گزارش گرداب

آیا اطلاعات زیست‌سنجی جایگزین رمزهای عبور خواهند شد؟

آیا اطلاعات زیست‌سنجی جایگزین رمزهای عبور خواهند شد؟
تاریخ انتشار : ۲۴ دی ۱۳۹۹

همان‌طور که در مباحث امنیت شبکه و داده، هیچ سازوکاری صد در صد امن نیست و هیچ فناوری‌ای بدون عیب نیست، باید از آسیب‌ها و تهدیدهایی که متوجه این فناوری نوین است آگاه بود تا در آینده بتوان آسیب‌های ناشی از آن را بهتر کنترل کرد.

به گزارش گرداب، استفاده از زیست‌سنجه‌ها آخرین فناوری بشری برای تأمین امنیت است که در طیف وسیعی از فناوری‌ها از سامانه‌های دیداری مبتنی بر پردازش تصویر نظیر امنیت رفت‌وآمد در فرودگاه‌ها و مرزها تا ایجاد پایگاه داده‌های مبتنی بر داده‌های زیست‌سنجی برای کشف جرم و مجرم و حتی کارت‌های اعتباری مجهز به حسگر اثر انگشت مورد استفاده قرار می‌گیرند.

اما همان‌طور که در مباحث امنیت شبکه و داده، هیچ سازوکاری صد در صد امن نیست و هیچ فناوری‌ای بدون عیب نیست، باید از آسیب‌ها و تهدیدهایی که متوجه این فناوری نوین است آگاه بود تا در آینده بتوان آسیب‌های ناشی از آن را بهتر کنترل کرد.
 
اطلاعات زیست‌سنجی جایگزین رمز ورود
استفاده از زیست‌سنجه‌ها آخرین فناوری بشری برای تأمین امنیت است

با توسعه سخت‌افزاری و نرم‌افزاری ابزارهای زیست‌سنجی  در سطوح مختلف فناوری، لزوم شناخت و آشنایی با مزایا و معایب آن امری اجتناب‌ناپذیر است، زیرا این فناوری نقش هویت کاربران را در فضای مجازی و دیجیتالی ایفا می‌کند و تمامی عملکرد ما و عواقب آن وابسته به هویت ما و نحوه احراز آن است.

زیست‌سنجه‌ها جدیدترین و آخرین سطح دانش بشری برای ایجاد امنیت و جلوگیری از هرگونه تقلب هستند. توسعه طراحی به کمک هوش مصنوعی و تراشه‌های با دقت ساخت کمتر از ۶ نانومتر و همچنین کاهش قیمت طراحی و ساخت موجب افزایش دسترسی‌پذیری آنها تا تعبیه شدن در اکثر تلفن‌های همراه و کاربردی‌تر شدن آنها تا ورود به حوزه مالی و بانکی شده است.

زیست‌سنجی در فناوری به چه معناست؟

الگوبرداری از ساختارهای موجود در طبیعت امری رایج در علوم مهندسی است. شناسه‌های طبیعی بی‌همتا در هر فرد نظیر چهره، اثر انگشت، عنبیه چشم و حتی نحوه راه رفتن افراد موجب شده است که از این ویژگی‌ها و شناسه‌های بی‌همتا در مباحث مربوط به شناسایی و تشخیص و احراز هویت استفاده شایانی شود. اما گران‌قیمت بودن و پیچیدگی بالای این فناوری موجب استفاده کم و به‌ندرت آن شده بود. علاوه بر این نکته دیگری که حائز اهمیت است آن است که شناسایی و استخراج ویژگی‌ها و الگوهای (Pattern recognition) هر شناسه طبیعی و سپس مدل‌سازی کامپیوتری آن نیاز به برنامه‌نویسی پرحجم و سنگینی داشت که از توان برنامه‌نویسان و شرکت‌ها خارج بود. در سال‌های اخیر با توسعه هوش مصنوعی و ابداع روش‌های خاص برنامه‌نویسی آن نظیر یادگیری ماشینی  و یادگیری عمیق ، بُعد نرم‌افزاری استخراج هرگونه الگو از تمامی ساختارهای طبیعی حل شد، به‌گونه‌ای که برخی از محققان حتی از طریق بررسی الگوهای ساختاری گوش آن را جایگزینی برای اثر انگشت می‌دانند .
  
اطلاعات زیست‌سنجی جایگزین رمز ورود
برخی از محققان الگوهای ساختاری گوش را جایگزینی برای اثر انگشت می‌دانند

اطلاعات زیست‌سنجی جایگزین رمز ورود

چگونه اطلاعات زیست‌سنجی می‌تواند جایگزین رمز عبور شود؟

پیش‌نیاز کنترل و دسترسی به هر سامانه‌ای، شناسایی کاربر (متقاضی) و تشخیص هویت مورد ادعای وی است. فرایند شناسایی و تشخیص هویت مبتنی بر اطلاعاتی است که از مشخصه‌های کاربر گرفته می‌شود و پس از بررسی صحت آن، مجاز بودن یا نبودن دسترسی کاربر مشخص می‌شود. بسته به اطلاعاتی که در هر پایگاه داده (Data base) نگهداری می‌شود اهمیت این فرایند نیز تعیین می‌شود. به‌عنوان مثال اگر پایگاه داده ما بانک ژنوم حاوی اطلاعات بسیار مهمی از DNA افراد باشد، دسترسی به چنین اطلاعاتی می‌تواند در مباحث مربوط به توالی ژنی مورد سوءاستفاده قرار بگیرد که منجر به ایجاد ساختارهای بسیار خطرناک زیستی به جهت ایجاد موجودات یا گیاهان خطرناک یا حتی ایجاد بیماری می‌شود نظیر شائبه‌های موجود در مورد ساختگی بودن بیماری COVID-19 در آزمایشگاه‌ها. اما در یک اتفاق واقعی، در جولای 2020 در حمله Phishing به یک شرکت فعال در حوزه ژنتیک که دارای بانک‌های ژنومی است  اطلاعات DNA افراد به سرقت رفت که این زنگ خطری برای سلامت و بهداشت همه مردم جهان است. از این رو پیشرفت و تکمیل فرایند شناسایی و تشخیص هویت امری بسیار مهم و اجتناب‌ناپذیر است.

آنچه به‌صورت معمول در تمام دنیا رایج است، ارائه سازوکار شناسایی و تشخیص هویت بر اساس گذرواژه (Password) و شماره شناسایی شخصی (PIN) است که آسیب اصلی وارده بر این روش حدس، افشای دانسته‌های فردی یا فراموشی است. آسیب دیگر که جنبه نرم‌افزاری دارد، حمله جامع یا Bruit force است که از این طریق گذرواژه یا PIN در اصطلاح شکسته می‌شود. برای حل مشکلات مذکور، استفاده از افزونه‌های فیزیکی نظیر کارت (پلاستیکی، مغناطیسی، هوشمند و ...)، توکن امنیتی (Security Token) و توکن تولید رمز یکبار مصرف (OTP) جهت افزایش ضریب امنیتی در سامانه‌های موردنظر مورد استفاده قرار می‌گیرند، اما مشکل اساسی این روش جعل آنها بوده است. به همین دلیل محققان به مشخصه‌هایی که جعل آنها دشوار و در مواردی غیرممکن است نظیر مشخصه‌های زیستی روی آورده‌اند. همان‌طور که گفته شد، مشخصه‌های زیستی بی‌همتا و جعل آنها بسیار دشوار و پیچیده بوده و بهترین سازوکار برای فرایند شناسایی و تشخیص هویت هستند. اولین نمود پیاده‌سازی گسترده این روش در اکثر تلفن‌های هوشمند است.
 
اطلاعات زیست‌سنجی جایگزین رمز ورود
حمله فیشینگ به یک موسسه ژنتیکی همکار با پزشکی قانونی

اطلاعات زیست‌سنجی جایگزین رمز ورود

چه آسیب‌ها و تهدیدهایی در پس زیست‌سنجی است؟

جبران‌پذیری پایین

اگر چنانچه اثر انگشت فرد به هر نحوی افشا شود دیگر همانند گذرواژه قابل‌تغییر و جبران نیست و هکر می‌تواند یک دسترسی غیرمجاز دائمی داشته باشد. در سال ۲۰۱۵ یک هکر آلمانی به نام جان کریسلر (Jan Krissler) با بازسازی تصویر اثر انگشت وزیر دفاع آلمان با استفاده از تصاویر موجود در سایت وزارت دفاع آلمان از دست وزیر و با تصویربرداری از فاصله ۳ متری از وزیر  توانست امنیت مبتنی بر زیست‌سنجی را زیر سؤال ببرد. همچنین کریسلر در فاصله کوتاهی از معرفی تلفن همراه آیفون مدل S5 توانست حسگر اثر انگشت آن را بفریبد. 

در نمونه‌ای دیگر، محققان دانشگاه مهندسی نیویورک مدعی شدند که با استفاده از شبکه‌های مولد تخاصمی (Generative Adversarial Network) -که از این نوع شبکه در حوزه هوش مصنوعی برای همانندسازی داده‌های واقعی استفاده می‌شود- دست به تولید اثر انگشت مصنوعی زده‌اند.

اطلاعات زیست‌سنجی جایگزین رمز ورود
 
اطلاعات زیست‌سنجی جایگزین رمز ورود
تولید اثر انگشت با استفاده از فناوری GAN

نقض حریم خصوصی

با هجوم شرکت‌های حوزه فناوری اطلاعات و مؤسسات مالی نظیر بانک‌ها به استفاده از روش‌های زیست‌سنجی برای افزایش ضریب امنیت سامانه‌هایشان، اطلاعات دریافتی از کاربران و مشتریان نیز افزایش می‌یابد، و با توجه به اطلاعات خصوصی کاربران و مشتریان عملاً شرکت‌ها را تبدیل به سازمان ثبت‌احوال می‌کند و تبعات ناشی از نقض حریم خصوصی سنگین‌تر و گسترده‌تر می‌شود. به‌عنوان نمونه می‌توان به سوءاستفاده فیسبوک از داده‌های زیست‌سنجی کاربران اشاره کرد.

در سال ۲۰۱۵ فیسبوک از تصاویر کاربرانش برای توسعه مدل هوش مصنوعی خود استفاده کرد تا به کمک آن بتواند تمام تصاویر بارگذاری شده را برچسب‌گذاری کند که این مسئله با اعتراض فعالان حریم خصوصی مواجه شد. در ایالت ایلینوی (Illinois) قانونی تحت عنوان BIPA وجود دارد که استفاده شرکت‌ها را از اطلاعات زیست‌سنجی مردم منع می‌کند، با این حال فیسبوک بدون اخذ مجوزهای لازم از این اطلاعات استفاده کرده بود و در سال ۲۰۱۹ به پرداخت ۵۵۰ میلیون دلار جریمه از سوی دادگاه این ایالت محکوم شد . همچنین در سال ۲۰۱۸ فیسبوک در قالب چالشی به نام چالش ده‌ساله باعث بارگذاری تصاویر ده‌ساله گذشته بخش عمده‌ای از کاربرانش شد که به اعتقاد برخی، این چالش حیله فیسبوک برای تکمیل داده‌های خود به جهت توسعه مدل‌های هوش مصنوعی خود بود .

اطلاعات زیست‌سنجی جایگزین رمز ورود

مشابه همین موضوع در مورد قوانین و دولت‌ها نیز وجود دارد. به‌عنوان مثال، در ایالات‌متحده آمریکا، FBI و اداره محافظت مرزی  از یک پایگاه داده مبتنی بر داده‌های زیست‌سنجی استفاده می‌کنند که به اعتقاد برخی NGOهای فعال در حوزه حریم خصوصی، این یک نقض آشکار حریم خصوصی است .
 
اطلاعات زیست‌سنجی جایگزین رمز ورود
رصد و کنترل دائمی شهروندان با استفاده از اطلاعات زیست‌سنجی

علاوه بر آمریکا، اتحادیه اروپا ، انگلستان و برخی کشورهای دیگر نظیر برزیل  اقدام به ایجاد پایگاه داده‌های مبتنی بر داده‌های زیست‌سنجی کرده‌اند که در این کشورها نیز با اعتراض فعالان حریم خصوصی مواجه شده است.

نتیجه‌گیری

با توجه به امینت بالای روش‌های زیست‌سنجی و نیاز شرکت‌های فناوری، کاربران و مشتریان به امنیت و یکتایی هویت‌ها در فضای سایبری، قطعاً زیست‌سنجی جایگاه مهم و وسیعی در آینده خواهد داشت. با لحاظ این نکته و جمع‌آوری اطلاعات زیست‌سنجی ما توسط اکثر برنامه‌های تلفن همراه، توجه جدی به این هشدار لازم است که پایگاه داده اطلاعات زیست‌سنجی ما در خارج از کشور نگهداری می‌شود و دسترسی هکرها یا حتی سرویس‌های جاسوسی خطری بسیار بزرگ علیه مردم و منافع ملی ما است. از این رو لازم است با انجام اقدامات فنی نظیر سامانه‌های کنترلی و نظارتی و وضع قوانین، از خروج اطلاعات حساس و مهم ملی جلوگیری شود تا در آینده مسبب مشکلات بزرگی نشود چراکه جاسوسی آژانس امنیت ملی آمریکا (NSA) و سازمان اطلاعات مرکزی آمریکا (CIA) در جمع‌آوری تمامی داده‌های مردم جهان حتی داده‌های زیست‌سنجی امری واقعی و درخور توجه است . 




https://www.wired.com/2010/11/ears-biometric-identification

https://www.scmagazine.com/home/security-news/cybercrime/dna-companies-vulnerable-to-phishing-privacy-violations-after-attacks

https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands

https://www.nytimes.com/2020/01/29/technology/facebook-privacy-lawsuit-earnings.html

https://www.forbes.com/sites/nicolemartin1/2019/01/17/was-the-facebook-10-year-challenge-a-way-to-mine-data-for-facial-recognition-ai/#6cfd74055859
 
https://www.eff.org/deeplinks/2016/05/fbi-ngi-privacyact

https://www.zdnet.com/article/eu-votes-to-create-gigantic-biometrics-database

https://www.loc.gov/law/foreign-news/article/brazil-new-law-creates-dna-database-to-help-resolve-violent-crimes

https://www.nytimes.com/2014/06/01/us/nsa-collecting-millions-of-faces-from-web-images.html