Derfor skal vi bruge biometri ved multi-faktor autentificering

En stærk godkendelsesproces, der kun giver dataadgang til godkendte personer og enheder, er en helt vital del af ethvert IT-sikkerheds-setup. Som bekendt kan det være en udfordring at bevise, at folk vitterligt er, hvem de giver sig ud for at være. Men her kan biometri vise sig at være en fantastisk effektiv metode til autentificering af individer. Tanken er nærliggende: Når vi nu alle råder over en unik biologisk identitet, hvorfor så ikke bruge denne biologiske identitet til at skabe tillid og troværdighed i den digitale verden?

Biometri kan bidrage til den såkaldte multi-faktor autentificering og styrke godkendelsesprocessen dramatisk ved at sammenholde noget, ’man ved’ – som fx et brugernavn og password – med noget, ’man er’ – og dermed gøre det sværere for kriminelle at få uretmæssig adgang til IT-systemer.

Fokus på omkostningerne

Fingeraftryk er sædvanligvis den nemmeste brugerflade at bruge. Man skal blot placere sin pegefinger eller tommelfinger på en lille scanner for at blive godkendt. Ulempen er dog, at det oftest kræver, at man har en separat enhed ved hånden. Historisk set har den største udfordring ved at koble biometrisk identitet til en digital identitet netop været omkostningerne forbundet med ekstra enheder, der kan aflæse eller scanne de biometriske data.

Omkostningerne vil selvfølgelig blive reduceret, hvis man kan bruge enheder, som personer allerede råder over, til at gennemføre aflæsningen af de biometriske informationer. Det kan fx være stemmebaseret biometri via en almindelig telefon, eller det kan være ansigtsgenkendelse via kameraet på en smartphone. Her fungerer brugergrænsefladen helt ubesværet, fordi alle i forvejen bruger den slags enheder, og samtidig behøver virksomheden ikke at købe og supportere ekstra hardware. Udfordringen kan så være at sikre en alternativ multi-faktor autentificering, hvis den biometriske metode skulle være nede eller fejle.

Plan B, hvis biometri fejler

Selvom biometri er anerkendt i forbindelse med multi-faktor autentificering, er der også bekymringer i forhold til, om biometri altid fungerer korrekt. En vej rundt om dette problem kan være at betragte biometri som kun ét element ud af flere i en multi-faktor autentificering.

I et sådant scenarie anvender brugeren et brugernavn/password/pinkode og skal derefter aflevere en biometrisk identifikation i form af fx ansigtsgenkendelse eller fingeraftryk. Hvis godkendelsen fejler, selv om den faktisk burde lykkes, kan brugeren i stedet blive bedt om at bruge en formfaktor, der tidligere har været benyttet, og som er registreret i systemet. Det kan fx være personens mobile enhed, hvor der er installeret en generator til engangs-passwords, og som kan give brugeren en sekscifret kode, der er låst til den konkrete anmodning om godkendelse.

Spændende nye metoder i støbeskeen

Der er flere innovative teknologier i støbeskeen, der bliver pålidelige nok til at fungere som alternativer til mere ’mainstream’ biometri. En mulighed kan være at bede en bruger om at indtaste en sætning, der er svaret på et konkret spørgsmål.

Her kontrollerer softwaren ikke bare nøjagtigheden af svaret, men tjekker også selve den måde, en bruger taster på – fx ved at se på variabler som hurtighed mellem hvert indtastede bogstav. Ud fra dette kan softwaren så bedømme, om der er tale om den korrekte person. I den slags eksempler bliver den biometriske metode stadig mere nøjagtig, jo mere den bliver benyttet. En anden metode kan være at udnytte individers kognitive evner. Det kan fx foregå ved at præsentere brugeren for en række billeder og bede vedkommende om at udvælge 3-6 af dem, som kun den person kan kende og være i stand til at identificere.

Vejen frem for mere biometri

Man kan sagtens spørge, hvorfor biometri ikke er mere udbredt i virksomheder, når der nu er en række klare fordele. Jeg tror først og fremmest, svaret skal findes i omkostningerne ved de enheder, der skal scanne og aflæse de biometriske data. Et andet spørgsmål handler om usability. Hvis der fx ikke findes en fingeraftrykslæser der, hvorfra en bruger ønsker at skaffe sig adgang, ja, så er man selvfølgelig lige vidt. Derfor vil brug af enheder, der som fx en smartphone kan tjene mere end ét formål, og som de fleste i forvejen har med sig, givetvis være en vej frem til at reducere udgifterne, fremme brugervenligheden – og dermed også til at gøre biometri til en mere udbredt metode i fremtiden.

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Cederstrand

Der gik tre dage, fra Apple introducerede TouchID til den var brudt, med forholdsvis simple midler endda. Det er en fejl at tro, at biometri altid er noget, ’man er’; jeg efterlader fingeraftryk på alt hvad jeg rører ved, det bliver endda lagret i mit pas og på mine devices med fingeraftryk-login, mit ansigt ligger overalt på Facebook og i mit digitalkamera, og min iris kan endda printes ud og holdes op foran irisscanneren, hvis jeg har uploadet et tilstrækkeligt godt billede på Facebook.

Hvis biometri dermed bliver noget 'man har', og ikke kan ændre, så ryger biometri pludselig ned på niveau med CPR-nummer i brugbarhed ved autentificering.

  • 0
  • 0
Henrik Christian Grove

Omkostningerne vil selvfølgelig blive reduceret, hvis man kan bruge enheder, som personer allerede råder over, til at gennemføre aflæsningen af de biometriske informationer.

Foreslår du at sikkerhedssystemerne skal stole på min telefon når den siger at det er dit ansigt?

Jeg ser store problemer.

.Henrik

  • 0
  • 0
Simon Shine

Er der noget i vejen med meget lange kodeord, hardware tokens, engangskodeord, eller en receptionist / vagt som kender dit ansigt og siger hej til dig om morgenen?

En faktor i disse autenticeringsmetoder er at man stoler på, de altid giver et deterministisk resultat. Jeg synes også, det er interessant at tidsforskellen mellem tastene er en stærk indikator for det mønster, man indaster sit kodeord ved, som er svær at fake. Men hvad nu hvis man brækker en finger eller hele armen, eller man ligger i sin seng og vil indtaste sit kodeord -- sorry, du har ikke indtastet det "præcist nok" (for en definition af præcist som faktisk er de fleste af os ubevidst).

Jeg må også sige, jeg synes det lyder mere futuristisk og sejt end økonomisk og nyttigt. Når du siger, du synes at folk skal bruge mere biometri, må jeg hælde til at tro, det er fordi det er et sjovere produkt at sælge. :)

  • 0
  • 0
Torben Mogensen Blogger

Biometri har den ulempe, at det kan være svært at måle detaljeret nok til entydig identifikation uden også ind i mellem at afvise den rigtige person pga. måleunøjagtigheder. En måde at løse det problem på er ikke at nøjes med en biometrisk parameter, men mange. Dermed kan man acceptere, at der er mismatch i enkelte af disse og alligevel have en stor sandsynlighed for at genkende en person entydigt. Brugbare parametre kan f.eks. være længde af fingre, håndfladeaftryk, fingeraftryk, ansigtsform, højde, øjenfarve, længde af arm, stemmeleje, osv. Hver for sig er informationerne enten forholdsvist almindelige eller svære at måle præcist, men tilsammen giver de en god indikation af personen.

Problemet er at måle mange af parametrene uden dyrt udstyr og uden risiko for systematisk forfalskning: Du skal ikke blive narret af et foto eller aftryk af en håndflade, en optagelse af en stemme, farvede kontaktlinser, osv. Her kan nogle challenge-response prøver hjælpe: Du bliver bedt om at holde hånden på en speciel måde, du bliver bedt om at sige en bestemt frase, osv. Men alle disse ting gør autentificeringen langsom: Det skal helst ikke vare lige så lang tid som paskontrollen i en amerikansk lufthavn.

Uanset, så bør biometrisk autentificering aldrig stå alene: Der skal også bruges kodeord/tal eller anden hemmelig viden.

  • 0
  • 0
Lars Dam

Uanset, så bør biometrisk autentificering aldrig stå alene: Der skal også bruges kodeord/tal eller anden hemmelig viden.

Et helt andet aspekt er at man risikerer at stå retsløs hvis man ikke også har en hemmelig viden. Godt nok er det en amerikansk artikel, men ikke desto mindre relevant:

http://www.wired.com/opinion/2013/09/the-unexpected-result-of-fingerprin...

vh. ld

  • 0
  • 0
Deleted User

Når man skal vælge godkendelses-strategi, kommer det an på det konkrete behov. Den metode, man vælger, skal være troværdig og have den rigtige balance mellem sikkerhed og brugervenlighed. Så ja, det er muligt at bruge biometri alene, men så vil man skulle bruge nogle aflæsningsenheder, hvor kvaliteten er helt i top, og de er stadig meget dyre og ofte heller ikke særligt brugervenlige. I dag bruges de mest i forbindelse med fysisk adgangskontrol og som sagt ofte sammen med en pin-kode eller en sikkerhedsvagt.

Man kan også kombinere flere biometriske metoder for at øge sikkerheden, fx iris-aflæsning + fingeraftryk. Når det er sagt, skal man selvfølgelig altid have den potentielle sårbarhed med i billedet. Hvis biometri bruges til som en måde at øge bekvemmeligheden på - for eksempel til at starte en soft-token-app på sin smartphone, der derefter genererer et engangs-password (så den app-specifikke PIN erstattes af et fingeraftryk) - ja, så vil en hacker først være nødt til at få fat i ens smartphone, bryde dens pin-kode-beskyttelse og derefter skaffe sig adgang til soft-token-app’en ved fx at bruge en slags ’falsk finger’.

Problemet i dag er, at selvom alle er enige om, at adgangskoder ikke er nok, så vokser brugen af stærke godkendelsesprocedurer ikke i takt med erkendelsen af deres behov. Og det skyldes i de fleste tilfælde den høje pris på de traditionelle metoder for to-faktor autentificering og de ulemper, der følger med i forhold til brugervenlighed og integration. Der findes endnu ikke en ’hellig gral’, når det gælder brugervenlig og stærk autentificering. Men jeg er helt sikker på, at vi kommer stadig tættere på, når dele af en godkendelsesprocedure kan blive varetaget via nye typer smartphones og i kombination med biometri.

  • 0
  • 0
Log ind eller Opret konto for at kommentere