Биометрические средства аутентификации: руководство для покупателей

Биометрические средства аутентификации: руководство для покупателей 

Cканирование отпечатков пальцев, руки и сетчатки глаза, а также распознавание речи с целью получения идентификационных биометрических данных уже давно используется в различных областях человеческой деятельности. Многие организации, например банки, стремятся первыми брать на вооружение новые разработки в области систем безопасности. Устройства считывания характеристик строения руки и другие подобные средства применяются ими на практике уже не один десяток лет. В деятельности же правоохранительных органов дактилоскопия стала наиболее распространенным, но далеко не единственным биометрическим методом идентификации. Используют биометрику для аутентификации и контроля доступа и на особо секретных объектах, причем часто вместе с персональными карточками или жетонами.

Возникает закономерный вопрос: можно ли использовать эти методы в реальных бизнес-приложениях?

Основы биометрики

К наиболее часто применяемым  технологиям защиты, основанным на биометрических методах идентификации  пользователей, относятся распознавание  по лицу, строению и отпечаткам пальцев  и руки, радужной оболочке и сетчатке глаза, а также по голосу и подписи (рукописному образцу). Каждая из этих технологий требует специального оборудования. Для распознавания по голосу, например, нужны микрофон и звуковая карта. Сканирование отпечатков пальцев также нуждается в специальных приспособлениях (некоторые производители уже начинают поставлять на рынок клавиатуры со встроенными устройствами сканирования отпечатков пальцев). Для распознавания по лицу и радужной оболочке глаза необходима цифровая камера. Все биометрические устройства аутентификации работают приблизительно по одному принципу. Прежде всего пользователь должен зарегистрироваться в системе. При этом происходит первоначальное считывание его биометрических характеристик (как правило, нескольких). На основе набора значимых биометрических данных формируется электронный образец для последующего сопоставления.

Чтобы получить электронные  образцы отпечатков пальцев, сканирование выполняется несколько раз (очень  часто сканируют несколько пальцев  — тем самым разрешается проблема регистрации в случае травмы одного из них). Программное обеспечение  биометрического устройства извлекает  из данных, полученных при сканировании, все характерные атрибуты и создает  электронные образцы (по одному на каждый палец), которые затем хранятся в  базе данных, будучи закрепленными  за конкретным пользователем.

С помощью полученных таким  образом электронных образцов в  дальнейшем осуществляется идентификация  либо верификация. Идентификация отпечатков пальцев, широко используемая следственными  органами, весьма трудоемкое занятие. Биометрическая система должна сравнить вновь полученный образец со всеми  имеющимися в БД отпечатками пальцев. Что касается компьютерных и сетевых  приложений, то биометрические данные в них, как правило, применяются  вместе с другой идентифицирующей информацией, например с именем пользователя. В  этом случае программное обеспечение  находит в БД ассоциируемый с  данным именем пользователя образец, сравнивает с ним вновь полученный и определяет наличие или отсутствие их совпадения. Конечно, биометрические методы идентификации  не являются абсолютно надежными. Ошибки, обусловленные неправильным использованием биометрического устройства или  повреждениями сканируемых участков, могут приводить к некорректному считыванию биометрических данных. Существуют специальные показатели, характеризующие статистическую достоверность получаемых результатов: коэффициент ошибочного отказа в допуске (False Rejection Rate — FRR) и коэффициент ошибочного допуска (False Acceptance Rate — FAR). FRR определяет вероятность того, что зарегистрированному пользователю будет по ошибке отказано в допуске. FAR характеризует степень вероятности, с которой система может разрешить допуск незарегистрированному пользователю.

Какой же из этих двух факторов имеет наибольшее значение? Все зависит  от конкретной политики безопасности, в идеале в полной мере отражающей результаты анализа как ваших коммерческих потребностей, так и риска, связанного с возможным взломом вашей информационной бизнес-системы. Владельцы банкоматов, например, скорее предоставят доступ мошеннику, чем пойдут на то, чтобы обидеть своего постоянного клиента отказом. Банки тоже готовы потерять сотню-другую долларов, чтобы не “упустить” хорошего клиента.

Вместе с тем  во многих системах обеспечения безопасности правительственных учреждений и  военных объектов более предпочтительными  являются, как правило, низкие значения коэффициента FAR, несмотря на то что  при этом система может отказывать в доступе вполне легитимным пользователям. В таком случае окончательная  идентификация последних требует вмешательства человека — либо охранника, либо системного администратора. Но что стоят все эти временные неудобства по сравнению с возможной утечкой информации в подобных заведениях?!