابل پردازش و قابل مقایسه تبدیل شده و در پایگاه داده که پیش‌تر ثبت شده‌اند ذخیره می‌شود. براساس این داده‌ها احراز هویت افراد با خطایی پایین  انجام خواهد شد. برخی دیگر از انواع بیومتریک می‌توان به موارد زیر اشاره نمود:

۱. اسکن اثر انگشت

اسکن اثر‌انگشت از طریق سه روش نوری، خازنی و اولتراسوند (Ultrasound) قابل پیاده‌سازی است.

• اسکنر نوری از انگشت عکس گرفته و الگوی اثر‌انگشت را شناسایی می‌کند و آن را در یک کد شناسایی ذخیره می‌کند.
• اسکنر خازنی با اندازه‌گیری سیگنال‌های الکتریکی ارسال شده از انگشت به اسکنر عملکرد خود را ارائه می‌دهد. برجستگی‌های اثر‌انگشت مستقیماً اسکنر را لمس کرده و با ارسال جریان الکتریکی، بین فواصل اثر‌انگشت شکاف‌های هوا ایجاد می‌کند. یک اسکنر خازنی اساساً این نقاط تماس و شکاف های هوا را ترسیم کرده است و در نتیجه یک الگوی کاملاً منحصر به فرد ایجاد می‌کند.
• اسکنر اولتراسوند با ارائه سونوگرافی‌هایی که به اسکنر بازتاب می‌یابند به مانند روش اسکن خازنی، نقشه‌ای منحصر به فرد از انگشت فرد را تشکیل می‌دهد.

۲. اسکن شبکیه چشم

محققان امنیتی، چشم را به عنوان  یکی از قابل اعتمادترین اعضا بدن برای احراز هویت بیومتریک می‌دانند؛ چرا که شبکیه و عنبیه چشم هر انسان تقریباً در طول زندگی وی بدون تغییر باقی خواهد ماند. به واسطه اسکن شبکیه چشم و با استفاده از نور مادون قرمز، رگ های خونی در هم پیچیده شده و فرآیند احراز هویت با انطباق داده‌های ورودی و با داده‌های ذخیره شده، صورت می‌گیرد. درست مانند اثر انگشت،الگوی شبکیه هیچ انسانی با انسانی دیگر یکسانی ندارد.

۳. اسکن وریدی (رگ‌ها)

طرح رگ‌های بدن هر فرد، طرحی کاملاً منحصر به فرد است به طوری که حتی دوقلوهای یکسان نیز هندسه رگ متفاوتی نسبت به یکدیگر دارند. در واقع، طرح کلی رگ‌ها بین دو دست یک فرد نیز یکسان نخواهد بود. به واسطه ویژگی منحصر به فرد ساختار رگ‌ها، کپی و سرقت این نوع از داده‌ها بسیار دشوار است. در این روش، یک اسکنر با تاباندن نور به رگ‌ها با نوری نزدیک به اشعه مادون قرمز،رگ‌های فرد را به طوری روشن خواهد کرد که در تصویر قابل مشاهده باشند.

۴. تطبیق DNA

از آنجایی که DNA هر فرد کاملاً منحصر به فرد است این روش به عنوان مطمئن‌ترین شیوه احراز هویت شناخته می‌شود. البته نکته حائز اهمیت در این روش این است که منحصر به فرد بودن DNA افراد در رابطه با دوقلوهای همسان صدق نمی‌کند.

۵. بیومتریک رفتاری

بیومتریک رفتاری به روشی اطلاق می‌شود که در آن، فرآیند احراز هویت کاربران بر مبنای تجزیه و تحلیل رفتار فیزیکی و شناختی آنها صورت می‌گیرد. فعالیت این نوع از احراز هویت بیومتریک بر مبنا الگوریتم‌های یادگیری ماشینی (Machine Learning) و در راستای تعیین الگوهای رفتاری و فعالیت‌های صورت گرفته شده توسط کاربر، عملکرد خود را ارائه می‌دهد. نمونه‌هایی احراز هویت بیومتریک رفتاری عبارتند از:

• میزان استفاده از صفحه لمسی (Touch Screen Use)
• دینامیک تایپ نظیر سرعت تایپ یا میزان و نحوه استفاده از کلید‌های میانبر(Typing dynamics)
• فعالیت موس (Mouse activity)

مزایا و معایب احراز هویت بیومتریک

در این بخش به برخی از مزایا و معایب سیستم‌های احراز هویت با استفاده از داده‌های بیومتریک خواهیم پرداخت.

 مزایای سیستم‌های احراز هویت بیومتریک

• کاهش میزان نفوذ‌پذیری هکر‌ها به واسطه افزایش میزان سختی در یافتن رمز‌های عبور توسط نفوذ‌گران خصوصاً‌ در سیستم‌های احراز هویت چند وجهی
• عدم ذخیره‌سازی خودکار داده‌های بیومتریک افراد در تاریخچه مرورگر‌ها یا یادداشت‌های فردی که سرقت آنها موجب خسارات فراوانی می‌شود
• ورود آسان و کابری راحت برای کاربران مجاز و ثبت شده در سیستم
• عدم نیاز به تعویض مداوم و به خاطر‌سپاری رمز‌های پیچیده سازمانی برای کاربران سیستم
•  سطح بالای امنیت و اطمینان در سیستم‌های zero-trust واقعی که در آن اساساً تمامی عناصر، غیر‌قابل اعتماد اطلاق می‌شود
• عدم فراموشی توسط کاربران و جلوگیری از جعل رمز آنان در سیستم‌های احراز هویت صدا و اثر‌انگشت
• عدم نیاز به انجام عملی خاصی درسیستم‌های احراز هویت تصویر

معایب سیستم‌های احراز هویت بیومتریک

• قابلیت بروز خطا بر‌خلاف باور عمومی
• قابلیت بروز حملات ارائه‌ای (Presentation) به واسطه استفاده از تکنیک‌های متنوع به مانند «جعل اثر‌انگشت سیلیکونی، ساخت ماسک‌های سه بعدی از صورت یا دانلود و چاپ عکس فرد مورد تهاجم واقع شده است»
• قابلیت سوء استفاده از ضعف اسکنر‌های اثر‌انگشت، چاپ اثر‌اصلی انگشت (الگویی از اثر‌انگشت که در اکثر افراد یکسان است) و فریب اسکنر‌های اثر‌انگشت
• عدم شناسایی کاربر مجاز در سیستم‌های مبتنی بر تشخیص چهره در صورت تغییر در ظاهر فیزیکی او نظیر «استفاده از اقلام آرایشی، استفاده از عینک جدید، تغییر چهره به واسطه خواب یا ابتلاء به بیماری»
• افزایش هزینه‌های مازاد ۶۷درصدی برای پیاده‌سازی و ۴۷ درصدی برای بهبود و ارتقاء سیستم‌های احراز هویت بیومتریک
• عدم شناسایی صدای کاربر مجاز در صورت ابتلاء به بیماری
• دقت پایین در تشخیص کاربران رنگین پوست یا ترا‌جنسیتی
• بروز اشکال در تشخیص بانوان و رنگین پوستان (به واسطه ارائه آموزش‌های تک جنسیتی و سفید‌پوست در اغلب دستگاه‌ها)
• عدم رعایت حریم خصوصی افراد به واسطه ارائه و فروش اطلاعات به مجریان قانون، نهادهای مختلف یا مسئولین مهاجرت
• کمبود قوانین وضع شده در رابطه با رعایت حریم خصوصی کاربران
• التزام به بهره‌گیری از سیستم‌های ذخیره‌سازی با امنیت بالا
• عدم وجود قابلیت باز‌نشانی داده‌های بیومتریک بر‌خلاف رمز‌های عبور رایج ( Password)

با این وجود، تحقیقات نشان می‌دهند که مزایای استفاده از سیستم‌های احراز هویت بیومتریک بسیار بیشتر از معایب آن است، به طوری‌ که انتظار می‌رود تا شرکت‌ها و کسب و کار‌های تجاری همچنان از سیستم‌های بیومتریک در راستای احراز هویت کارمندان خود بهره بگیرند.