Biometrie – další rozměr bezpečnosti
Bezpečnost je jednou ze základních lidských potřeb, a proto jde o důležité téma bezprostředně se dotýkající i problematiky průmyslových aplikací. Článek je věnován otázkám bezpečnosti z hlediska autentizace uživatele a možnosti využití biometrie v této oblasti. Podrobněji popisuje význam autentizace prostřednictvím otisků prstů v průmyslových aplikacích.
Autentizace, identifikace, autorizace
Autentizace je chápána jako potřeba si ověřit, zdali má uživatel právo provést určitou akci či využít službu a zda je skutečně tím, za koho se vydává. Mimo autentizaci se rozlišuje ještě:
identifikace, tj. zjištění uživatelovy identity, např. uživatelským jménem nebo kódovým heslem,
autorizace, tj. zjištění, zda dotyčný uživatel má právo provést určitou akci, získat data či využít službu; v zásadě není nutné ho identifikovat.
Obecně jsou na proces autentizace kladeny tyto požadavky:
bezpečnost: systém musí být odolný proti napadení, nesmí být zneužitelný a musí zajistit dostatečnou ochranu,
jednoduchost: proces autentizace nesmí uživatele nepřiměřeně obtěžovat; musí být dostatečně jednoduchý a zkonstruovaný tak, aby mohl být použit každým uživatelem; proto by neměl vyžadovat speciální znalosti nebo schopnosti a v ideálním případě by neměl vyžadovat zapamatování hesla,
spolehlivost: systém musí vykazovat velkou provozní spolehlivost a poskytovat jednoznačnou autentizaci uživatele,
rychlost: systém by měl být dostatečně rychlý, a to zvláště tam, kde je velký počet transakcí, ke kterým se musí uživatel vždy přihlásit,
věrohodnost: systém musí zabránit tomu, aby se za oprávněnou osobu vydával někdo jiný.
Metody autentizace
K autentizaci se používá velké množství metod, které je možné rozdělit např. podle způsobu, jakým se uživatel prokazuje, na metody založené na znalosti, vlastnictví věci, svědectví třetí strany a na existenci jedinečného znaku osobnosti uživatele.
Průkaz znalostí
Uživatel se v tomto případě prokáže nějakou znalostí, která by měla být známa pouze jemu. Typickým příkladem je znalost hesla nebo číselného kódu. Tato metoda představuje nejrozšířenější prostředek autentizace, heslo je snadno přenositelné a jeho používání je celkem pohodlné.
Současně však „metoda hesla„ s sebou nese mnoho nevýhod a rizik. Hesla jsou v současnosti již obecně považována za slabý prostředek zabezpečení. Důvody pro toto tvrzení jsou následující:
uživatelé většinou volí jako hesla různé podoby svého jména, iniciály a názvy ze svého okolí, data narození apod.; z tohoto důvodu je dokázáno, že takřka v 50 % případů lze heslo odhalit maximálně deseti pokusy,
uživatelé volí hesla tak, aby si je mohli zapamatovat, což je v příkrém rozporu se zásadami bezpečnosti hesel, tj. volit hesla dostatečně dlouhá a složitá,
hesla lze odpozorovat během zadávání: většině čtenářů je patrně znám případ z nedávné doby, kdy neoprávněně nainstalovaná kamera snímala osobní identifikační číslo (PIN) vkládané z klávesnice bankomatu,
uživatelé hesla zapomínají: mnoho požadavků na technickou podporu je vyvoláno právě potřebou obnovit uživatelem zapomenuté heslo.
Co lze udělat pro větší bezpečnosti hesel:
především volit hesla tvořená kombinací velkých i malých písmen abecedy, číslic a speciálních znaků (pokud jsou přípustné) a dostatečně dlouhá, která netvoří žádné známé slovo ani jejich kombinaci,
hesla je vhodné pravidelně měnit, zamezit zadávání stále stejného hesla či pouhé střídání hesel,
je třeba se zaměřit na vyloučení lidského faktoru, kdy si uživatelé často hesla zapisují na dostupná místa, sdělí heslo dalším osobám, popř. opustí pracoviště s přihlášeným počítačem v chodu,
tam, kde to je smysluplné, je možné používat jednorázová hesla s časově omezenou platností, a to třeba i jen na několik málo minut,
odhalovat slabá místa: v současné době uživatelé pracují v několika systémech současně a pro každý z nich jsou nuceni používat přístupové heslo a často se stává, že volí pro všechny systémy heslo stejné; poté již stačí např. odchytit heslo z poštovního klientu a přístup do podnikového informačního systému je volný.
Průkaz vlastnictvím
Uživatel se může prokázat také tím, co vlastní – typicky se uživatel prokazuje jedinečným technickým zařízením, např. čipovou kartou. Z hlediska bezpečnosti je třeba, aby prokazovaný předmět nemohl být jednoduše nahrazen, zcizen nebo zkopírován.
Uživatele ověří důvěryhodná osoba
V současné době se typicky jedná o autentizaci prostřednictvím elektronického podpisu, kterým se uživatel podepíše. V praxi to znamená zašifrování podpisu pomocí tzv. privátního klíče. Tento podpis se ověří u tzv. certifikační autority, kdy se odšifruje veřejným klíčem uživatele. Tím se potvrdí jeho pravost. Podmínkou této procedury je, že ověření provede důvěryhodná osoba, které věří uživatel i ten, kdo autentizaci provádí.
Uživatel se prokáže svým jedinečným znakem (biometrie)
V tomto případě jde o autentizaci či identifikaci člověka prostřednictvím jeho nezaměnitelných znaků. Tato oblast se nazývá biometrie a zahrnuje autentizaci např. na základě otisku prstu, tvaru dlaně nebo obličeje, struktury oční duhovky či sítnice, analýzy hlasu, chování nebo stylu psaní na klávesnici. Biometrie označuje skutečnou identitu osob, přičemž ověření nelze přenést na jinou osobu, kopírovat či ukrást nebo oklamat.
Přínosem biometrických metod je, že je lze velmi těžko přelstít a jsou svázány s konkrétní osobou, tudíž jednoznačně identifikují uživatele. Je vyloučeno zapomenutí hesla, není třeba s sebou něco nosit, a tudíž nelze nic ztratit, není třeba vyrábět žádné identifikační předměty.
Naopak nevýhodou může být skutečnost, že ukradený biometrický znak, např. elektronická šablona otisku prstu, nelze na rozdíl od hesla zrušit nebo nahradit.
Z biometrických metod si největší oblibu získalo snímání otisku prstu, které nabízí nejlepší kompromis mezi náklady, spolehlivostí a jednoduchostí pro uživatele. Pro realizaci systému autentizace založeného na snímání otisků prstů je potřeba, aby systém obsahoval patřičná vstupní zařízení – čtečky otisků prstů.
Čtečky otisků prstů
Na současném trhu je bohatá nabídka různých typů čteček otisků prstů. Čtečky pro kancelářské použití mohou mít podobu malých samostatných jednotek připojitelných přes rozhraní USB nebo PC Card nebo mohou být zabudovány přímo do klávesnice PC. Naproti tomu čtečky určené pro průmysl či identifikaci při vstupu do budov jsou téměř výhradně samostatné jednotky robustnější konstrukce (obr. 1).
Nejčastěji používanými snímači dosud jsou optický snímač (scanner) nebo různé druhy kapacitních snímačů. Spíše teoreticky se lze setkat se snímačem fungujícím na teplotním, ultrazvukovém či radiofrekvenčním principu.
Ve firmwaru některých čteček je zabudován algoritmus identifikace (porovnávání 1 : N), jiné podporují jen ověřování identity (porovnávání 1 : 1) a některé čtečky dokážou jen přenést sejmutý otisk do připojeného počítače a zpracování nechávají na něm.
Možnosti využití
Žádná z uvedených metod autentizace bezvýhradně nesplňuje všechny požadavky kladené na autentizaci. Proto se zvláště pro zvýšení bezpečnosti používají kombinace několika metod, tzv.vícefaktorová autentizace. Důvěrně známým příkladem je platební karta vyžadující při předložení autentizaci podpisem, popř. znalostí ochranného kódu (PIN).
V poslední době se tak v praxi stále častěji setkáváme s ověřováním identity uživatelů prostřednictvím biometrických metod, zejména metody snímání otisků prstů. Typickou oblastí jejího využití jsou systémy řízení přístupu do zabezpečených prostor, areálů apod.
Vedle toho se však biometrické metody úspěšně používají i v průmyslových aplikacích pro účely autentizace operátorů. To je zvláště užitečné tam, kde se klade důraz na zaznamenání všech technologicky významných akcí provedených operátorem a je nutné, aby se operátor autentikoval před každým zásahem do technologie. Zde jsou velkými přínosy zrychlení procedury autentizace proti klasickému způsobu přihlášení uživatelským jménem a heslem a, při správné implementaci, také možnost dosažení vyšší úrovně bezpečnosti (otisky prstů lze chápat jako dostatečně silná hesla).
V příštím čísle tohoto časopisu budou popsány využití otisků prstů pro autentizaci operátorů při použití softwarového řešení Advanced Security Solution společnosti AppTima a jeho referenční aplikace ve výrobním závodě farmaceutické společnosti Boots v Nottinghamu.
Ing. Petr Klen, Ph.D.,
AppTima s. r. o.
|