Kevin Mitnick, jeden z najsłynniejszych hakerów w dziejach, twierdzi, że najsłabszym elementem systemu zabezpieczeń jest użytkownik. Przestępcy nie muszą się dziś nawet włamywać do systemów komputerowych, by poznać nasze hasła. Według firmy Splash Data najpopularniejsza ostatnio kombinacja to „123456”, na drugim miejscu jest „password”, na trzecim – „12345678”.

Jeśli serwisy internetowe zmuszają nas do wymyślenia bardziej skomplikowanego hasła, nierzadko je zapominamy i potem mamy problem z zalogowaniem się np. do banku. To się jednak wkrótce zmieni. Zdaniem ekspertów w ciągu najbliższych lat wpisywanie haseł ustąpi miejsca technologiom biometrycznym, wykorzystującym nasze indywidualne cechy biologiczne. „Wiele nowych modeli smartfonów posiada czytniki linii papilarnych. Technologia ta staje się coraz tańsza i bardziej dostępna, a konsumenci mają szansę oswoić się z takimi rozwiązaniami” – mówi Wil Rockall z działu bezpieczeństwa firmy Cisco.

Linie papilarne z ciastoliny

Policja od wielu dziesięcioleci wykorzystuje daktyloskopię w codziennej pracy. W Polsce wszystkie wydane po 2006 r. paszporty posiadają chip z zakodowanym odciskiem palca oraz danymi dotyczącymi budowy twarzy właściciela. Jednak biometria jako część systemów zabezpieczeń kojarzyła się do niedawna głównie z sekretnymi laboratoriami i bazami wojskowymi rodem z filmów science fiction. Zmieniły to dopiero smartfony, choć stosowana w nich technologia nie jest niezawodna. Do poprawnego działania systemu konieczny jest kontakt czystego palca z czytnikiem. A jeśli użytkownik np. pracuje fizycznie i ma starte lub uszkodzone linie papilarne, może mieć duże problemy z zalogowaniem się w ten sposób.

Co gorsza, odciski palców można dość łatwo podrobić. Jan Krissler podczas konferencji niemieckiego Chaos Computer Club w 2014 r. udowodnił, że wystarczy do tego fotografia. Wykorzystał dobrej jakości zdjęcie minister obrony Ursuli von der Leyen i odtworzył układ jej linii papilarnych. A są i prostsze sposoby, niewymagające stosowania zaawansowanych technologii. Specjaliści z firmy Vkansee oszukali czytnik w iPhonie za pomocą kawałka ciastoliny z liniami papilarnymi odciśniętymi na jego powierzchni.

Głos, gest, sposób chodzenia Nic dziwnego, że firmy szukają innych technik biometrycznych, które można by zastosować na szeroką skalę. Polska firma VoicePIN we współpracy z Akademią Górniczo-Hutniczą stworzyła system rozpoznawania unikatowych cech głosu użytkownika. Wystarczy powiedzieć do mikrofonu jakąś frazę czy słowo.

„Na tzw. voiceprint składa się znacznie więcej informacji, niż ludzkie ucho jest w stanie wychwycić, a więc nie tylko tembr, barwa czy ton. System został zaprojektowany tak, by wykrywać wszelkie próby odtworzenia nagrań głosu lub naśladowania go przez inną osobę” – mówi dr inż. Jakub Gałka z AGH i VoicePIN. Z tego rozwiązania skorzystały już m.in. Ministerstwo Finansów, bank ING i firma energetyczna Tauron.

Zarówno odcisk palca, jak i charakterystyczne cechy głosu to tzw. statyczne cechy biometryczne. Jednak rozwój sztucznej inteligencji oraz miniaturyzacja urządzeń pozwalają mierzyć również cechy dynamiczne. „W tym przypadku analizujemy gesty, sposób chodzenia, a nawet to, jak użytkownik porusza się po witrynie internetowej. Wzorce te są równie indywidualne jak odcisk palca i – co ważne – dużo trudniej je podrobić” – mówi Marcin Spychała, ekspert ds. cyberbezpieczeństwa w IBM Polska. Organizacja MasterCard we współpracy z jednym z kanadyjskich banków stworzyła pilotażowy system potwierdzania płatności na podstawie unikatowego wzorca bicia serca użytkownika. Z kolei Google pracuje nad rozwiązaniem biometrycznym opartym na analizie sposobu mówienia i poruszania się.

Wygoda ma jednak swoją cenę. „Każdy, kto udostępnia swoje dane biometryczne, oddaje innym informacje o swoim ciele. Są to informacje indywidualne i ostateczne. Nie możemy ich zresetować, tak jak dzieje się to w przypadku stosowania tradycyjnych haseł” – wskazuje Anna Walkowiak, prawniczka z Fundacji Panoptykon.

Pieniądze na palec

Czytniki linii papilarnych pojawiały się kilkanaście lat temu np. w laptopach, ale były jednak trudne w obsłudze i zawodne. Popularności nie zyskały także biometryczne bankomaty. Pierwsza taka maszyna firmy Wincor Nixdorf w Polsce pojawiła się sześć lat temu w warszawskim oddziale Banku Polskiej Spółdzielczości SA. Wystarczyło przyłożyć palec, by bankomat rozpoznał niepowtarzalny układ naczyń krwionośnych w tej części ciała użytkownika. Jednak do dziś wypłacamy pieniądze, wstukując PIN na klawiaturze. Sytuacja zaczęła się zmieniać dzięki smartfonom. Jako pierwsza czytnik linii papilarnych zastosowała Motorola, wypuszczając w 2011 r. na rynek model Atrix. Dwa lata później Apple zaprezentowało podobne rozwiązanie w iPhone 5s. Samsung pokazał smartfona wyposażonego w tę technologię w 2014 r. Dziś na rynku dostępnych jest kilkadziesiąt telefonów, w których odcisk palca zastępuje wpisywanie haseł.

Kradzież tożsamości

Przechowywane w formie cyfrowej informacje biometryczne można kopiować, modyfikować, ale i wykraść z bazy danych, a nawet z pamięci smartfona. Jeszcze w 2015 r. ujawniono, że najwięksi producenci smartfonów – HTC i Samsung – nie stosowali mechanizmów szyfrujących odcisk palca użytkownika. Dane te można było skopiować z urządzenia np. przez internet.

Do tej pory doszło przynajmniej do jednej kradzieży danych biometrycznych na masową skalę. W ubiegłym roku wykradziono informacje na temat 5,6 mln odcisków palców pracowników administracji federalnej USA. W przyszłości, gdy biometria stanie się powszechna, te dane mogą posłużyć cyberprzestępcom do przeprowadzenia działań, których skutki trudno jest sobie dziś wyobrazić. Im więcej będzie takich baz danych, tym większe ryzyko. Program gromadzenia danych biometrycznych prowadzony przez rząd Indii zebrał już dane ponad miliarda obywateli tego kraju.

Spójrz mi w kamerę

Rozpoznawanie odcisków palców bywa zawodne. Firma Iridian Technologies podaje, że przy takim sposobie identyfikacji ryzyko błędu wynosi 1 do 100 tys. Natomiast technologie rozpoznające cechy ludzkiego oka mylą się tylko raz na 1,2 mln odczytów. Nic dziwnego, że producenci smartfonów coraz bardziej interesują się tą odmianą biometrii.

Fujitsu sprzedaje – na razie wyłącznie na rynku japońskim – telefon NX F-04G, który dzięki kamerze i diodzie na podczerwień jest w stanie rozpoznać unikatowe cechy tęczówki – barwnej części oka otaczającej źrenicę. Chiński producent Vivo ma w swojej ofercie smartfon X5Pro. Jego czuły aparat rozpoznaje rozmieszczenie naczyń krwionośnych w twardówce (białej części gałki ocznej) i na tej podstawie identyfikuje użytkownika. Technologia ta jest jednak nadal niedoskonała – odblokowanie urządzenia może trwać nawet kilka sekund.  

Wygoda ponad wszystko?

Anna Walkowiak uważa, że dane biometryczne powinno się wykorzystywać wyłącznie do zabezpieczenia najbardziej istotnych usług i urządzeń. „Nie należy po nie sięgać wówczas, kiedy można wykorzystać inne środki” – twier- dzi ekspertka. Jej zdaniem za mało dyskutuje się o biometrii i o tym, jakie konsekwencje może mieć jej szerokie stosowanie. Dopiero w 2018 r. wejdzie w życie unijne rozporządzenie, które nadaje danym biometrycznym status informacji wrażliwych, podlegających wyjątkowej ochronie.

Na razie jednak wszystko wskazuje, że takie technologie będą wykorzystywane coraz częściej. „Mamy dziś 4 mld użytkowników sieci, którzy poszukują łatwych i możliwie bezpiecznych rozwiązań” – mówi Marcin Spychała. Z niedawnych badań prowadzonych przez firmę Gigya w USA wynika, że co piąty konsument wybrałby biometrię zamiast wpisywania haseł. W Polsce zapewne będzie podobnie.  

Trzy stopnie zabezpieczeń

Stosowanie samego tylko hasła czy PIN-u staje się niewystarczające. Portale społecznościowe, sklepy internetowe i operatorzy poczty e-mail coraz częściej stosują tzw. uwierzytelnianie dwuetapowe. Polega ono na wykorzystaniu przynajmniej dwóch spośród trzech typów informacji: coś, co jest nam wiadome, coś, co się ma, oraz coś, czym się jest. Pierwsza informacja to z reguły nasze hasło czy PIN. Druga to np. nasz telefon komórkowy, na który wysyłany jest SMS z hasłem jednorazowym do potwierdzenia logowania czy zlecenia przelewu. Informacje biometryczne zaliczają się do trzeciej kategorii – opisują jakąś naszą cechę charakterystyczną.