آینده مکانیزم‌های احراز هویت

خبرنامه دانشجویان ایران: نزدیک به صد سال است آژانس‌های دولتی از اثر انگشت افراد به‌منظور شناسایی و تشخیص هویت آن‌ها استفاده می‌کنند. با توجه به تحولات حوزه زیست‌شناسی، علوم رفتاری و فناوری، ایده به‌کارگیری ویژگی‌های فیزیکی یا رفتاری یک شخص در قالب زیرساختی، به‌منظور شناسایی افراد، اعطای مجوز برای دسترسی به سامانه‌ها و حتی در قالب مکانیزم‌های امنیتی، به‌شدت محبوب شده است. از طرف دیگر، دسترسی مردم به گوشی‌های هوشمند، آن هم در مقیاس جهانی و به‌ویژه دسترسی به ابزارها و فناوری‌هایی که به‌منظور پویش و عکس‌برداری استفاده می‌شوند، مزید بر علت شده است.

به گزارش سرویس فناوری اطلاعات «خبرنامه دانشجویان ایران»؛ تخمین شرکت Tractia (فعال در زمینه هوش بازار) در آگوست سال 2015 که در قالب گزارشی آن را منتشر کرد، نشان می‌دهد که بازار جهانی فناوری‌های بیومتریک از دو میلیارد دلار در سال 2015 به 14.9 میلیارد دلار در سال 2024 خواهد رسید. این گزارش اعلام می‌کند که در هشت سال آینده فناوری‌های بیومتریک در بسیاری از موارد جزء جدانشدنی بسیاری از تعاملات روزانه و تجاری ما خواهند شد.

گزارش‌ها و اخباری که درباره فناوری‌های بیومتریک منتشر می‌شوند، به این حقیقت اذعان دارند که امنیت بیومتریک به‌تدریج در حال ورود به دنیای تجارت است و بسیاری از شرکت‌ها مصمم هستند برای کاهش مخاطرات امنیتی از این مکانیزم استفاده کنند. گذرواژه‌ها به‌شدت آسیب‌پذیر شده‌اند و هکرها با صرف کمی وقت می‌توانند آن‌ها را شناسایی کنند. اما مکانیزم‌های امنیتی مبتنی بر فناوری‌های بیومتریک، در مقایسه با روش‌های سنتی از ضریب امنیت بالاتری برخوردار هستند؛ حتی در جدیدترین مورد در این زمینه، شرکت‌ها پیشنهاد کرده‌اند که از بدن انسان برای انتقال اطلاعات حساس استفاده شود، به دلیل اینکه فرایند انتقال اطلاعات به صورت لمسی انجام می‌شود و در نتیجه هیچ‌گونه اطلاعاتی در هوا مبادله نمی‌شود. در نمونه دیگری، پژوهشگران دانشگاه واشینگتن موفق به ابداع راهکاری شدند که با استفاده از آن می‌توان امواج بی‌سیم را با استفاده از یک صفحه لمسی یا صفحه نمایش که در دست کاربر قرار دارد، به دستگاه هوشمندی که به طور فیزیکی کاربر با آن در تعامل است، ارسال کرد. (شکل 1) در حالی که این فناوری هنوز در مراحل اولیه است و به‌درستی مشخص نیست آیا امکان تجاری‌سازی آن وجود دارد یا نه، بدون شک راهکاری ایمنی در اختیار کاربران قرار می‌دهد تا اطلاعات حساس خود را به روش مطمئنی مبادله کنند.

شکل 1: فرایند باز کردن در با لمس آن

پژوهشگران این تحقیق عنوان کرده‌اند که می‌توانید دست خود را روی دستگیره دری قرار دهید که برای باز شدن به گذرواژه نیاز دارد. (شکل 2) در همان حال می‌توانید با دست دیگر گوشی تلفن خود را فشار دهید تا امواج از گوشی و بدن شما عبور کرده و به سوی دری که باید باز شود، ارسال شود. نرخ انتقال داده‌ها در این روش به طور میانگین 50 بیت در ثانیه است.

شکل 2: اعتبارسنجی در قفل شده/ کلیدهای مخفی ویژه پوشیدنی‌ها

نیاز به راه‌حل‌های ساده‌تر امنیتی
اگر کمی موشکافانه‌تر به رخدادهای یک دهه اخیر نگاه کنیم، به‌سادگی متوجه می‌شویم که مکانیزم‌های بیومتریک به روش‌های سنتی در زمینه ایمن‌سازی داده‌ها و دارایی‌ها ارجحیت دارند و می‌توانند مشکلات رایجی را که فناوری‌هایی همچون گذرواژه‌ها، کارت‌های هوشمند و کلیدها با آن روبه‌رو بودند، برای همیشه از میان بردارند. مردم تمایلی ندارند برای انجام کارهای ساده همچون یک معامله ساده بانکی، از میان میدانی از موانع عبور کنند تا فرایند مدنظر خود را به سرانجام برسانند. در حال حاضر، آن‌ها به مکانیزم چندمرحله‌ای که به گذرواژه‌ها، اعتبارسنجی پیام کوتاه و پنجره‌های آزاردهنده بازشو نیاز دارند، وابسته هستند. مردم برای اینکه بتوانند این فناوری‌ها را به شکل درستی مدیریت کنند، دو راهکار پیش رو دارند؛ یا باید از حداقل مکانیزم‌های امنیتی در این زمینه استفاده کنند یا از گذرواژه‌های ساده‌ای استفاده کنند که به خاطرسپاری آن‌ها آسان باشد. اما مشکل هر دو راهکار یادشده این است که سطح ایمنی کاهش پیدا می‌کند و در نتیجه هکرها به‌سادگی می‌توانند گذرواژه‌های استفاده‌شده را پیش‌بینی کنند. همین موضوع باعث می‌شود شکاف امنیتی بزرگی در فرایند اعتبارسنجی رخ دهد. با کمی تلاش و سرعت عمل کاربری، مکانیزم‌های احراز هویت بیومتریک می‌توانند جایگزین قدرتمندی در این زمینه باشند.

اصول اساسی فناوری‌های تأیید هویت بیومتریک
احراز هویت بیومتریک با اتکا بر ویژگی‌های فیزیکی یا رفتاری که منحصر‌به‌فرد است، به عنوان کلیدی برای باز کردن قفل دستگاه‌ها، دسترسی به حساب‌های کاربری، اطلاعات شخصی یا در حالت کلی به‌منظور شناسایی هویت افراد استفاده می‌شود. به طور معمول، یک بانک اطلاعاتی مشتمل بر نشانگرهای فیزیکی یا رفتاری به گونه‌ای تنظیم می‌شود که با استفاده از اثر انگشت، اسکن شبکیه، عکس‌ها یا الگوهای دیگر کار کند. این بانک اطلاعاتی ممکن است به دو منظور استفاده شود: اول اینکه داده‌های مربوط به افراد را اسکن کرده و در ادامه مجوز لازم برای دسترسی به یک سامانه را برای آن‌ها صادر کند. دوم اینکه می‌توان داده‌های شخص را برای انجام یک تراکنش زمان‌دار با الگوهای ازپیش‌تعیین‌شده، مقایسه کرد. اما پیشرفت‌های دنیای فناوری مترصد فرصتی هستند که بتوانند داده‌های بیومتریک یکتای متعلق به هر انسانی را با آگاهی یا بدون آگاهی او به عنوان یک شناسه به کار بگیرند و از ظرفیت‌های موجود در این زمینه استفاده کنند.

بیومتریک فیزیکی
بدن انسان از نشانه‌گرهای منحصربه‌فرد متعددی ساخته شده است. اثر انگشت، الگوهای مربوط به رگ‌های خونی در عنبیه چشم، رگ‌های خونی موجود روی صورت و حتی ساختار گوش، تنها چند نمونه ساده در این زمینه هستند. سخت‌افزارها و برنامه‌های کاربردی که به‌منظور اسکن و شناسایی این نشانه‌گرها استفاده می‌شوند، از مدت‌ها قبل طراحی شده‌اند؛ این در حالی است که روند توسعه این تجهیزات همچنان در دستور کار شرکت‌ها قرار دارد. بانک اطلاعات‌ داده‌های دیجیتالی در دهه 80 میلادی کار خود را آغاز کرد، اما تا حد زیادی با محدودیت همراه بود. به دلیل اینکه عمدتاً سازمان‌های دولتی و نهادهای قانونی از آن استفاده می‌کردند. این روند ادامه پیدا کرد تا اینکه اپل در سال 2013 دکمه هوم و حسگر اثر انگشت را برای آیفون عرضه کرد. مکانیزم تأیید بیومتریکی که به طور عمومی در اختیار مردم قرار گرفته است، با استقبال فراوانی روبه‌رو شد. Descartes Biometrics از جمله شرکت‌هایی است که برنامه‌های امنیتی موبایل را بر پایه بیومتریک انسانی که مبتنی بر گوش است، عرضه می‌کند. برنامه‌هایی شبیه به Eyeverify این ظرفیت را دارند تا از تصاویر گرفته‌شده با استفاده از دوربین یک گوشی هوشمند به‌منظور ثبت الگوی رگ‌های خونی چشم در افراد سفید پوست استفاده کنند. MasterCard به‌تازگی همکاری جالبی را با شرکت Nyni آغاز کرده است. Nyni شرکتی است که در زمینه فناوری‌های بیومتریک فعالیت دارد. فناوری‌های این شرکت به‌منظور احراز هویت افراد در زمان معاملات تجاری که عمدتاً با کارت‌های اعتباری انجام می‌شود، استفاده می‌شود. این فناوری‌ها حتی می‌توانند بر مبنای ریتم ضربان قلب افراد عمل کنند.

رفتار‌های بیومتریک را بی‌اهمیت ندانید
رفتاری که ما به طور روزانه از خود نشان می‌دهیم، همانند نگاه کردن، می‌تواند منحصربه‌فرد باشد. ابزارهای بیومتریک رفتاری به‌منظور بهره‌برداری از این ویژگی ساخته شده‌‌اند و در حال توسعه هستند. برنامه‌های احراز هویت و شناسایی در حال تحول هستند و بر اساس معیارهایی همچون راه رفتن، حرکات دست، عباراتی که یک فرد در صحبت‌های خود از آن‌ها استفاده می‌کند و سایر خصلت‌های فردی عمل می‌کنند. تحقیقی که در دانشگاه Lulea سوئد انجام شده و از سال 2006 تا به امروز ادامه داشته است، درباره فناوری‌‌ای است که در حال حاضر با عنوان BehavioSec از آن یاد می‌شود. این فناوری‌ به‌منظور تجزیه‌وتحلیل رفتارهای یک فرد در تعامل با محتوای وب و زمانی که کاربر از دستگاه‌‌های همراه استفاده می‌کند، ایجاد شده است. ساختار این فناوری بر پایه این است که کاربر در مدت‌زمان تایپ یک متن چگونه کلیدها را فشار می‌دهد و آن‌ها را رها می‌کند.

فناوری BehavioAion این دانشگاه سوئدی، می‌تواند با برنامه‌های موبایل و سیستم‌عامل‌ها ادغام شود و بازخوردی فوری درباره کاربر ارائه کند. همراه با داده‌های مکانی GPS، شتاب‌سنج‌ها و ژیروسکوپ‌های نصب‌شده در یک گوشی هوشمند، احراز هویت افراد نه تنها می‌تواند به شکلی نامرئی انجام شود، بلکه این ظرفیت را دارد تا به صورت آنی یا در اصطلاح رایج در هوا، انجام شود.
این فناوری به‌تازگی بازبینی شده است تا به شکلی کاربردی در ساعت‌های هوشمند استفاده شود؛ به‌طوری که در عمل تفاوت محسوسی با لمس یک دکمه فیزیکی یا فشار دکمه‌ای روی صفحه خواهد داشت.

تمامی این پیشرفت‌ها نوآورانه و هیجان‌انگیز هستند، با این حال برخی مسائل ممکن است سد بزرگی بر سر راه استفاده گسترده از فناوری‌های بیومتریک به وجود آورند. مهم‌ترین مسئله‌ای که در این باره وجود دارد، به امنیت و حریم خصوصی مربوط می‌شود. در معرض تهدید قرار گرفتن یا به سرقت رفتن گذرواژه‌ها، کلید‌های رمزنگاری یا کارت‌های هوشمند، ممکن است برای بسیاری از افراد یک بحران موقتی به شمار رود و بازه زمانی کوتاهی بر فعالیت‌های روزمره آن‌ها سایه بگسترانند. اما برای تمام این مشکلات حداقل یک جایگزین وجود دارد. اگر یک هکر بتواند به داده‌های بیومتریک افراد دست پیدا کند، به‌سختی می‌تواند برای گوش یا عنبیه چشم انسان جایگزینی بیابد! در حال حاضر، بانک‌های اطلاعاتی بیومتریک به اندازه کافی محافظت نمی‌شوند تا اطمینان دهند این اتفاق رخ نخواهد داد. نزدیک به یک دهه پیش، پروفسور تسوتومو ماتسوموتو، متخصص امنیت اطلاعات در دانشگاه ملی یوکوهاما، موفق شد اثر انگشت متعلق به یک فرد را با استفاده از ژلاتین هک کند و اسکنر اثر انگشت بیومتریک را فریب دهد. نزدیک به یک سال پیش، هکری موفق شد به دفتر مدیریت پرسنل ایالات متحده نفوذ کند و اطلاعات مربوط به اثر انگشت نزدیک به 5.6 میلیون نفر را به سرقت ببرد.

مکانیزم‌های بیومتریک به روش‌های سنتی در زمینه ایمن‌سازی داده‌ها و دارایی‌ها ارجحیت دارند و می‌توانند مشکلات رایجی را که فناوری‌هایی همچون گذرواژه‌ها، کارت‌های هوشمند و کلیدها با آن روبه‌رو بودند، برای همیشه از میان بردارند.

با وجود این، نگرانی‌ها درباره فناوری‌های بیومتریک تنها به مواردی که به آن‌ها اشاره کردیم، محدود نمی‌شود. مسئله مهم دیگری که وجود دارد، این است که چه کسی به بانک اطلاعاتی داده‌های بیومتریک افراد دسترسی خواهد داشت؟ این اطلاعات چگونه قرار است به دست آیند؟ سامانه تشخیص چهره DeepFace که فیسبوک از آن استفاده می‌کند، نمونه جالب توجهی در این زمینه به شمار می‌رود. فیسبوک میزبان بیش از 350 میلیون عکسی است که به طور روزانه برای این رسانه اجتماعی ارسال می‌شوند.

این روند روزافزون ورود تصاویر به فیسبوک، باعث شد تا آزمایشگاه تحقیقاتی این شرکت پیشنهاد کند با توجه به آنکه این شرکت بزرگ‌ترین بانک اطلاعاتی مربوط به چهره افراد را در اختیار دارد، از سامانه تشخیص چهره یادگیری عمیق فیسبوک موسوم به DeepFace استفاده کند. با وجود این، فیسبوک توافق‌نامه‌ای دارد که اعلام می‌کند این الگوریتم با رضایت مثبت کاربران می‌تواند تنظیمات حریم خصوصی را که کاربران اعمال کرده‌اند، نادیده بگیرد. ممکن است بیشتر کاربران از این موضوع اطلاعی نداشته باشند.

کدهای جمع‌آوری اطلاعات بیومتریک به یک استاندارد جامع نیاز دارند
امروزه مجموعه داده‌های بیومتریک در قالب یک فرایند خودتنظیمی جمع‌آوری می‌شوند. همین موضوع باعث شده است تا سازمان‌ها و شرکت‌های فعال در حوزه کسب‌وکار بر مبنای سیاست‌های داخلی خود این اطلاعات را جمع‌آوری کرده و از آن‌ها استفاده کنند. این موضوع به وضوح نشان می‌دهد نیازمند چهارچوبی در این زمینه هستیم. به دلیل اینکه اطمینان حاصل کنیم نه فقط امنیت ملی یا سازمانی، بلکه حریم خصوصی افراد حتی در خیابان‌ها نیز حفظ می‌شود. آن‌چنان که فناوری‌های بیومتریک و برنامه‌های کاربردی در حال تکامل هستند، به نظر می‌رسد تهیه پیش‌نویسی در خصوص استانداردهای جامع و سازگار حاکمیتی در آینده، به چالش مهمی در این زمینه تبدیل  خواهد شد.

منبع: شبکه