Zapomeňte na přístupová hesla, brzy budou zbytečná

Ať si to už někteří z vás někdy uvědomili, nebo ne, hesla běžně používaná pro přístup do systému (např. podn...


Ať si to už někteří z vás někdy uvědomili, nebo ne, hesla běžně používaná pro
přístup do systému (např. podnikové LAN) se už nejednou ukázala jako nepříliš
účinná ochrana proti úniku důležitých dat a informací. Existují samozřejmě
alternativní způsoby, jako např. různé identifikační karty. Ty ovšem přinášejí
také své problémy a stále více odborníků se přiklání k názoru, že spolehlivým
řešením by se mohly stát technologie založené na biometrii. Ty využívají k
autentifikaci uživatelů jejich jedinečné tělesné znaky.
Zatímco systémoví administrátoři s většími či menšími úspěchy a efektivitou
používají technologie, jako jsou firewally, různé šifry či ochrana proti virům,
oblast autentifikace oprávněných uživatelů jako by stagnovala.
Pro skutečně seriózní zabezpečení dat jsou běžná hesla neadekvátní z několika
důvodů. Hlavním je (někteří možná zakroutí nevěřícně hlavou) už jejich samotná
volba. Na vině bývá kupodivu, i když často nevědomá, ledabylost či pohodlnost
uživatele. V nezodpovědné snaze o jednodušší zapamatování např. zvolí některý
ze svých osobních údajů, jako rodné číslo, datum narození, číselné kombinace
typu 123456 apod. Takové zaheslování může být pro průměrně zkušeného hackera
velmi snadno proniknutelné.
S pohodlností souvisí i přirozené tendence zapisovat si hesla na kousky papíru
pro někoho je to do nebe volající nezodpovědnost, ale jsou i tací, kdo si
kombinaci napíší na kalendář postavený vedle počítače. A následky mohou být
mnohem dražší, než když vám nějaký dobrák vybere jednu výplatu z účtu (ale ani
to dvakrát nepotěší), jestliže PIN nosíte spolu s kreditní kartou v náprsní
tašce.
Tyto komplikace jsou známé už řadu let a s jejich rostoucí vážností se objevila
jiná řešení. Jsou jimi např. různé elektronické klíče či spíše identifikační
karty. Používají se však víceméně jen ve větších společnostech a organizacích,
těm menším se na takové systémy nedostává finančních prostředků. Ještě
výhodnější může být použití víceúčelových smart karet.
Společným problémem uvedených způsobů ochrany bezpečnosti je pak zdánlivě
naprostá banalita, a sice možnost zapomenutí hesla nebo identifikační karty
nebo její ztráta. Tyto maličkosti však ve skutečnosti mohou značně zvyšovat
nároky (i náklady) na správu zabezpečovacího systému či správce podnikové sítě.
Biometrie je v tomto směru velmi dobrým pomocníkem. Pro autentifikaci
oprávněného uživatele využívá jeho tělesných charakteristik, které jsou
jedinečné a nezaměnitelné (nenecháte-li se vystrašit filmem Demolition Man nebo
podobným brakem). Možnost ztráty či zapomenutí a s nimi spojené komplikace jsou
eliminovány na minimum, ale samozřejmě nic není zadarmo. Potřebný hardware a
software také není zadarmo.
Právě nepřijatelnými cenami bylo způsobeno, že se rozsah použití biometrie po
dlouhou dobu nerozšířil do komerčních aplikací. Jinak se ale jedná o obor známý
už asi 30 let. Uvedeme-li jako příklad snímání otisků prstů na policejní
stanici, není snad třeba nic vysvětlovat. S technickým pokrokem však přichází
automaticky i pokles cen, který už dnes umožňuje alespoň těm "bohatším"
podnikům experimentovat.
Základní principy
V první řadě je třeba říci, že všechny technologie využívající biometrie, ač se
mohou zdát technicky naprosto odlišné, jsou založeny prakticky na tomtéž
principu. Určitý charakteristický znak (např. otisk prstu) každého jedince
(uživatele), který bude mít přístup do chráněného systému, je nejprve sejmut,
zaznamenán a příslušná data jsou uložena do databáze uživatelů.
Při každém vstupu do systému je pak prováděna autentifikace. To neznamená nic
jiného než to, že je pořízen nový "snímek" (nebo chcete-li, záznam), který je
vzápětí porovnán se záznamem původním. V případě, že údaje souhlasí (data jsou
totožná), přístup je povolen.
Samozřejmostí je, že příslušný softwarový algoritmus pro autentifikaci musí být
navržet tak, aby byl schopen vyhodnotit určité odchylky vznikající ne zcela
přesným opakovaným sejmutím daného tělesného znaku. To znamená, že přiložíte-li
např. prst ke skeneru, nepodaří se vám to nikdy úplně přesně jako při prvním
sejmutí nemělo by se ale stát, že vám v takovém případě bude zabráněno v
přístupu do systému. Podobně by měl být spolehlivě vyřešen problém růstu dítěte.
K autentifikaci se používá celá řada metod od snímání geometrie obličeje až po
rozpoznávání/verifikaci podpisu. Existují dokonce technologie ověřující tělesné
pachy. Ne všechny si mezi uživateli získaly stejnou oblibu, takže s některými
se setkáte poměrně zřídka. K oblíbenějším patří např. snímání otisků prstů nebo
rozpoznávání hlasu. Vyjmenujme si tedy základní kategorie.
Otisky prstů
Snímání otisků prstů je prakticky nejoblíbenější způsob ověření přístupových
práv uživatele. Existují v podstatě dva základní principy: systém pro
automatickou identifikaci otisku prstu (AFIS, Automatic, Fingerprint
Vrification System) a systém pro verifikaci otisku prstu.
Většina těchto technologií spočívá v použití optického skeneru (snímače).
Existují však i další možnosti systémy využívající ultrazvuk či speciální čip.
Cena skeneru samozřejmě není zanedbatelná, proto je výhodnější, je-li zabudován
např. přímo v klávesnici.
Na trhu se již objevily také myši, které mají takový snímač vestavěn. U
notebooků už se tento skener stává poměrně běžným vybavením. Integrace do částí
hardwaru navíc eliminuje nutnost připojení přes port PC, který zůstane volný
pro jiné periferie.
Geometrie obličeje
Technologie rozpoznávání geometrie obličeje funguje na velmi podobném principu:
Obraz obličeje je zachycen digitálním fotoaparátem a poté se vyhodnotí jeho
geometrické vlastnosti (především pozice a velikost jeho základních částí).
Kvalitní systém by neměly "zmást" brýle, klobouk nebo neoholený obličej.
Jedná se o uživatelsky příjemnou a také přijatelnou metodu. Taktéž nákladnost
hardwaru nemusí být tvrdým oříškem, zvláště vezmeme-li v úvahu, že digitální
kamery a fotoaparáty se začínají rychle rozšiřovat jako prostředek pro
videoconferencing. Ještě podotkněme, že tato metoda je 100% hygienická.
Geometrie ruky
Ta je stejně jako výše uvedené tělesné znaky jedinečná a neopakovatelná.
Princip se podobá snímání otisku prstu po přiložení ruky k podložce je pořízen
její 3D snímek, jehož matematická reprezentace je porovnána se záznamem v
databázi. Doba vyhodnocení se pohybuje kolem 1 sekundy. Použitelnost této
technologie pro autentifikaci uživatele počítače ale není velká, a to z
hlediska hardwarové náročnosti. Snímací zařízení je totiž pochopitelně větších
rozměrů, než je nutné.
Duhovka
Skenování duhovky má velkou výhodu vůči otisku prstu: Kromě jedinečnosti
zůstává u každého člověka po celý jeho život (téměř) stejná, zatímco otisk
prstu lze nějakým způsobem (zraněním) poškodit. Nicméně samotné sejmutí obrazu
duhovky je, jak si jistě dokážete představit, mnohem méně "uživatelsky"
příjemné. Tento problém se však možná výrobcům podaří vyřešit v nových
systémech.
Sítnice
Zde můžeme v krátkosti konstatovat, že pořízení obrazu sítnice je ještě méně
příjemné než u duhovky, neboť oko při něm musí být v těsné blízkosti skeneru.
Obraťme proto raději pozornost k lidštějším způsobům autentifikace.
Hlasová verifikace
Při ní se vyhodnocuje výška, barva, kadence a další charakteristiky hlasu.
Problémy ovšem mohou nastat vlivem okolních ruchů a šumů. Chcete-li se dostat k
obsahu svého notebooku na letišti, pak vás zdánlivě ideální technologie může
snadno zklamat. Ani z hlediska diskrétnosti není ideální, vaši přihlašovací
frázi uslyší kde kdo (i když na samotnou bezpečnost by to nemělo mít žádný
vliv).
Z uživatelského hlediska je to způsob velmi jednoduchý a také hardwarové řešení
nemusí být problematické. Notebooky už dnes bývají mikrofonem vybaveny docela
často. Co se týká podnikových systémů, zde může být situace jednoduchá
především v případě, že firma využívá např. telefonování přes IP nebo hlasový
e-mail.
Verifikace podpisu
Ta je využívána spíše ve větších podnicích, nemocnicích, při některých druzích
obchodu a prodeje nebo při poskytování půjček a úvěrů.
Mimochodem, už se vám někdy v bance stalo, že jste byli nuceni se zamyslet, jak
vlastně vypadá váš podpisový vzor? Nemusí to být příjemná vzpomínka. Více než
na rozpoznávání samotného podpisu ovšem bývají tyto technologie založeny na
kontrole dynamiky, tlaku a podobných vlastností.
Je biometrie spolehlivá?
Podle názoru odborníků je účinnost takovéto ochrany velmi vysoká, nicméně má i
své odpůrce. Ve světovém měřítku však už dnes existuje dostatek aplikací těchto
technologií na to, aby bylo možno spolehnout se na praktické zkušenosti.
Vidina možných problémů se stává příčinou vrásek na čelech koncových uživatelů.
Ti se obávají toho, že systém selže a umožní přístup neautorizovanému
uživateli, zatímco oprávněnému uživateli jej odmítne. Taková situace samozřejmě
nastat může, ale pravděpodobnost je v podstatě mizivá. Údajně není (podle
dosavadních zkušeností) větší než např. při použití identifikační karty.
Důležitá je před konečným rozhodnutím o konkrétní aplikaci konzultace s
expertem. Opomenout byste neměli ani testy a zkušenosti "zbytku světa".
Už nyní však lze konstatovat, že jako nejspolehlivější a nejstabilnější se
dosud ukázaly přístroje pro identifikaci otisků prstů a geometrie rukou. Zde
jsou šance, že dojde k selhání, skutečně minimální.
Máte-li bujnou fantazii, jistě se vám už hlavou honí představy jako vystřižené
z hororů a akčních filmů a s nimi spojené pochybnosti. Ale zbytečně:
Technologie jsou dnes už schopny rozpoznat, zda je skenovaný orgán "živý" nebo
"mrtvý". Jinými slovy, jestliže vám někdo např. uřízne prst (v horším případě
třeba hlavu), nemusíte se ničeho bát, vaše data zůstanou v bezpečí!
Optimismus nebo skepse?
Bezpochyby je zřejmé, že biometrie skýtá v oblasti bezpečnosti pro IT velmi
zajímavé možnosti, nicméně závěr, který můžeme v této chvíli učinit, je poměrně
skeptický. Co se týká legislativy, ta by pro většinu aplikací překážkou být
nemusela, neboť ne všechny aplikace ji bezpodmínečně vyžadují. Pokud se však
jakákoliv organizace rozhodne některé z uvedených technologií využít, narazí
zpravidla na jiný vážný problém. Tím jsou pochopitelně už zmiňované náklady,
které s sebou takový krok přinese.
Pokud se totiž podnik rozhodne zavést takové bezpečnostní opatření, znamená to
především nutnost vybavit prakticky každý počítač (pracovní stanici)
samostatným hardwarovým příslušenstvím, a to levné určitě nebude. Např. při
koupi jednoho nového notebooku není problém si "připlatit" za takový, který má
už snímač otisků či mikrofon s příslušným softwarem zabudován.
Budete-li však chtít dovybavit všechna stávající pracoviště samostatným
snímačem dodatečně, pak samozřejmě musíte počítat s náklady navíc. Reálné širší
uplatnění je proto spíše hudbou budoucnosti. Dá se očekávat, že se ujmou spíše
snímače integrované standardně do částí běžného hardwaru (např. uvedené myši či
klávesnice). To by mohlo být při hromadném upgradu podnikového hardwaru méně
nákladné a smysluplnější, nežli vybavovat každý počítač samostatným snímačem.
Faktem ale je, že ceny těchto zařízení s rozvojem nových technologií klesají
poměrně značně. Navíc, chystáte-li se zabezpečit firmu systémem identifikačních
karet, bude se zřejmě jednat také o dosti nákladnou záležitost. Pak už jsou
úvahy o výhodách jednotlivých řešení více než oprávněné.
Nicméně zdali je vhodné technologie opírající se o biometrii použít, bude vždy
záviset na konkrétní aplikaci a na mnoha podmínkách. Ne vždy musí být také k
dobru věci, aby byl bezpečnostní systém plně automatizován. Stejně tak až na
základě konkrétního projektu je možné rozhodnout, která metoda biometrické
autentifikace je v dané situaci optimální.
Jestliže jste se pro používání biometrické technologie rozhodli, budete muset
vzít v úvahu a překonat několik kroků možných problémů. Předně je vhodné udělat
v podniku určitý průzkum, pomocí něhož zaměstnance současně seznámíte s celou
problematikou. Takový druh komunikace přispěje ke kladnému přijetí
připravovaných změn ze strany zaměstnanců.
Po rozhodnutí pro určitý druh technologie je třeba zvolit vhodný systém správy
databáze. Jednotky systému by měly být škálovatelné, je nutné počítat s
potřebou jeho rozšíření. Samozřejmé je, že by měl být dostatečně robustní.
Psychologie uživatele
Další problém, s nímž se můžete setkat, si nemusíte uvědomit ihned, ale přesto
je poměrně významný. Tentokrát se však jedná o problém psychického rázu,
nikoliv spojený technickými nebo finančními obtížemi.
Ač se to nemusí zdát na první pohled patrné, využití těchto technologií se může
setkat se značnou nevolí uživatelů, kterou způsobují přirozené psychické bloky.
To proto, že typicky např. snímání otisků prstů je veřejností vnímáno jako
procedura, kterou provádějí policisté při "jednání" se zločinci a kriminálníky.
Ač se nad tím můžete pousmát, takové námitky se skutečně vyskytují.
O něco reálnější se pak může zdát obava ze zneužití takovýchto údajů o vaší
osobě. Nicméně uvědomíte-li si, kolik informací má váš zaměstnavatel nebo banka
o vaší osobě k dispozici, pak se taková obava jeví jako bezpředmětná. Údaje o
vaší osobě jsou navíc obvykle zašifrovány.
V USA (což se dá ostatně očekávat) i přesto vzniká menší hysterie. Pravdou je,
že neexistuje obecně žádné, ve všech státech účinné, legislativní opatření,
zamezující společnostem prodej otisků prstů svých zaměstnancům třetí straně. V
Evropě je situace o něco lepší. Každá země, která je, nebo se hodlá stát členem
EU, je nucena mj. i zákony pro ochranu tohoto druhu dat přijmout.
Předchozí odstavce se nicméně jeví jako naprosto bezpředmětné, uvědomíte-li si,
co by prodej takových dat pro podnik, resp. jeho bezpečnost, znamenal. Žádná
firma samozřejmě o něco podobného mít zájem nebude, protože tím by veškeré její
snahy o zabezpečení přišly vniveč. Větší problémy však mohou vznikat při mylném
odmítnutí přístupu registrovaným zákazníkům. To pak může být posuzováno jako
známý "denial of service", proto některé firmy považují jistější se ve styku se
zákazníky a partnery biometrii vyhnout. Pravdou je, že na druhou stranu lze
takto snadno zjistit některé údaje o zákaznících (zdraví, barva pleti...).
V této chvíli je předčasné dělat jakékoliv závěry, zda biometrie je, či není
ideálním a definitivním řešením bezpečnosti dat a do jaké míry se uplatní. K
její budoucnosti však můžeme vzhlížet dosti optimisticky.
0 1189 / wepn

Využití v praxi
Vyjmenujme si ve stručnosti, ve kterých oblastech nachází biometrie své
uplatnění. Nejedná se přirozeně jen o IT, ochrana je důležitá i v mnoha dalších
oborech. Jde pochopitelně o zajištění bezpečnosti on--line transakcí,
finančních informací a různých druhů "citlivých" dat (osobní údaje zaměstnanců,
zákazníků). K takovýmto informacím by se neměli hackeři vůbec dostat (vhodný je
také audit přístupů k informacím).
přístup k Internetu, intranetu, extranetu
podnikové sítě a podniková data
elektronické bankovnictví, on-line obchodování s cennými papíry
elektronická komerce (obecně)
lékařské záznamy

Co najdete na Webu?
Toužíte-li po dalších vědomostech týkajících se biometrie, můžeme doporučit
kupříkladu následující webové stránky:
biometrics.cse.msu.edu
www.biometric.freeserve.co.uk
www.biometrics.org
www.biometricgroup.com/a_bio1/
/technology/research_a_technology.htm
Najdete zde základní popis jednotlivých technologií i složitější materiály
(včetně matematických formulací) atd. Stejně tak jsou zde odkazy na množství
výrobců, na jejichž Webech se seznámíte s konkrétními řešeními. Bude-li se vám
toto zdát málo, zkuste některý ze známých portálů (Yahoo, Altavista...).

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.