ICO wiki - User contributions [en]

Biomeetrilise autentimise võlu ja valu

2022-03-20T19:08:32Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumatest autentimismeetoditest ==

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Paroolide murdmise tööriistad. <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetrilised autentimisviisid ja nende nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise Pythonis kerge vaevaga kirjutada. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

'''Vähemlevinud füüsilise biomeetria autentimismeetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Biomeetria üldised probleemid ==

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Seetõttu on ülimalt oluline, et biomeetriliste andmete kasutamine ja säilitamine oleks väga karmilt seadustega reguleeritud. Ameerikas on olemas ka eraldi seadus selle kohta, mis algses versioonis võeti vastu 2008 aastal Biometric Information Privacy Act (BIPA). Seadus kohustab informeerima inimest, kui tema biomeetrilisi andmeid kogutakse, samuti kogumise eesmärgist. <ref>Past, Present and Future: What's Happening with Illinois' and Other Biometric Privacy Laws https://www.natlawreview.com/article/past-present-and-future-what-s-happening-illinois-and-other-biometric-privacy-laws</ref> Näiteks lekkisid 2019-ndal aastal 28 miljoni inimese biomeetrilised andmed, mille hulgas olid ja sõrmejäljed ja näotuvastus. <ref>Biometric data breach: Database exposes fingerprints and facial recognition data of 1 million people https://us.norton.com/internetsecurity-emerging-threats-biometric-data-breach-database-exposes-fingerprints-and-facial-recognition-data.html</ref> Selliste lekete välistamiseks soovitatakse biomeetrilisi andmeid võimalikult vähestes kohtades kasutada ning võimalusel asendada biomeetriline autentimine muude variantidega. Kui asendamine pole võimalik, siis tasub kindlasti uurida kui turvaliselt saadud andmeid hoitakse ja milline on andmete säilitamise aeg.

Võrreldes teiste autentimismeetoditega on hind üks faktor, mis takistab biomeetriliste autentimismeetodite kasutuselevõttu laialdasemalt. Biomeetriliseks autentimiseks vajaminev riistvara maksab päris palju ning riistvara on vaja iga tööjaama juurde, kus seda kasutatakse.<ref>Biometric Authentication - an overview https://www.sciencedirect.com/topics/computer-science/biometric-authentication</ref> 2018 aastal Spiceworksi poolt läbi viidud küsitluse järgi arvas 67% küsitletud IT professionaalidest, et hind on suurim probleem. Kuigi üle poole vastanutest arvas, et biomeetriline autentimine on turvalisem kui tavaline kasutajanime/parooli kombinatsioon, ainult 23% arvas, et lähima 2-3 aasta jooksul vahetab biomeetriline autentimine kasutajanime/parooli välja. <ref>More Organizations Are Adopting Biometrics for Security—But Barriers Still Remain https://businessinsights.bitdefender.com/more-organizations-are-adopting-biometrics-for-security-but-barriers-still-remain</ref> Kuna küsitlus tehti aastal 2018, siis võime praeguseks öelda, et seda väljavahetamist pole tõesti siiamaani laialdaselt toimunud ning kasutajanimi/parool on ikka veel levinuim meetod autentimiseks.

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

Aastal 2015 näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==

Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Viited ==

Biomeetrilise autentimise võlu ja valu

2022-03-20T18:59:18Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumatest autentimismeetoditest ==

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetrilised autentimisviisid ja nende nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise Pythonis kerge vaevaga kirjutada. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

'''Vähemlevinud füüsilise biomeetria autentimismeetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Biomeetria üldised probleemid ==

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Seetõttu on ülimalt oluline, et biomeetriliste andmete kasutamine ja säilitamine oleks väga karmilt seadustega reguleeritud. Ameerikas on olemas ka eraldi seadus selle kohta, mis algses versioonis võeti vastu 2008 aastal Biometric Information Privacy Act (BIPA). Seadus kohustab informeerima inimest, kui tema biomeetrilisi andmeid kogutakse, samuti kogumise eesmärgist. <ref>Past, Present and Future: What's Happening with Illinois' and Other Biometric Privacy Laws https://www.natlawreview.com/article/past-present-and-future-what-s-happening-illinois-and-other-biometric-privacy-laws</ref> Näiteks lekkisid 2019-ndal aastal 28 miljoni inimese biomeetrilised andmed, mille hulgas olid ja sõrmejäljed ja näotuvastus. <ref>Biometric data breach: Database exposes fingerprints and facial recognition data of 1 million people https://us.norton.com/internetsecurity-emerging-threats-biometric-data-breach-database-exposes-fingerprints-and-facial-recognition-data.html</ref> Selliste lekete välistamiseks soovitatakse biomeetrilisi andmeid võimalikult vähestes kohtades kasutada ning võimalusel asendada biomeetriline autentimine muude variantidega. Kui asendamine pole võimalik, siis tasub kindlasti uurida kui turvaliselt saadud andmeid hoitakse ja milline on andmete säilitamise aeg.

Võrreldes teiste autentimismeetoditega on hind üks faktor, mis takistab biomeetriliste autentimismeetodite kasutuselevõttu laialdasemalt. Biomeetriliseks autentimiseks vajaminev riistvara maksab päris palju ning riistvara on vaja iga tööjaama juurde, kus seda kasutatakse.<ref>Biometric Authentication - an overview https://www.sciencedirect.com/topics/computer-science/biometric-authentication</ref> 2018 aastal Spiceworksi poolt läbi viidud küsitluse järgi arvas 67% küsitletud IT professionaalidest, et hind on suurim probleem. Kuigi üle poole vastanutest arvas, et biomeetriline autentimine on turvalisem kui tavaline kasutajanime/parooli kombinatsioon, ainult 23% arvas, et lähima 2-3 aasta jooksul vahetab biomeetriline autentimine kasutajanime/parooli välja. <ref>More Organizations Are Adopting Biometrics for Security—But Barriers Still Remain https://businessinsights.bitdefender.com/more-organizations-are-adopting-biometrics-for-security-but-barriers-still-remain</ref> Kuna küsitlus tehti aastal 2018, siis võime praeguseks öelda, et seda väljavahetamist pole tõesti siiamaani laialdaselt toimunud ning kasutajanimi/parool on ikka veel levinuim meetod autentimiseks.

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

Aastal 2015 näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==

Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Viited ==

ITSPEA wiki-kirjatööde leht

2022-03-20T18:48:55Z

Rikald:

[[IT_eetilised,_sotsiaalsed_ja_professionaalsed_aspektid|Tagasi ITSPEA lehele]] | [[e-ITSPEA | Tagasi e-ITSPEA lehele]]

See wiki-leht on mõeldud neile, kes tahavad enda [http://akadeemia.kakupesa.net/ITSPEA ITSPEA] või [[e-ITSPEA]] kirjatööd wiki kujul esitada.

== Individuaalsed kirjatööd ==

=== sügis 2012 ===
* [https://wiki.itcollege.ee/index.php/Olavi_Koplik_-_Internet_kui_kultuurin%C3%A4htus Olavi Koplik]

=== sügis 2013 ===
* [https://wiki.itcollege.ee/index.php/Magnus_Kokk_-_L%C3%BChike_%C3%BClevaade_GNU/Linux_t%C3%B6%C3%B6lauakeskkondadest Magnus Kokk - Lühike ülevaade GNU/Linux töölauakeskkondadest]

=== sügis 2015 ===
* [https://wiki.itcollege.ee/index.php/Arti_Zirk_-_Mina_ja_Linux Arti Zirk - Mina ja Linux]
* [https://wiki.itcollege.ee/index.php/Arti_Zirk_-_Syncly_MusicSync Arti Zirk - Syncly MusicSync]

== Rühmatööd ==

=== kevad 2017 ===
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Kr%C3%BCptoraha_roll_tuleviku%C3%BChiskonnas I026 - IT eetilised, sotsiaalsed, professionaalsed aspektid - Krüptoraha roll tulevikühiskonnas - Taivo Liik, Dmitry Lukas, Kersti Perandi, Gert Vesterberg]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Makses%C3%BCsteemide_areng_-_kas_teekond_sularahavaba_%C3%BChiskonna_poole%3F "Maksesüsteemide areng - kas teekond sularahavaba ühiskonna poole?" - Jüri Ahhundov, Erik Ehrbach, Marko Mõznikov, Egert Närep]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_IT_valdkonna_kujutamine_kaasaja_filmikunstis "IT valdkonna kujutamine kaasaja filmikunstis" - Anna Amelkina, Kadi Koppelmann, Maie Palmeos, Marie Udam, Marilyn Võsu]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Privaatsus_internetis_kas_v%C3%B5imatu_missioon#Privaatsuse_saavutamise_t.C3.B6.C3.B6riistad"Privaatsus internetis - kas võimatu missioon?" - Aleksandra Sepp, Merike Meizner, Alvar Suun, Jaak Vaher, Andres Tambek]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Nutiseadmete_mõju_algkooliealiste_laste_arengule_"Nutiseadmete mõju algkooliealiste laste arengule" - Anni-Bessie Kitt, Jaan Koolmeister, Jan Pentshuk, Andreas Porman, Pille Ulmas]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Industry_4.0_"Industry 4.0" - Autorid: Meelis Osi, Liis Talimaa, Sander Pihelgas, Aare Taveter]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Tarkvara_tagauksed "Tarkvara tagauksed - poolt ja vastu"- Autorid: Katrin Lasberg, Marko Esna, Maile Mäesalu, Kristiina Keelmann, Madis Tammekänd]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_IT_ja_terrorism "IT ja terrorism" - Madli Mirme, Joonas Rihma, Peeter Stamberg, Ave-Liis Saluveer]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Tarkvara_arendajate_töökoha_vahetamise_põhjused "Tarkvara arendajate töökoha vahetamise põhjused" - Andrei Pugatšov, Anton Meženin, Jekaterina Losseva, Artur Kapranov, Konstantin Dmitrijev]
* [https://wiki.itcollege.ee/index.php/User_talk:Dtsurjum "Elektrooniline raha, olevik ja tulevik.”] - ''Dmitri Tšurjumov, Mark Selezenev, Igor Budnitski, Leonid Grigorjevski, Jakov Kanyuchka''
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Ärimudelid_muutuvas_tehnomaailmas_"Ärimudelid muutuvas tehnomaailmas" - Henri Paves, Madis Võrklaev, Rudolf Purge, Ruudi Vinter]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_X-tee_-_kodanik_kohtub_riigiga "X-tee - kodanik kohtub riigiga" - Egert Loss, Tanel Peep, Priit Rätsep, Annely Vattis, Allar Vendla ]
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_E-riik_-_ohud_ja_kasu_inimeste_jaoks "E-riik - ohud ja kasu inimeste jaoks" - Filip Fjodorov, Dmitri Kiriljuk, Jevgeni Jurtšenko, Pavel Abin, Boris Brokan ]
* [https://wiki.itcollege.ee/index.php/IT_-_haridus_ja_-_haritus "IT - haridus ja - haritus"] - ''Radne Kaal, Kreet Solnask, Laura Lenbaum, Jooni Soots''
* [["Robootika, AI ja eetika"]] - Kädi-Kristlin Miggur, Siim Kustassoo, Teele Puusepp, Kristel Tali
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Arvutikriminalistika "Arvutikriminalistika"] - Mari-Liis Oldja, Margit Kangur, Reilika Saks, Gregor Luukas
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_Turundusest_Facebooki_n%C3%A4itel "Turundusest Facebooki näitel"] - Liis Talsi, Jana Kindlam, Tanel Vari
* [https://wiki.itcollege.ee/index.php/I026_-_Kevad_2017_-_IT_ettev%C3%B5tete_%C3%B5igused_ja_kohustused_isikuandmete_t%C3%B6%C3%B6tlemisel "IT ettevõtete õigused ja kohustused isikuandmete töötlemisel"] - I026 - Kevad 2017 - IT ettevõtete õigused ja kohustused isikuandmete töötlemisel - Annika Pajupuu, Juta Jaama, Ilmar Ermus, Jüri Vinnal, Martti-Heiki Must

=== sügis 2017 ===
* [[Eesti e-teenused: õnnestumised ja õnnetused]] - Eduard Pajumägi, Joonas Jõpiselg, Tõnis Kundla, Valeria Müürsepp, Heiki Tähis
* [[Kas me kõik liigume digitaalse nomaadluse poole?]] - Allan Allmere, Veiko Aunapuu, Kristi Jõgeva, Maarja Mahlapuu, Ane Võlma
* [[Facebooki kahjulik mõju inimesele]] - Annika Avingu, Mariana Lepassar, Helena Loitmaa
* [[Igapäeva liiklemist lihtsustavad mobiilirakendused Eesti näitel]] - Polina Dvinskihh, Xenia Kinževskaja, Marco Sepp, Andres Kõiv
* [[Võrgurobotid ja nende kasutusalad]] - Triin Mõlder, Kristin Kivimäe, Evi Abel, Kadri Tamme
* [[Elektrooniline järelevalve ühiskonnas]] - Laura Närska, Alan Laaneväli, Lauri Laks, Rauno Kaldmaa
* [["Avalik või privaatne pilveteenus?"]] - Kalev Kilumets, Kalev Kask, Tarmo Leemet
* [[Targa maja värkvõrk]] - Margit Aus, Lii Looga, Tuuli Soodla-Tikkerbär, Tanel Tsirgu
* [[GDPR ehk isikuandmete kaitse üldmäärus - andmekäitluse kultuuri muutus]] - Rainer Renn, Julia Ront
* [[Identiteet internetis]] - Hedi Dorožkin, Johanna Kommer, Merike Lees, Liina Müür, Jürgen Saarniit
* [[Zero UI]] - Kärt Raidmaa, Reenika East, Teedu Pedaru
* [[Infotehnoloogia inimese elus - eksoskelett või vähkkasvaja?]] - Frank Tuuksam, Kert Kivaste, Martin Õunap
* [[Big Data ohud ja võimalused]] - Karin Ojamäe, Ivan Petrovski, Rutmar Silde
* [[Internet radikaliseerib]] - Siim Bobkov ja Marko Mandli

=== Kevad 2019 ===
* [[Isejuhtivad autod ning nendega seonduvad dilemmad]] - Krista Freimann, Priit Post, Aivar Mägi, Taaniel Sülla
* [http://strat-it-itspeak2019.wikidot.com/ Strateegilise infotehnoloogia areng kõrgharidusasutustes 2020. aasta näitel]. Autorid: Jevgeni Družkov, Anton Sauh, Stanislav Grebennik, Kirill Kostev.
* [http://tehisintellektfilmides.wikidot.com/blog:_start/ Tehisintellekt filmides]. Autorid: Mikk Villem, Helena Laur, Mihkel Lilienthal Marianne Pisukov.
* [[Andmekaitsest ja selle olulisusest]] - Taavet Tamm, Rommi Parman, Helin Kuuskla, Kristo Laasik, Renata Muru
* [[Tänapäeva trendid IT arendusmetoodikates ja -protsessides]] - Edvin Ojamets, Indrek Haavik, Lauris Heinsalu, Rene Berkmann
* [[The Impact of Information Technology in the workforce]] - Kaupo Lepasepp, Jevgeni Vassiljev, Viktoria Vessener, Jekaterina Metsavas
* [[Arvutimängude mõju inimese vaimsele ja füüsilisele heaolule]] - Holger Roosioja, Renar Tupits, Siim Idla, Jevgeni Tsupov
* [[Aju-arvuti liides (BCI)]] - Liisa, Agu, Kristjan

=== Kevad 2020 ===
* [[Eetiliseks tehisintellektiks valmisoleku kujundamine]] - Kristo Kleemann, Kristel Rillo, Lilian Tomingas-Frolov, August Vinter
* [[Isesõitvate sõidukite otsustusprotsessid liiklus- ja ohuolukordades ning sellega seotud eetilised aspektid. ]] - Lennart Viikmaa, Andre Liima, Andreas Post, Aleksandra Rüüberg, Tanel Rootsma
* [[Biomeetrial põhineva isikutuvastuse tulevik]] - Allan Bernard, Ave Karjus, Angelika Kärber, Liis Kohal, Rauno Ellermaa
* [[Teema pealkiri ehitamisel (peateema: versioonihalduskeskkonnad)]] - Karoliina Rebane, Annika Raie, Sven Petrov, Ivo Mäeoja, Tauno Rämson
* [[Väledad tarkvaraarenduse mudelid]] - Magnus Teekivi, Mirjam Pajumägi, Mihkel Männa
* [[ITurvalisus läbi videoanalüütika]] - Argo Sieger, Ahti Paloson, Ott Kossar, Rainis Mäemees
* [[Totalitaarsete režiimide hirmud ehk Interneti tsensuur Hiina ja Venemaa näitel]] - Raul Erdel, Katre Vahtre, Hendrik Park, Mathias Nöps
* [[Suunamudijate mõju noortele]] - Alvar Jõekaar, Helene Abel, Kristiina Sojunen, Maris Vaino

=== Sügis 2020 ===

* [[Sissejuhatus ID-kaardi baastarkvara avatud lähtekoodiga arendusele]] - Raul Metsma
* [[Interneti kasutaja anonüümse tuvastuse meetodite kasutamine kaubanduslikel eesmärkidel]] - Gleb Engalychev, Artjom Ljuboženko, Paavel Makarenko, Ilja Vasilenko, Nikita Brjakilev
* [[COVID-19 mõju töökultuurile]] - Marko Lindeberg, Tanel Saar, Martin Vool, Margus Laanem
* [[Mis on tehisintellekt?]] - Grete-Liis Paavo, Sigrid Pihel, Kelly Roosilill, Siim Lukas Simmo, Jörgen Jõgiste
*[[Infoühiskonna teenuse ja meediateenuse ebaseaduslik vastuvõtmine]] - Kristiina Melissa Jõeäär, Jan Erik Alliksaar, Kaspar Ojasalu
* [[ICO wiki:IDE keskkonna kasutatavus ja kasutuskogemus]] - Roman Malõsev, Egor Mikhaylov, Grigori Senkiv
* [[Turunduspsühholoogia sotsiaalmeedias]] - Julia Ruzu, Saskia Rohtla, Denis Kusherekin, Kristjan Mänd
* [[Digikultuuri säilitamine]] - Mihkel Koks, Karl-Kevin Köörna, Gregor Kaljulaid, Maria Kaasik-Aaslav
* [[Sotsiaalmeedia meie ümber ja selle negatiivne mõju noortele]] - Carina Ruut, Carmen Unt, Hanna-Kristella Lehtsaar, Edvin Põiklik, Robin Väli
* [[Isesõitvad autod ei tuvasta(nud) musta nahavärviga inimesi]] - Rainer Aas, Ergas-Ever Kask, Kaia Kivend, Talis Petersell
* [[Närvivõrgud ja programmeerimine]] - Rodion Lehmus, Aleksander Ozerov, Eric Rodionov, Konstantin Donets, Vadim Zolotarenko
* [[Programmatic ehk Algoritmiline reklaamiost]] - Viktoria Mihhailova, Alec Bennoune, Aleksei Krassilnikov
* [[Alternatiivsed võimalused IT alase hariduse omandamiseks]] - Merilin Veeber, Saara Denisov, Susanna Abner
* [[Andmepüügi liigid ja võtted]] - Anastasia Gavrilova, Ekaterina Afanasjeva, Maria Harkina, Alisa Tarassova
* [[Tumeveeb]] - Steven Teras, Paul Siht, Sebastian Magagni, Marko Paumere, Cer-Lyn Luhasaar
* [[Suur Vend ja (pahade) asjade internet]] - Ragnar Kramm, Ragnar Leon Sonny Kaarneem, Kristjan Paloots, Taavi Tikkerber
* [[E-spordi olemus, trendid ja tuleviku väljavaated]] - Rasmus Vahelaan, Karl Markus Kõivastik, Joonas Kaal, Magnar Markvart
* [[Šifreerimismasinad]] - Mait Uusmäe, Hans Kristian Laur, Kerli Raudsepp, Anne-Mai Agukas
* [[Arvutimängude areng ja mõju]] - Laada Tereštšenkova, Artjom Strelkov, Aleksandr Jefimov, Jan Solovjov, Aleks Moppel
* [[Piraatlus ja striiminguteenused]] - Aimar Tuul, Andri Suga, Karl-Steven Valdmaa, Kristi Rikma
* [[Internetiprivaatsusega seotud põhiprobleemid ühiskonnas]] - Regina Novikova, Renee Balent, Jan Ulrich Sütt, Kevin Mihkelson

=== Kevad 2021 ===

* [[Tehnoloogia kehakultuuris]] - Jass Murutalu, Rasmus Maipuu, Kristo Palo, Anneli Vorms, Sten-Markus Ratnik
* [[InfoTehnoloogia Suundumised, Potentsiaal ja Eripära Aafrikas]] - Andi Angel, Jens-Kristjan Liivand, Ats Raigla, Lauri Simulman
* [[Andmed on uus euro: andmete kogumine ja kasutamine tänapäeva ühiskonnas]] - Kristi Reispass, Keiti Hiiemäe-Ild, Keijo Raamat, Henri Keerutaja, Ranet Mikko
* [[Mänguelementide eetiline kasutus lastele suunatud tarkvaras]] - Margot Saare, Maris Salk, Ragnar Rääsk
* [[Nutilinn (Smart city) ja asjade internet (IoT)]] - Stanislav Matšel, Kirill Janson, Katrin Kornfeldt, Kristjan Lund

=== Sügis 2021 ===

* [https://wiki.itcollege.ee/index.php/Miks_kardetakse_tehisintellekti%3F Miks kardetakse tehisintellekti?] - Marjam Nesterova, Kaisa Liiv, Katre Siller, Timur Habibulin, Kristina Aprelkova
* [https://wiki.itcollege.ee/index.php/Autonoomsed_s%C3%B5idukid_abiks_erivajadustega_inimestele Autonoomsed sõidukid abiks erivajadustega inimestele] - Joosep Mart Männik, Roma Imran Tariq, Danyil Kurbatov, Ahto Jalak, Svetlana Suhhorukova
* [https://wiki.itcollege.ee/index.php/Masinn%C3%A4gemine_ja_selle_rakendamine_kaasaegses_maailmas Masinnägemine ja selle rakendamine kaasaegses maailmas] - Dmitri Sobolev, Leonid Peskov, Pavel Petrov
* [https://wiki.itcollege.ee/index.php/Tumeveebi_n%C3%B5utuimad_tooted_ja_teenused Tumeveebi nõutuimad tooted ja teenused] - Vitali Logvin, Roman Mihhejev, Sergei Razguljajev, Anneli Väli
* [https://wiki.itcollege.ee/index.php/Levinumad_operatsioonis%C3%BCsteemid_ja_nende_asutajad Levinumad operatsioonisüsteemid ja nende asutajad] - Gleb Poljakov, Roman Vilu, Romet Reino, Erik M
* [[Infojagamise ohud sotsiaalmeedias]] - Maido Paalmäe, Triinu Pärnapuu, Rasmus Pidim, Karl Rikkonen
* [https://wiki.itcollege.ee/index.php/Arvutimängude_litsentsirikkumised_tänapäeval Arvutimängude litsentsirikkumised tänapäeval] - Arne Antov, Roland Kastein, Erik Johannes Keldrima, Andree Uuetoa
* [[Neuralink ja ühiskond]] - Hendrik Kuhi, Ronald-Reigor Lehtsaar, Nikita Kašnikov, Ingmar Markus
* [[Androidi tekkimine ja areng]] - Aleksandr Borovkov, Kristina Kavelitš, Daniel Geller, Alen Siilivask
* [https://wiki.itcollege.ee/index.php/Iot_omadused_ja_kasutusalad IoT omadused ja kasutusalad] - Ats Kiisa, Marek Ott
* [https://wiki.itcollege.ee/index.php/Biomeetrilise_andmet%C3%B6%C3%B6tluse_head_ja_vead. Biomeetrilise andmetöötluse vead ja head.]Jevgenia Dõmša, Laura Reins
* [https://wiki.itcollege.ee/index.php/IT_ilmumine_ja_areng_Eestis IT: ilmumine ja areng Eestis] Artjom Stepanov, Ariana Leštšuk
* [https://wiki.itcollege.ee/index.php/Deep_Blue Deeb Blue] Markus Johan Aug, Kati Lõhmus, Getter Saar
* [[Infotehnoloogilise ühiskonna apokalüpsis? - Ülemaailmne elektrikatkestus]]Triinu-Liis Vaikma, Alice Buht, Grete Eerikson, Mari-Liis Gabrel.
* [https://wiki.itcollege.ee/index.php/IT_m%C3%B5ju_spordile IT mõju spordile] Mathias Ranna, Karl Stefan Lill, Stenver Savi.
* [https://wiki.itcollege.ee/index.php/User_talk:Deleva: Krüptoraha] Deniz Levasjov, Renat Aparin, Kirill Mosegov.
* [https://wiki.itcollege.ee/index.php/Esoteerilised_programmeerimiskeeled Esoteerilised programmeerimiskeeled] Dariana Aav, Gen Lee, Mikkel Paat, Taeri Saar
* [https://wiki.itcollege.ee/index.php/Õuna_revolutsioon_-_Newtonist_Jobsini Õuna revolutsioon - Newtonist Jobsini] Darja Obuhhova, Diana Labunets, Robert Unt, Jegor Borissov, Valeri Tšernov
* [https://wiki.itcollege.ee/index.php/Võrgusuhtluse_ajalugu,_olevik_ja_tulevik Võrgusuhtluse ajalugu, olevik ja tulevik] Anet Mitt, Tanel Loigom, Andžei Veidenbaum, Maria Bljahhina, Reio Opromei
* [https://wiki.itcollege.ee/index.php/Tehnoloogilised_lahendused_t%C3%B6%C3%B6turul_ja_%C3%B5ppeasutuses Tehnoloogilised lahendused tööturul ja õppeasutuses] Kätlin Rajamäe, Steven Salmistu, Talis Paas, Karol-Ari Krimses, Daniel Vasser
* [https://wiki.itcollege.ee/index.php/L%C3%A4bi_tehnoloogia_%C3%BCliinimeseks Läbi tehnoloogia üliinimeseks?] Fred Kaur, Madrid Babajev, Aleksandra Vassilissa Garkuša, Kirill Seredjuk, Edgar Vildt

=== Kevad 2022 ===

* [https://wiki.itcollege.ee/index.php/K%C3%BCberturvaja_t%C3%B6%C3%B6vahendid Küberturvaja töövahendid] - Jake Rahu, Triinu Viikholm, Hell Kais, Siim Hendrik Rääk, Rene Ämarik
* [https://wiki.itcollege.ee/index.php/Biomeetrilise_autentimise_v%C3%B5lu_ja_valu Biomeetrilise autentimise võlu ja valu] - Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda
* ...

[[Category:ITSPEA]]
[[IT_eetilised,_sotsiaalsed_ja_professionaalsed_aspektid|Tagasi ITSPEA lehele]] | [[e-ITSPEA | Tagasi e-ITSPEA lehele]]

Biomeetrilise autentimise võlu ja valu

2022-03-20T18:43:41Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumatest autentimismeetoditest ==

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetrilised autentimisviisid ja nende nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise Pythonis kerge vaevaga kirjutada. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

'''Vähemlevinud füüsilise biomeetria autentimismeetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Biomeetria üldised probleemid ==

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Seetõttu on ülimalt oluline, et biomeetriliste andmete kasutamine ja säilitamine oleks väga karmilt seadustega reguleeritud. Ameerikas on olemas ka eraldi seadus selle kohta, mis algses versioonis võeti vastu 2008 aastal Biometric Information Privacy Act (BIPA). Seadus kohustab informeerima inimest, kui tema biomeetrilisi andmeid kogutakse, samuti kogumise eesmärgist. <ref>Past, Present and Future: What's Happening with Illinois' and Other Biometric Privacy Laws https://www.natlawreview.com/article/past-present-and-future-what-s-happening-illinois-and-other-biometric-privacy-laws</ref> Näiteks lekkisid 2019-ndal aastal 28 miljoni inimese biomeetrilised andmed, mille hulgas olid ja sõrmejäljed ja näotuvastus. <ref>Biometric data breach: Database exposes fingerprints and facial recognition data of 1 million people https://us.norton.com/internetsecurity-emerging-threats-biometric-data-breach-database-exposes-fingerprints-and-facial-recognition-data.html</ref> Selliste lekete välistamiseks soovitatakse biomeetrilisi andmeid võimalikult vähestes kohtades kasutada ning võimalusel asendada biomeetriline autentimine muude variantidega. Kui asendamine pole võimalik, siis tasub kindlasti uurida kui turvaliselt saadud andmeid hoitakse ja milline on andmete säilitamise aeg.

Võrreldes teiste autentimismeetoditega on hind üks faktor, mis takistab biomeetriliste autentimismeetodite kasutuselevõttu laialdasemalt. Biomeetriliseks autentimiseks vajaminev riistvara maksab päris palju ning riistvara on vaja iga tööjaama juurde, kus seda kasutatakse.<ref>Biometric Authentication - an overview https://www.sciencedirect.com/topics/computer-science/biometric-authentication</ref> 2018 aastal Spiceworksi poolt läbi viidud küsitluse järgi arvas 67% küsitletud IT professionaalidest, et hind on suurim probleem. Kuigi üle poole vastanutest arvas, et biomeetriline autentimine on turvalisem kui tavaline kasutajanime/parooli kombinatsioon, ainult 23% arvas, et lähima 2-3 aasta jooksul vahetab biomeetriline autentimine kasutajanime/parooli välja. <ref>More Organizations Are Adopting Biometrics for Security—But Barriers Still Remain https://businessinsights.bitdefender.com/more-organizations-are-adopting-biometrics-for-security-but-barriers-still-remain</ref> Kuna küsitlus tehti aastal 2018, siis võime praeguseks öelda, et seda väljavahetamist pole tõesti siiamaani laialdaselt toimunud ning kasutajanimi/parool on ikka veel levinuim meetod autentimiseks.

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

Aastal 2015 näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==

Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Viited ==

Biomeetrilise autentimise võlu ja valu

2022-03-20T18:33:50Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumatest autentimismeetoditest ==

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

'''Biomeetria üldised probleemid'''

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Seetõttu on ülimalt oluline, et biomeetriliste andmete kasutamine ja säilitamine oleks väga karmilt seadustega reguleeritud. Ameerikas on olemas ka eraldi seadus selle kohta, mis algses versioonis võeti vastu 2008 aastal Biometric Information Privacy Act (BIPA). Seadus kohustab informeerima inimest, kui tema biomeetrilisi andmeid kogutakse, samuti kogumise eesmärgist. <ref>Past, Present and Future: What's Happening with Illinois' and Other Biometric Privacy Laws https://www.natlawreview.com/article/past-present-and-future-what-s-happening-illinois-and-other-biometric-privacy-laws</ref> Näiteks lekkisid 2019-ndal aastal 28 miljoni inimese biomeetrilised andmed, mille hulgas olid ja sõrmejäljed ja näotuvastus. <ref>Biometric data breach: Database exposes fingerprints and facial recognition data of 1 million people https://us.norton.com/internetsecurity-emerging-threats-biometric-data-breach-database-exposes-fingerprints-and-facial-recognition-data.html</ref> Selliste lekete välistamiseks soovitatakse biomeetrilisi andmeid võimalikult vähestes kohtades kasutada ning võimalusel asendada biomeetriline autentimine muude variantidega. Kui asendamine pole võimalik, siis tasub kindlasti uurida kui turvaliselt saadud andmeid hoitakse ja milline on andmete säilitamise aeg.

Võrreldes teiste autentimismeetoditega on hind üks faktor, mis takistab biomeetriliste autentimismeetodite kasutuselevõttu laialdasemalt. Biomeetriliseks autentimiseks vajaminev riistvara maksab päris palju ning riistvara on vaja iga tööjaama juurde, kus seda kasutatakse.<ref>Biometric Authentication - an overview https://www.sciencedirect.com/topics/computer-science/biometric-authentication</ref> 2018 aastal Spiceworksi poolt läbi viidud küsitluse järgi arvas 67% küsitletud IT professionaalidest, et hind on suurim probleem. Kuigi üle poole vastanutest arvas, et biomeetriline autentimine on turvalisem kui tavaline kasutajanime/parooli kombinatsioon, ainult 23% arvas, et lähima 2-3 aasta jooksul vahetab biomeetriline autentimine kasutajanime/parooli välja. <ref>More Organizations Are Adopting Biometrics for Security—But Barriers Still Remain https://businessinsights.bitdefender.com/more-organizations-are-adopting-biometrics-for-security-but-barriers-still-remain</ref> Kuna küsitlus tehti aastal 2018, siis võime praeguseks öelda, et seda väljavahetamist pole tõesti siiamaani laialdaselt toimunud ning kasutajanimi/parool on ikka veel levinuim meetod autentimiseks.

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

Aastal 2015 näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==

Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Viited ==

Biomeetrilise autentimise võlu ja valu

2022-03-20T18:29:49Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumatest autentimismeetoditest ==

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

'''Biomeetria üldised probleemid'''

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Seetõttu on ülimalt oluline, et biomeetriliste andmete kasutamine ja säilitamine oleks väga karmilt seadustega reguleeritud. Ameerikas on olemas ka eraldi seadus selle kohta, mis algses versioonis võeti vastu 2008 aastal Biometric Information Privacy Act (BIPA). Seadus kohustab informeerima inimest, kui tema biomeetrilisi andmeid kogutakse, samuti kogumise eesmärgist. <ref>Past, Present and Future: What's Happening with Illinois' and Other Biometric Privacy Laws https://www.natlawreview.com/article/past-present-and-future-what-s-happening-illinois-and-other-biometric-privacy-laws</ref> Näiteks lekkisid 2019-ndal aastal 28 miljoni inimese biomeetrilised andmed, mille hulgas olid ja sõrmejäljed ja näotuvastus. <ref>Biometric data breach: Database exposes fingerprints and facial recognition data of 1 million people https://us.norton.com/internetsecurity-emerging-threats-biometric-data-breach-database-exposes-fingerprints-and-facial-recognition-data.html</ref> Selliste lekete välistamiseks soovitatakse biomeetrilisi andmeid võimalikult vähestes kohtades kasutada ning võimalusel asendada biomeetriline autentimine muude variantidega. Kui asendamine pole võimalik, siis tasub kindlasti uurida kui turvaliselt saadud andmeid hoitakse ja milline on andmete säilitamise aeg.

Võrreldes tavaliste autentimismeetoditega(pole vist hea termin?) on hind üks faktor, mis takistab biomeetriliste autentimismeetodite kasutuselevõttu laialdasemalt. Biomeetriliseks autentimiseks vajaminev riistvara maksab päris palju ning riistvara on vaja iga tööjaama juurde, kus seda kasutatakse.<ref>Biometric Authentication - an overview https://www.sciencedirect.com/topics/computer-science/biometric-authentication</ref> 2018 aastal Spiceworksi poolt läbi viidud küsitluse järgi arvas 67% küsitletud IT professionaalidest, et hind on suurim probleem. Kuigi üle poole vastanutest arvas, et biomeetriline autentimine on turvalisem kui tavaline kasutajanime/parooli kombinatsioon, ainult 23% arvas, et lähima 2-3 aasta jooksul vahetab biomeetriline autentimine kasutajanime/parooli välja. <ref>More Organizations Are Adopting Biometrics for Security—But Barriers Still Remain https://businessinsights.bitdefender.com/more-organizations-are-adopting-biometrics-for-security-but-barriers-still-remain</ref> Kuna küsitlus tehti aastal 2018, siis võime praeguseks öelda, et seda väljavahetamist pole tõesti siiamaani laialdaselt toimunud ning kasutajanimi/parool on ikka veel levinuim meetod autentimiseks.

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

Aastal 2015 näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Viited ==

Biomeetrilise autentimise võlu ja valu

2022-03-20T18:21:33Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumatest autentimismeetoditest ==

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

'''Biomeetria üldised probleemid'''

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Seetõttu on ülimalt oluline, et biomeetriliste andmete kasutamine ja säilitamine oleks väga karmilt seadustega reguleeritud. Ameerikas on olemas ka eraldi seadus selle kohta, mis algses versioonis võeti vastu 2008 aastal Biometric Information Privacy Act (BIPA). Seadus kohustab informeerima inimest, kui tema biomeetrilisi andmeid kogutakse, samuti kogumise eesmärgist. https://www.natlawreview.com/article/past-present-and-future-what-s-happening-illinois-and-other-biometric-privacy-laws Näiteks lekkisid 2019-ndal aastal 28 miljoni inimese biomeetrilised andmed, mille hulgas olid ja sõrmejäljed ja näotuvastus. Biometric data breach: Database exposes fingerprints and facial recognition data of 1 million people | Norton Selliste lekete välistamiseks soovitatakse biomeetrilisi andmeid võimalikult vähestes kohtades kasutada ning võimalusel asendada biomeetriline autentimine muude variantidega. Kui asendamine pole võimalik, siis tasub kindlasti uurida kui turvaliselt saadud andmeid hoitakse ja milline on andmete säilitamise aeg.

Võrreldes tavaliste autentimismeetoditega(pole vist hea termin?) on hind üks faktor, mis takistab biomeetriliste autentimismeetodite kasutuselevõttu laialdasemalt. Biomeetriliseks autentimiseks vajaminev riistvara maksab päris palju ning riistvara on vaja iga tööjaama juurde, kus seda kasutatakse.Biometric Authentication - an overview | ScienceDirect Topics 2018 aastal Spiceworksi poolt läbi viidud küsitluse järgi arvas 67% küsitletud IT professionaalidest, et hind on suurim probleem. Kuigi üle poole vastanutest arvas, et biomeetriline autentimine on turvalisem kui tavaline kasutajanime/parooli kombinatsioon, ainult 23% arvas, et lähima 2-3 aasta jooksul vahetab biomeetriline autentimine kasutajanime/parooli välja. More Organizations Are Adopting Biometrics for Security—But Barriers Still Remain (bitdefender.com) Kuna küsitlus tehti aastal 2018, siis võime praeguseks öelda, et seda väljavahetamist pole tõesti siiamaani laialdaselt toimunud ning kasutajanimi/parool on ikka veel levinuim meetod autentimiseks.

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Viited ==

Biomeetrilise autentimise võlu ja valu

2022-03-20T18:15:52Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumatest autentimismeetoditest ==

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Viited ==

Biomeetrilise autentimise võlu ja valu

2022-03-18T16:26:55Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Isikutuvastusest üldiselt ==

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumatest autentimismeetoditest ==

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Viited ==

Biomeetrilise autentimise võlu ja valu

2022-03-18T16:02:34Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Isikutuvastusest üldiselt ==

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Levinumate autentimismeetodite nõrkused ==

Enne kui vaatame lähemalt biomeetriliste autentimisviiside nõrkuseid, uurime põgusalt seda, mis probleemid kaasnevad tavaliste levinud autentimismeetoditega.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-15T17:01:21Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>

== Isikutuvastusest üldiselt ==

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-15T08:05:54Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-15T06:29:39Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-14T20:49:58Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>

'''Õiguskaitse ja avalik julgeolek'''

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>

'''Sõjaline'''

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>

'''Kontroll piiridel'''

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

'''Riigi teenuste osutamisel'''

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

'''Tervishoid'''

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>

'''Ligipääsud'''

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-14T09:12:47Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PIN koode ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 miljardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-14T09:07:57Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PIN koode ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 miljardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T21:33:27Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PIN koode ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 miljardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T19:13:25Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PIN koode ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 miljardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T18:19:17Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Password Cracker Tools <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PIN-e ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T17:05:28Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T17:05:02Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves. Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:55:11Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Biomeetriliste autentimisviiside nõrkused ==

'''Sõrmejälgede võltsimine'''

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:53:30Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:52:14Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Keerdkurrustik.png]] || [[File:Silmuskurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:50:55Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Keerdkurrustik.png]] || [[File:Silmuskurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:48:52Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Keerdkurrustik.png]] || [[File:Silmuskurrustik.png]]
|- style="vertical-align: top;"
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:46:06Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Keerdkurrustik.png]] || [[File:Silmuskurrustik.png]]
|- style="vertical-align: top;"
| See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:34:27Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Keerdkurrustik.png]] || [[File:Silmuskurrustik.png]]
|-
| See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|}

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:32:39Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

{| class="wikitable"
|+ Sõrmejälgede tüübid <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>
|-
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Keerdkurrustik.png]] || [[File:Silmuskurrustik.png]]
|-
| See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris ehk vikerkest'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[[File:Rynne piltidega.png]]
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised:

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|} <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

File:Rynne piltidega.png

2022-03-13T16:31:25Z

Rikald:

File:Silmuskurrustik.png

2022-03-13T16:20:45Z

Rikald:

File:Keerdkurrustik.png

2022-03-13T16:20:31Z

Rikald:

File:Kaarkurrustik.png

2022-03-13T16:20:05Z

Rikald:

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:13:57Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

Kaarkurrustik.

See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud.

Silmuskurrustik.

Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud.

Keerdkurrustik.

Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud. <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>

'''Silmaiiris'''

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silma iirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis silmaiirise puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Piisas, kui vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks oli vaja inimesest ainult kõrge resolutsiooniga fotot. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

'''Näotuvastus'''

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

'''Vähemlevinud füüsilise biomeetria meetodid'''

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

'''Häältuvastus'''

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

'''Tuvastus teksti trükkimise abil'''

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised:

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|} <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:04:14Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

Kaarkurrustik.

See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud.

Silmuskurrustik.

Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud.

Keerdkurrustik.

Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud. <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.( https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands )

Silmaiiris

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silma iirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis silmaiirise puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Piisas, kui vähemalt 75% silmaiirisest oli nähtaval.
Seega iirisel põhineva isikutuvastuse võltsimiseks oli vaja inimesest ainult kõrge resolutsiooniga fotot. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

Näotuvastus

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika.

Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel.

3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga.

Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt.

Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel.

Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte.

Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid.

Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref>

Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal väidetavalt häkiti Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple väidetavalt parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte.

Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“.

Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Vähemlevinud füüsilise biomeetria meetodid

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

Häältuvastus

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

Tuvastus teksti trükkimise abil

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised:

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|} <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-13T16:02:56Z

Rikald:

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. <ref>What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication</ref>

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:
* Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
* Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
* Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) <ref> BIOMEETRIA JA BIOMEETRILISED
REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y </ref> ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. <ref> Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf </ref>

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil <ref>Biomeetria tõestab isiku ainulaadsust
https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>

[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
* 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
* 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
* 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
* 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. <ref>A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/</ref>

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.
# Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
# Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

Kaarkurrustik.

See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud.

Silmuskurrustik.

Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud.

Keerdkurrustik.

Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud. <ref>Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et</ref>

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.( https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands )

Silmaiiris

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silma iirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis silmaiirise puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Piisas, kui vähemalt 75% silmaiirisest oli nähtaval.
Seega iirisel põhineva isikutuvastuse võltsimiseks oli vaja inimesest ainult kõrge resolutsiooniga fotot. <ref>Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html</ref>

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.<ref>Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security</ref>

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. <ref>Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/</ref>

Näotuvastus

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika.

Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel.

3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga.

Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt.

Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel.

Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte.

Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid.

Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref>

Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus<ref>

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske <ref>Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication</ref>. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla <ref>Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery</ref>.

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal väidetavalt häkiti Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple väidetavalt parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.<ref>Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/</ref>

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte.

Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“.

Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
* Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
* Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
* Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Vähemlevinud füüsilise biomeetria meetodid

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>

== Käitumuslik biomeetria ==

Häältuvastus

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

Tuvastus teksti trükkimise abil

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. <ref>FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/</ref>

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.<ref>Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html </ref>

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised:

{| class="wikitable"
|-
| Silm
| 23,2%
|-
| Nägu
| 23,2%
|-
| Sõrm
| 15,9%
|-
| Peopesa
| 14,5%
|-
| Hääl
| 11,6%
|-
| DNA
| 7,2%
|-
| Elutegevus
| 4,3%
|} <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja <ref>HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186</ref>. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.

== Kokkuvõte ==
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.

== Kasutatud kirjandus ==

Biomeetrilise autentimise võlu ja valu

2022-03-12T20:18:08Z

Rikald:

== Biomeetrilise autentimise võlu ja valu ==

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

Biomeetrilise autentimise võlu ja valu

== Sissejuhatus ==

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena.

Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. <ref>Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted </ref>

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. ( What is Authentication? (techtarget.com))

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:

Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.

Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk

Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust . Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. (Two-factor authentication: What you need to know (FAQ) - CNET)

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key). (https://www.ssh.com/academy/ssh/public-key-authentication )

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. (https://sisu.ut.ee/autentimine/id-kaardiga-autentimine )

== Biomeetria ajalugu ==

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. https://biologydictionary.net/anthropometry/

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.

https://recfaces.com/articles/history-of-biometrics

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.

1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.

1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.

1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.

2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad.

https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/

== Biomeetriast lähemalt ==

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.

Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.

Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

Kaarkurrustik.

See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud.

Silmuskurrustik.

Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud.

Keerdkurrustik.

Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud. (see jutt siit: https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et)

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest(https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html).

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt.

https://www.androidauthority.com/how-fingerprint-scanners-work-670934/

https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger

https://www.lifewire.com/understanding-finger-scanners-4150464#:~:text=Fingerprint%20scanners%20work%20by%20capturing,of%20registered%20fingerprints%20on%20file.

== Sõrmejälgede võltsimine ==

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.( https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands )

Silma iiris

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silma iirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis silma iirise puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Piisas, kui vähemalt 75% silma iirisest oli nähtaval.
Seega iirisel põhineva isikutuvastuse võltsimiseks oli vaja inimesest ainult kõrge resolutsiooniga fotot.( https://thehackernews.com/2015/03/iris-biometric-security-bypass.html)

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silma iiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.( https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security)

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silma iiriste vahel ( https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/)

Näotuvastus

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika.

Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel.

3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga.

Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt.

Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel.

Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte.

Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid.

Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythoni [https://github.com/ageitgey/face_recognition

]. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.

Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust.

https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html#:~:text=Facial%20recognition%20defined&text=A%20facial%20recognition%20system%20uses,it%20also%20raises%20privacy%20issues.

https://www.security101.com/blog/part-3-biometric-facial-recognition

https://et.wikipedia.org/wiki/N%C3%A4otuvastus

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. https://www.veriff.com/product/face-match .

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske https://www.onelogin.com/learn/biometric-authentication . Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see täitsa aktuaalne olla ( https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery ).

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal väidetavalt häkiti Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple väidetavalt parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara. ( https://www.makeuseof.com/face-id-bypass-ios-15/)

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte.

Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“.

Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).

One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).

Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).

Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).

Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. IOActive Labs: Biometric Hacking: Face Authentication Systems

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Vähemlevinud füüsilise biomeetria meetodid

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.

https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused.

https://www.popsci.com/seven-surprising-biometric-identification-methods/

== Käitumuslik biomeetria ==

Häältuvastus

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad.

https://www.aware.com/voice-authentication/

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. (https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked )

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D https://youtu.be/Sf87DhXULDk , https://www.idrnd.ai/. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

Tuvastus teksti trükkimise abil

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides.

https://blog.typingdna.com/what-is-typing-biometrics/

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme https://dl.acm.org/doi/10.1145/1891879.1891884 . Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. https://www.biometricupdate.com/201612/explainer-keystroke-recognition

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

== Keemiline biomeetria ==

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.

https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html

== Biomeetria filmides ==

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised:

Silm 23,2%

Nägu 23,2%

Sõrm 15,9%

Peopesa 14,5%

Hääl 11,6%

DNA 7,2%

Elutegevus 4,3%

https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/

https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/

https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk

== Tüüpilised kasutusjuhud ==

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.

https://www.ncsc.gov.uk/collection/biometrics/example-use-cases

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.

https://www.veriff.com/

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.

https://www.onespan.com/topics/biometric-authentication

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5G $ ja ennustatavalt kasvab see 20% aastas.

https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi.

https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4

== Tulevikuvisioon ==

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja https://technology.nasa.gov/patent/TOP2-186 . Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale. Miks mitte seda kasutada seda omadust isiku tuvastuses? https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html.

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahenduse eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused

https://imageware.io/biometric-trends-and-statistics/

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisust.

Sissejuhatus

* Definitsioonid: Lava püsti panemine ja piiride tõmbamine.

* Mis on biomeetria?

* Mis on autentimine? 3 põhimõttelist kategooriat.

+ Kuidas biomeetriline autentimine alguse sai? Riho

* Käejälg, sõrmejälg. Aastaarve.

* Kuidas ulmekirjanikud / filmid kujutasid, mis meil praegu olemas võiks olla. Kaido

+ Kuidas biomeetriline autentimine tehnoloogiliselt toimib. Sandra

+ Biomeetriliste tehnoloogiate tüüpilised kasutusjuhud. Kaido

+ Ründevektorid, ehk häkkimine. Rauno

+ Käitumuslik biomeetria

+ Keemiline biomeetria

+ Praktilised soovitused.

+ Tulevikuvisioonid. - Diana

DNA järgi autentimine.

Mõttemustrite järgi autentimine.

Definitsioonid

+ Biomeetria koosneb kreekakeelsetest sõnadest „bios“ elu ja „metron“ mõõtmine.

+ Biomeetria on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias.

+ Google: The verb authenticate came into English in the seventeenth century by way of the Latin word authenticat-, meaning “established as valid.”

Küsimused:

+ Kui ma tunnen sind tänaval ära, kas see on biomeetriline autentimine?

+ Kui politsei leiab kurjategija sõrmejälgede järgi, kas see on biomeetriline autentimine?

+ Kui notar tuvastab minu isiku ID kaardil oleva pildi järgi, kas see on biomeetriline autentimine?

Biomeetrilise autentimise võlu ja valu

2022-03-12T20:07:46Z

Rikald:

== Biomeetrilise autentimise võlu ja valu ==

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

Biomeetrilise autentimise võlu ja valu

Sissejuhatus:

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena.

Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. https://sisu.ut.ee/autentimine/m%C3%B5isted

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. ( What is Authentication? (techtarget.com))

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:

Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.

Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk

Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust . Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. (Two-factor authentication: What you need to know (FAQ) - CNET)

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe.

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack), paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key). (https://www.ssh.com/academy/ssh/public-key-authentication )

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. (https://sisu.ut.ee/autentimine/id-kaardiga-autentimine )

Biomeetria ajalugu

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. https://biologydictionary.net/anthropometry/

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.

20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.

https://recfaces.com/articles/history-of-biometrics

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:

1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.

1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.

1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.

1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.

2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad.

https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/

Biomeetriast lähemalt

Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.

Biomeetria jaguneb omakorda kolmeks:

Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.

Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.

Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.

On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

Kaarkurrustik.

See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud.

Silmuskurrustik.

Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud.

Keerdkurrustik.

Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud. (see jutt siit: https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et)

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest(https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html).

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.

Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.

Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt.

https://www.androidauthority.com/how-fingerprint-scanners-work-670934/

https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger

https://www.lifewire.com/understanding-finger-scanners-4150464#:~:text=Fingerprint%20scanners%20work%20by%20capturing,of%20registered%20fingerprints%20on%20file.

Sõrmejälgede võltsimine

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.( https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands )

Silma iiris

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silma iirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis silma iirise puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Piisas, kui vähemalt 75% silma iirisest oli nähtaval.
Seega iirisel põhineva isikutuvastuse võltsimiseks oli vaja inimesest ainult kõrge resolutsiooniga fotot.( https://thehackernews.com/2015/03/iris-biometric-security-bypass.html)

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silma iiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.( https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security)

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silma iiriste vahel ( https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/)

Näotuvastus

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika.

Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel.

3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga.

Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt.

Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel.

Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte.

Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid.

Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythoni [https://github.com/ageitgey/face_recognition

]. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.

Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust.

https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html#:~:text=Facial%20recognition%20defined&text=A%20facial%20recognition%20system%20uses,it%20also%20raises%20privacy%20issues.

https://www.security101.com/blog/part-3-biometric-facial-recognition

https://et.wikipedia.org/wiki/N%C3%A4otuvastus

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. https://www.veriff.com/product/face-match .

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske https://www.onelogin.com/learn/biometric-authentication . Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see täitsa aktuaalne olla ( https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery ).

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal väidetavalt häkiti Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple väidetavalt parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara. ( https://www.makeuseof.com/face-id-bypass-ios-15/)

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte.

Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“.

Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).

One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).

Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).

Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).

Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. IOActive Labs: Biometric Hacking: Face Authentication Systems

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Vähemlevinud füüsilise biomeetria meetodid

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.

https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused.

https://www.popsci.com/seven-surprising-biometric-identification-methods/

Käitumuslik biomeetria

Häältuvastus

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad.

https://www.aware.com/voice-authentication/

2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. (https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked )

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D https://youtu.be/Sf87DhXULDk , https://www.idrnd.ai/. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

Tuvastus teksti trükkimise abil

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides.

https://blog.typingdna.com/what-is-typing-biometrics/

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme https://dl.acm.org/doi/10.1145/1891879.1891884 . Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. https://www.biometricupdate.com/201612/explainer-keystroke-recognition

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.

Keemiline biomeetria

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.

https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html

Filmides:

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised:

Silm

23,2%

Nägu

23,2%

Sõrm

15,9%

Peopesa

14,5%

Hääl

11,6%

DNA

7,2%

Elutegevus

4,3%

https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/

https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/

https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk

Tüüpilised kasutusjuhud.

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.

Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.

https://www.ncsc.gov.uk/collection/biometrics/example-use-cases

Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.

https://www.veriff.com/

Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.

https://www.onespan.com/topics/biometric-authentication

Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.

Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.

Finantsteenuste osutamisel inimeste tuvastamine.

2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks 41,5G $ ja ennustatavalt kasvab see 20% aastas.

https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f

Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi.

https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4

Tulevikuvisioon

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja https://technology.nasa.gov/patent/TOP2-186 . Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale. Miks mitte seda kasutada seda omadust isiku tuvastuses? https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html.

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.

Pilvelahendusel on järgnevad eelised:

Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks

Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.

Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused

https://imageware.io/biometric-trends-and-statistics/

Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisust.

Sissejuhatus

* Definitsioonid: Lava püsti panemine ja piiride tõmbamine.

* Mis on biomeetria?

* Mis on autentimine? 3 põhimõttelist kategooriat.

+ Kuidas biomeetriline autentimine alguse sai? Riho

* Käejälg, sõrmejälg. Aastaarve.

* Kuidas ulmekirjanikud / filmid kujutasid, mis meil praegu olemas võiks olla. Kaido

+ Kuidas biomeetriline autentimine tehnoloogiliselt toimib. Sandra

+ Biomeetriliste tehnoloogiate tüüpilised kasutusjuhud. Kaido

+ Ründevektorid, ehk häkkimine. Rauno

+ Käitumuslik biomeetria

+ Keemiline biomeetria

+ Praktilised soovitused.

+ Tulevikuvisioonid. - Diana

DNA järgi autentimine.

Mõttemustrite järgi autentimine.

Definitsioonid

+ Biomeetria koosneb kreekakeelsetest sõnadest „bios“ elu ja „metron“ mõõtmine.

+ Biomeetria on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias.

+ Google: The verb authenticate came into English in the seventeenth century by way of the Latin word authenticat-, meaning “established as valid.”

Küsimused:

+ Kui ma tunnen sind tänaval ära, kas see on biomeetriline autentimine?

+ Kui politsei leiab kurjategija sõrmejälgede järgi, kas see on biomeetriline autentimine?

+ Kui notar tuvastab minu isiku ID kaardil oleva pildi järgi, kas see on biomeetriline autentimine?

Biomeetrilise autentimise võlu ja valu

2022-03-12T20:06:17Z

Rikald:

== Biomeetrilise autentimise võlu ja valu ==

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

Biomeetrilise autentimise võlu ja valu

2022-03-12T20:06:02Z

Rikald:

== Biomeetrilise autentimise võlu ja valu ==

[https://wiki.itcollege.ee/index.php?title=Biomeetrilise_autentimise_v%C3%B5lu_ja_valu&action=edit Linkimise test]

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

Biomeetrilise autentimise võlu ja valu

2022-03-12T20:03:53Z

Rikald: /* Biomeetrilise autentimise võlu ja valu */

== Biomeetrilise autentimise võlu ja valu ==

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda

Biomeetrilise autentimise võlu ja valu

2022-03-12T20:02:22Z

Rikald:

== Biomeetrilise autentimise võlu ja valu ==

Biomeetrilise autentimise võlu ja valu

2022-03-12T20:01:22Z

Rikald: Created page with "Biomeetrilise autentimise võlu ja valu"

[[Biomeetrilise autentimise võlu ja valu]]

E-ITSPEA rühmatööd

2022-02-13T20:36:43Z

Rikald:

[[e-ITSPEA|Tagasi kursuse esilehele]]

Siia võiks panna kursuse toimumise ajal kirja rühmatööde teemad ja asukohad. Põhimõtteliselt aga võib need lisada ka kohe [https://wiki.itcollege.ee/index.php/ITSPEA_wiki-kirjat%C3%B6%C3%B6de_leht kirjatööde üldlehele] "Kevad 2022" alla (hindamise käigus vaatan läbi mõlemad lehed).

* Teema, kirjutajad
* Küberturvaja töövahendid - Jake Rahu, Triinu Viikholm, Hell Kais, Siim Hendrik Rääk, Rene Ämarik
* Eetiline häkkimine, selle võimalused ja ohud - Ilja Rõbalkin, Darja Lunina, Daniil Gorohhov, Edward Schotter, Sander Moss
* Andmeteaduse roll ühiskonnas - Janek Järvpõld, Lemme Velleõu, Ahti Blumkvist, Mehis Kasonen, Ants Vain
* Biomeetrilise autentimise võlu ja valu - Riho Kalda, Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera

[[e-ITSPEA|Tagasi kursuse esilehele]]
[[Category:ITSPEA]]

E-ITSPEA osalejad

2022-01-28T21:24:24Z

Rikald:

[[e-ITSPEA|Tagasi kursuse esilehele]]

Siia võiks kursuse toimumise ajal igaüks lisada enda pärisnime ja ajaveebi (blogi) aadressi.

NBǃ Kes lisab end hiljem, palun pange end nimekirja lõppu. Kusagilt nimekirja keskelt uusi tulijaid välja kaevata on üsna tüütu. ː(

Õppejõud: Kaido Kikkas, https://jora.kakupesa.net

Tudengid:
* Mehis Kasonen mehiskasonen@blogspot.com
* Triinu Viikholm
* Hell Kais
* Kristjan Keskküla, https://peamees.wordpress.com
* Ants Vain, https://antsvain.blogspot.com/
* Riho Kalda, https://rihok-itspea.blogspot.com/

Kursuse foorumi ja blogide RSS-vooge koondav OPML-fail ilmub siia veidi hiljem, kui osalejate nimekiri on stabiliseerunud.

[[e-ITSPEA|Tagasi kursuse esilehele]]
[[Category:ITSPEA]]