Biomeetrilise autentimise võlu ja valu: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Rikald (talk | contribs)
No edit summary
Rikald (talk | contribs)
No edit summary
 
(65 intermediate revisions by 2 users not shown)
Line 23: Line 23:
  https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>.  Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.  
  https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust</ref>.  Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.  


Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.
Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.


Erinevaid isikutuvastuse viise kombineerides  saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>
Erinevaid isikutuvastuse viise kombineerides  saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. <ref>Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/</ref>
   
   
[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]
[[File:Levels_of_authentication.PNG|upright=1.5|frameless]]<ref>MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref>
 
Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli. 
 
Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).
 
Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. (The Unbundling of Authentication vs Authorization - What You Need to Know (pingidentity.com)) Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad Password Strength Testing Tool | Bitwarden, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm RoboForm: Manage your passwords with ease and security, NordPass NordPass password manager | Zero password stress. Forever. | NordPass ja Keeper Get 30% OFF on select Keeper Products! (keepersecurity.com). , LastPass Free Password Manager App | LastPass. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass Password Safe. 
 
Paroolide murdmise viisidest on levinuimad paroolide äraarvamine -  tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack),  paroolide sõnaraamatud - (Understanding Rainbow Table Attack - GeeksforGeeks) ja paroolide hankimine halvasti turvatud rakendustest. 11 Password Cracker Tools (Password Hacking Software 2022) (softwaretestinghelp.com)
 
SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>
 
Esemelistest autentimisviisidest on kiipkaart üks levinumaid,  Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>
 


== Biomeetria ajalugu ==
== Biomeetria ajalugu ==
Line 48: Line 34:
19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>
19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. <ref>Anthropometry https://biologydictionary.net/anthropometry/ </ref>


Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada.
Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>


20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.<ref>The History of Biometrics https://recfaces.com/articles/history-of-biometrics</ref>
20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:  
 
20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud olid järgnevad:  


* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.  
* 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.  
Line 64: Line 48:
   
   


Nüüd jõuame uudseima ja põnevaima autentimismeetodi juurde, milleks on biomeetriline autentimine.  
Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.


Biomeetria jaguneb omakorda kolmeks:  
Biomeetria ise jaguneb omakorda kolmeks:  


# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa etc.  
# Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).  
# Käitumuslik biomeetria -  karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.  
# Käitumuslik biomeetria -  karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.  
# Keemiline biomeetria -  üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega  
# Keemiline biomeetria -  üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega  
Line 74: Line 58:
Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.   
Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.   


Kõikide sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada.
Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.  
 
On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.  


{| class="wikitable"
{| class="wikitable"
Line 83: Line 65:
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
! style="width: 350px;" | Kaarkurrustik !! style="width: 350px;" | Silmuskurrustik !! style="width: 350px;" | Keerdkurrustik
|- style="text-align: center;"
|- style="text-align: center;"
| [[File:Kaarkurrustik.png]] || [[File:Keerdkurrustik.png]] || [[File:Silmuskurrustik.png]]
| [[File:Kaarkurrustik.png]] || [[File:Silmuskurrustik.png]] || [[File:Keerdkurrustik.png]]
|-
|- style="vertical-align: top;"
| See on ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
| Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. || Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. || Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.
|}
|}


Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.  
Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest <ref>Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)</ref>.  


Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt.  
Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>
 
 
== Levinumatest autentimismeetoditest ==
 
 
Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.
 
Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli. 
 
Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).  


Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil.  
Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. <ref>Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html</ref> Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad <ref> Password strength https://bitwarden.com/password-strength/</ref>, samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm <ref> Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10 </ref>, NordPass <ref> NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free </ref> ja Keeper <ref> Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE </ref>, LastPass <ref> LastPass https://www.lastpass.com/password-manager </ref>. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass <ref> KeePass https://keepass.info/ </ref>.


Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabalisega tugeva kaitseklaasi alt. <ref>How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/</ref> <ref>Ekraanisisene sõrmejäljeluger https://et.wikipedia.org/wiki/Ekraanisisene_s%C3%B5rmej%C3%A4ljeluger </ref> <ref>What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464</ref>
Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud <ref> Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash </ref>. ja paroolide hankimine halvasti turvatud rakendustest. Paroolide murdmise tööriistad. <ref> Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/ </ref>


SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).<ref>What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication</ref>


== Sõrmejälgede võltsimine ==
Esemelistest autentimisviisidest on kiipkaart üks levinumaid,  Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. <ref>ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine</ref>
 
 
== Biomeetrilised autentimisviisid ja nende nõrkused ==
   
   


Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonil olevast sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>
'''Sõrmejälgede võltsimine'''
 
Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger<ref> Verifinger SDK https://www.neurotechnology.com/verifinger.html</ref> ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.<ref>Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands</ref>


'''Silmaiiris ehk vikerkest'''  
'''Silmaiiris ehk vikerkest'''  
Line 114: Line 112:
Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks  on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri,  nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.   
Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks  on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri,  nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.   


Traditsioonilise näotuvastuse tehnoloogia saad ka ise omale kergelt kirjutada pythonis. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref> <ref>Näotuvastus https://et.wikipedia.org/wiki/N%C3%A4otuvastus</ref>
Traditsioonilise näotuvastuse tehnoloogia saad ka ise Pythonis kerge vaevaga kirjutada. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.<ref>Face recognition https://github.com/ageitgey/face_recognition</ref> Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. <ref>What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html </ref> <ref>PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition</ref>


Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>  
Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. <ref>Face Match https://www.veriff.com/product/face-match</ref>  
Line 124: Line 122:
Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:  
Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:  


[[File:Rynne piltidega.png]]
[[File:Rynne piltidega.png]]<ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).  
* Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).  
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).  
* One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).  
Line 133: Line 131:
Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>
Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. <ref>IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html</ref>


Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.
'''Vähemlevinud füüsilise biomeetria autentimismeetodid'''  
 
'''Vähemlevinud füüsilise biomeetria meetodid'''  


Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>  
Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.<ref>Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/</ref>  


Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>
Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. <ref>7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/</ref>
== Biomeetria üldised probleemid ==
Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.
Seetõttu on ülimalt oluline, et biomeetriliste andmete kasutamine ja säilitamine oleks väga karmilt seadustega reguleeritud. Ameerikas on olemas ka eraldi seadus selle kohta, mis algses versioonis võeti vastu 2008 aastal Biometric Information Privacy Act (BIPA). Seadus kohustab informeerima inimest, kui tema biomeetrilisi andmeid kogutakse, samuti kogumise eesmärgist. <ref>Past, Present and Future: What's Happening with Illinois' and Other Biometric Privacy Laws https://www.natlawreview.com/article/past-present-and-future-what-s-happening-illinois-and-other-biometric-privacy-laws</ref>  Näiteks lekkisid 2019-ndal aastal 28 miljoni inimese biomeetrilised andmed, mille hulgas olid ja sõrmejäljed ja näotuvastus. <ref>Biometric data breach: Database exposes fingerprints and facial recognition data of 1 million people https://us.norton.com/internetsecurity-emerging-threats-biometric-data-breach-database-exposes-fingerprints-and-facial-recognition-data.html</ref> Selliste lekete välistamiseks soovitatakse biomeetrilisi andmeid võimalikult vähestes kohtades kasutada ning võimalusel asendada biomeetriline autentimine muude variantidega. Kui asendamine pole võimalik, siis tasub kindlasti uurida kui turvaliselt saadud andmeid hoitakse ja milline on andmete säilitamise aeg.
Võrreldes teiste autentimismeetoditega on hind üks faktor, mis takistab biomeetriliste autentimismeetodite kasutuselevõttu laialdasemalt. Biomeetriliseks autentimiseks vajaminev riistvara maksab päris palju ning riistvara on vaja iga tööjaama juurde, kus seda kasutatakse.<ref>Biometric Authentication - an overview https://www.sciencedirect.com/topics/computer-science/biometric-authentication</ref> 2018 aastal Spiceworksi poolt läbi viidud küsitluse järgi arvas 67% küsitletud IT professionaalidest, et hind on suurim probleem. Kuigi üle poole vastanutest arvas, et biomeetriline autentimine on turvalisem kui tavaline kasutajanime/parooli kombinatsioon, ainult 23% arvas, et lähima 2-3 aasta jooksul vahetab biomeetriline autentimine kasutajanime/parooli välja. <ref>More Organizations Are Adopting Biometrics for Security—But Barriers Still Remain https://businessinsights.bitdefender.com/more-organizations-are-adopting-biometrics-for-security-but-barriers-still-remain</ref> Kuna küsitlus tehti aastal 2018, siis võime praeguseks öelda, et seda väljavahetamist pole tõesti siiamaani laialdaselt toimunud ning kasutajanimi/parool on ikka veel levinuim meetod autentimiseks.




Line 149: Line 155:
Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad.  <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>
Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad.  <ref>Voice Authentication https://www.aware.com/voice-authentication/</ref>


2015 aastal näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>
Aastal 2015 näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. <ref>Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked</ref>


Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.  
Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D <ref>ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk</ref> <ref>ID R&D koduleht https://www.idrnd.ai/</ref>. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.  
Line 161: Line 167:
Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>
Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme <ref>Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884</ref>. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. <ref>Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition</ref>


Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.  
Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.




Line 173: Line 179:
    
    


Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised:  
Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>


{| class="wikitable"
{| class="wikitable"
Line 197: Line 203:
| Elutegevus     
| Elutegevus     
| 4,3%  
| 4,3%  
|} <ref>Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/</ref> <ref>BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/</ref> <ref>Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk</ref>
|}




Line 203: Line 209:




Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede. Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Reaalsus on, et enamik inimesi ei vaheta oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine turvalisust oluliselt.  
Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks  34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. <ref>Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts </ref>


Kõnekeskuses saab häälemustri järgi tuvastamist kasutada lisa turvaelemendina, sest kliendi telefoni number on näha ning me võime eeldada, et ainult kliendil on sellele ligipääs.<ref>Biometric recognition and authentication systems. Example use cases https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref>
'''Õiguskaitse ja avalik julgeolek'''


Eestis firma Veriff on loonud lahenduse, mis suudab dokumendi pildi ja selfie järgi öelda, kas inimene on see, kes ta väidab ennast olevat.<ref>Veriff kodulehekülg https://www.veriff.com/</ref>  
Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>


Paljud lennufirmad kasutavad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi.<ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>
Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>


Rohkem kui 55-s riigis antakse välja passe, mis sisaldavad inimese biomeetrilist informatsiooni ja mida kasutatakse inimese tuvastamise piiri ületamisel või lennule registreerimisel.
Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. <ref>California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years </ref>


Ustest läbipääsu õiguse tuvastamisel on odavam kasutada biomeetriat.  
Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.  


Finantsteenuste osutamisel inimeste tuvastamine.  
Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. <ref>Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee </ref>


2020 aastal oli biomeetrilise autentimise tehnoloogiate turu suuruseks  41,5 mijlardit dollarit ja ennustatavalt kasvab see 20% aastas. <ref>Top 4 Modern Use Cases of Biometric Technology https://medium.com/itrue/top-4-modern-use-cases-of-biometric-technology-6c6550c65a6f</ref>
'''Sõjaline'''


Hiina kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks ja on trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori. Näiteks valest kohast üle tee minemine võtab punkte maha, jne. Vastavalt punktiskoorile jagatakse inimestele erinevaid õigusi. <ref>China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4</ref>
Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. <ref>Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare </ref>
 
'''Kontroll piiridel'''
 
Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 <ref>THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf </ref> <ref>Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/</ref>. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.<ref>The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends</ref>
 
Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.<ref>Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817</ref> Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. <ref>Biometric Authentication https://www.onespan.com/topics/biometric-authentication </ref>  
 
'''Riigi teenuste osutamisel'''
 
Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>
 
'''Tervishoid'''
 
Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. <ref>Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics</ref>
 
Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. <ref>Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem</ref>
 
'''Ligipääsud'''
 
Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.<ref>Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases</ref> Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.
 
Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.<ref>Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/ </ref>




Line 231: Line 259:
Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?  
Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.<ref>The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html</ref> Miks mitte seda kasutada seda omadust isiku tuvastuses?  


Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves.
Pilvelahenduse eelised:
* Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
* Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
* Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>


Pilvelahenduse eelised: 
Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused <ref>Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/</ref>


== Kokkuvõte ==


Hetkeseisuga võiks öelda et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.


 
Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist.
== Kokkuvõte ==
Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.
Käesolevas töös sai antud lühike ülevaade biomeetria ajaloost, olevikust ja tulevikust.




== Kasutatud kirjandus ==
== Viited ==

Latest revision as of 21:08, 20 March 2022

Autorid: Diana Vaher, Sandra Poll, Rauno Schiff, Kaido Sõmera, Riho Kalda


Sissejuhatus

Vajadus üksikisikut üheselt tuvastada on inimkonnal olnud juba pikemat aega. Isegi enne digitaalse ajastu algust olid probleemiks inimesed, kes enda isikut varjasid või esinesid kellegi teisena. Praeguseks ajaks on isiku tuvastus omandanud ühiskonnas veelgi olulisema rolli ja selleks on leiutatud palju erinevaid viise – nii inimkeha baasil kui ka muid vahendeid kasutades – vastav mõiste on autentimine.

Autentimine on defineeritud protsessina millega üks kasutaja, süsteem või muu olem (objekt) saab kontrollida teise kasutaja/olemi väidetava identiteedi tõesust. [1]

Autentimise käigus peab olema autenditav isik üheselt tuvastatav ja autentimist peaks olema raske, soovitatavalt isegi võimatu võltsida. See võimaldab hoida ja säilitada elektrooniliselt ligipääsetavate keskkondade ja teenuste turvalisust. Peale autentimist toimub tavaliselt autoriseerimine, mis tuvastab, kas kindlaks tehtud isikul on lubatud ressurssidele ligi pääseda. [2]

Isiku tuvastamise viise on erinevaid, autentimismeetodid jagunevad sisuliselt kolme klassi:

  • Teadmuspõhised: salasõna, PIN kood, krüptovõti, luku kombinatsioon, isikuandmed.
  • Esemelised: ID kaart, telefon, võti, magnet- või kiipkaart, infrapunamärk
  • Biomeetrilised: sõrmejäljed, nägu, silma võrk- või vikerkest, kõndimine, hääl, DNA.

Biomeetria koosneb kreekakeelsetest sõnadest „bios“ (elu) ja „metron“ (mõõtmine) [3] ning on matemaatilise statistika ja tõenäosusteooria meetodite rakendamine bioloogias. [4]

Biomeetrilisteks andmeteks saavad olla ainult need inimese füsioloogilised, füüsilised ja käitumuslikud omadused, mida saab mõõta tehniliste vahenditega. Seega inimsilma biomeetrilist tuvastust teostavate tehniliste vahendite hulka ei loeta, isikut tuvastada saab ainult tehnoloogia abil [5]. Sõbra tänaval ära tundmine ei ole seega biomeetriline autentimine, küll aga on seda tehnoloogiline näotuvastus.

Teadmuspõhine tuvastus on midagi, mida ainult see tuvastatav isik teab, esemeline on seotud isiku valduses oleva(te) eseme(te)ga ning biomeetriline tuvastus toimib isiku füüsilise keha kaudu.

Erinevaid isikutuvastuse viise kombineerides saab mitmeastmelise autentimise, mida võrreldes üheastmelise autentimisega loetakse turvalisemaks, kuna sisse logimiseks on vaja omada kas kasutaja füüsilist eset või peaks saama ligipääsu autentimise mehhanismi sees olevatele küpsistele või tokenitele. [6]

[7]

Biomeetria ajalugu

19-ndal sajandil töötas Alphonse Bertillon Prantsusmaal Pariisis välja meetodi, mille abil sai kriminaale klassifitseerida ning võrrelda teatud kehatunnuste mõõdistamise abil. Vajadus tekkis sellest, et kurjategijad ütlesid sageli vahelejäämisel erineva nime. Bertillon tuli mõttele, et kuigi nime võidakse vahetada, siis mingid füsioloogilised tunnused jäävad siiski samaks. Süsteem polnud ideaalne, kuid tänu sellele pandi alus unikaalsete bioloogiliste tunnuste abil identiteedi tuvastamisele - antropomeetriale. Antropomeetria uurib inimese füüsilise keha süstematiseeritud mõõtmete varieeruvust. [8]

Sir Francis Galton avaldas uurimustöö, milles pakkus välja klassifitseerimissüsteemi kõigi kümne sõrme jälgede põhjal. Seda meetodit kasutatakse siiamaani inimeste identifitseerimisel. Sir Edward Henry koostöös Sir Francis Galtoniga töötasid välja meetodi sõrmejälgede klassifitseerimiseks ja talletamiseks selliselt, et neid oleks lihtne hiljem kasutada. 20-nda sajandi esimeses pooles hakati sõrmejälgi kasutama inimeste identifitseerimisel. Kõigepealt tehti seda New Yorkis, kus hakati kontrollima avalikku teenistusse kandideerijate isikuid, et välistada seda, et vale inimene läheb testi tegema. Umbes samal ajal hakati sõrmejälgi kasutama ka politsei poolt kurjategijate identifitseerimisel. Pakuti välja ka mõtted kasutada silma iirise mustrit ja käelaba geomeetriat identifitseerimismeetodina.[9]

20-nda sajandi teises pooles hakati biomeetriat rohkem uurima, olulisemad sel ajal toimunud sündmused olid järgnevad:

  • 1960-ndatel töötati välja esimesed poolautomatiseeritud näotuvastuse meetodid, mis vajasid veel ka inimesepoolset lisapanust näo analüüsimisel.
  • 1969-ndal aastal eraldas FBI raha, et välja töötada automatiseeritud sõrmejälgede- ja näo tuvastamise protsess, kuna töömaht ei võimaldanud tuvastust enam käsitsi teha. See finantseering sai katalüsaatoriks palju keerulisemate biomeetriliste sensorite arendamisele.
  • 1980-ndal hakati Rahvusliku Standardite ja Tehnoloogia Instituudis (National Institute of Standards and Technology) uurima hääletuvastust. See uuring pani aluse tänapäeval kasutatavate häälkäskluste- ja häältuvastuse süsteemidele.
  • 1991 aastal töötati välja tehnoloogia, mis võimaldas reaalajas näo tuvastamist. Kuigi süsteem polnud veatu, hakati tänu sellele jälle rohkem näotuvastuse uuringutesse panustama.
  • 2000-ndateks aastateks oli USAs patenteeritud sadu biomeetrilise autentimise algoritme, mis olid kõigile kättesaadavad. [10]


Biomeetriast lähemalt

Biomeetriline autentimine on kõige uudsem ja põnevaim autentimismeetod, uudsuse tõttu on tehnoloogiatel kindlasti ka kõige rohkem arenguruumi.

Biomeetria ise jaguneb omakorda kolmeks:

  1. Füsioloogiline ehk füüsiline biomeetria – siia alla käivad isiku füüsi(ka)lised karakteristikud (silm, sõrmejälg, peopesa jne).
  2. Käitumuslik biomeetria - karakteristikud, mis ilmnevad isku mingi tegevuse käigus, nagu näiteks klaviatuuril trükkimise muster, keha dünaamika liikumisel ning kõne ja allkirja analüüs.
  3. Keemiline biomeetria - üsna algelises järgus olev biomeetria valdkond, mis tegeleb isiku lõhnade, DNA jms keemilise ainetuvastusega

Füüsilisest biomeetriast ilmselt kõige levinum on isiku tuvastamine sõrmejälgede abil. Sõrmejälje lugerid on nutitelefonides olnud kasutusel juba üle kümne aasta.

Kõikide inimeste sõrmedel on papillaarkurrustik, mis moodustab täiesti unikaalse mustri ja seetõttu on võimalik sõrmejälgi isiku kindlakstegemiseks kasutada. On kolme tüüpi papillaarkurrustikke, sõltuvalt papillaarliinide tõusudest ja papillaarkurru sisemisest joonisest.

Sõrmejälgede tüübid [11]
Kaarkurrustik Silmuskurrustik Keerdkurrustik
Ehituselt kõige lihtsam. Papillaarkurrud algavad sõrme ühelt küljelt ja suunduvad kaarjalt teisele küljele. Umbes 5% kõigi inimeste papillaarkurrustikest on kaarkurrustikud. Kurrustiku keskosas moodustavad kurrud silmusetaolisi kujundeid. Olenevalt sellest, mis suunas on silmuse harud pööratud, räägitakse väikesõrmepoolsest või pöidlapoolsest silmuskurrustikust. Umbes 65% kõigi inimeste sõrmeotste papillaarkurustikest on silmuskurrustikud. Keskosas moodustavad papillaarkurrud ringjaid kujutisi. Umbes 30% kõigi inimeste papillaarkurrustikest on keerdkurrustikud.

Masterprindid on mosaiigid, mis on tehtud kõikide inimeste sõrmejälgede kõige levinumate elementide põhjal. Lisaks kasutatakse ära seda, kuidas telefonide sõrmejälje skännerid sõrme analüüsivad. Need skännerid on nii väikesed, et nad reeglina teevad palju vigu, mis tähendab, et nad teevad sõrmest mitmeid pilte. Nendest mitmetest piltidest peab ainult üks klappima. New York’i ja Michigani osariigi ülikoolide teadlased leidsid, et sellised digitaalselt genereeritud sõrmejäljed avavad iga telefoni umbes 65% juhtudest [12].

Nutitelefonides on põhiliselt kasutusel optilised ja ultraheli skannerid. Optilised on kõige vanemad lugerid, mis teevad 2D foto sinu sõrmest ja võrdlevad kõiki jooni, sügavusi ja mustreid pildil olemasolevate piltidega. Foto tegemise ajal valgustatakse sõrme et tuleks selgem pilt. Ultraheliskannerit kasutades on autentimine turvalisem, kuna sõrmest tehakse 3D pilt. Sõrme lugerile asetades saadetakse välja ultrahelilaine ning sõrm kaardistatakse sõrme joonte ja kuju vahel tekkinud kaja abil. Ultraheliskannerid on palju turvalisemad kui optilised skannerid, kuid neil on raskusi sõrme tabamisega tugeva kaitseklaasi alt. [13] [14]


Levinumatest autentimismeetoditest

Enne kui vaatame lähemalt biomeetria nõrkusi, uurime põgusalt ka muid autentimisviise.

Kõige levinum autentimismeetod on kasutajanimega kombineeritud parool. Samas on see ka kõige ebaturvalisem, eriti kui parooli valimisele ei ole rakendatud miinimumnõudmiste kontrolli.

Kasutajatel on tihti väga palju erinevaid paroole ning seetõttu valitakse ilma miinimumnõueteta rakendustes tihi mugavam tee ning kasutatakse kas lihtsaid paroole või taaskasutatakse ühte ja sama parooli erinevate kontode jaoks (kolistatakse ka mõlemat ämbrit korraga).

Parooli pikkus, erisümbolite, numbrite ning suur- ja väiketähtede kaasamine muudab parooli raskemini lahti murtavaks, samuti on selliseid paroole keerulisem ära arvata. [15] Paroolide tugevuse testimiseks on veebis tasuta kättesaadavad tööriistad [16], samuti on paljud rakendused võtnud kasutusele jooksva parooli tugevuse hindamise parooli loomisel. See info kuvatakse parooli sisestamise ajal kasutajale, et tal oleks parooli loomise ajal võimalus loodud parooli keerukust hinnata ja vajadusel keerukust lisada. Keeruliste ja pikkade paroolide meelespidamine võib olla kasutajale tülikas, seetõttu on loodud paroolihalduse jaoks mitmeid rakendusi: RoboForm [17], NordPass [18] ja Keeper [19], LastPass [20]. On olemas ka alla laetavaid paroolihaldusrakendusi, näiteks KeePass [21].

Paroolide murdmise viisidest on levinuimad paroolide äraarvamine - tarkvara, mis testib jooksvalt paljusid erinevaid variante (Brute Force Attack) ja paroolide sõnaraamatud [22]. ja paroolide hankimine halvasti turvatud rakendustest. Paroolide murdmise tööriistad. [23]

SSH avaliku võtmega autentimine on teadmuspõhistest autentimisviisidest turvalisem, sest SSH võtme krüptograafiline tugevus ületab isegi väga pika salasõna tugevuse tunduvalt. Samuti vabastab see kasutaja salasõna meelespidamise kohustusest ning võimaldab ühest ja automatiseeritud sisselogimist üle kõikide kasutaja poolt kasutatavate SSH serverite. SSH autentimine töötab läbi kahe võtme genereerimise, millest üks on avalik ja teine salajane. Reeglina genereerib kasutaja mõlemad võtmed ise, seejuures valides ka genereerimise algoritmi ning selle keerulisuse. Avalik võti kopeeritakse SSH serverisse ja selle võtmega krüpteeritakse andmeid, mida on võimalik lahti krüpteerida vaid kasutaja valduses oleva salajase võtmega. Salajane võti tõestabki kasutaja isiku, võimaldades avaliku võtmega krüpteeritud andmete lahti krüpteerimisega salajase võtme omamist tõestada (nn identity key).[24]

Esemelistest autentimisviisidest on kiipkaart üks levinumaid, Eesti Vabariigis laialdaselt kasutuse olev ID kaart sisaldab lisaks kiibile veel ka kaheastmelist autentimisprotsessi ning pakub digiallkirjastamisvõimalust, kui seda kasutada koos spetsiaalselt id-kaardi jaoks mõeldud lugejate ja tarkvaraga. [25]


Biomeetrilised autentimisviisid ja nende nõrkused

Sõrmejälgede võltsimine

Aastal 2014 kasutas Jan Krissler, kes on häkkerite ringkonnas tundud nime all Starbug, kõrge resolutsiooniga fotosid ning lõi nende põhjal Saksamaa tolleaegse kaitseministri, Ursula von der Leyen’i, sõrmejäljed. Kasutas ta tarkvara VeriFinger[26] ning pilte, mille hulgas oli üks pressiteatest saadud pilt ning üks foto, mille Jan Krissler pildistas ise kolme meetri kauguselt. 2013 aastal näitas Krissler, kuidas on võimalik lihtsalt telefonil oleva sõrmejäljega telefoni lukust lahti teha. Selle jaoks tegi ta puiduliimist ja pihustatavast grafeenist kunstsõrme ning sai iPhone 5S lukust lahti 24 tundi peale selle turule tulekut. Sellega ta näitas, et piisab ainult telefonile jäetud sõrmejäljest ning polegi vaja tegelikku kontakti inimesega.[27]

Silmaiiris ehk vikerkest

Jan Krissler, kes suutis pildi põhjal taasluua sõrmejälje, kasutas põhimõtteliselt sama lähenemist ka silmaiirise puhul. Kui sõrmejälje puhul oli vaja sisuliselt kloonida sõrm, siis vikerkesta puhul piisas lihtsalt silma pildi välja trükkimisest. Piisas, kui silma diameeter pildil oli 75 pikslit ja prinditud oli see 1200 dpi (punkti tolli kohta). Vaja oli, et vähemalt 75% silmaiirisest oli nähtaval. Seega iirisel põhineva isikutuvastuse võltsimiseks pidi saama inimesest ainult kõrge resolutsiooniga foto. [28]

2017 aastal tehti Samsungi Galaxy S8 telefon lukust lahti, kui omaniku silmaiiris kontaktläätsele trükiti ning lääts seejärel kunstsilmamunale asetati.[29]

Et ei juhtuks nii, nagu filmis Demolition man, kus vang põgenes vanglast kasutades vangivalvuri väljalõigatud silma, siis on Varssavi Tehnikaülikoolis teadlased kasutanud masinõpet ja loonud andmebaasi elusate ning surnud inimeste silmaiirise andmetega. Kasutades seda andmebaasi suudab masinõppe algoritm väidetavalt 99% täpsusega vahet teha elusa ja surnud inimese silmaiiriste vahel. [30]

Näotuvastus

Näotuvastuse tehnoloogia põhineb masin- ehk tehisnägemisel ja selleks on mitmeid tehnikaid, näiteks tavapärane tehnika, 3D tehnika ja naha tekstuuri analüüsi tehnika. Tavapärane tehnika analüüsib nägusid väljaulatuvate piirjoonte abil, näiteks uurib algoritm näo osade suurust, asukohta ja kuju ning võrdleb seda olemasolevate piltidega. Olemasolevad pildid saadakse näiteks piltidest mis telefon tegi kui näotuvastust üles seadsid. Põhilisteks tuvastajateks on vahemaa silmade vahel ning vahemaa lauba ja lõua vahel. 3D tuvastamise tehnoloogia puhul on võimalik saada paremat täpsust kui tavapärase tehnoloogiaga. 3D sensoritel on informatsioon näo kuju kohta ja saavad võrdlemisel kasutada näo iseäralikku pinda, nagu näiteks silmaaukude kontuuri, nina ja lõuga. Võrreldes tavapärase tehnoloogiaga 3D tuvastusel valguse muutused ja näo nurk ei ole nii suured probleemid, näiteks iPhone X suudab 3D tehnoloogia abil inimest tuvastada kuni 90 kraadise nurga alt. Naha tekstuuri analüüsi puhul tehakse pilt nahast, algoritm tuvastab kõik jooned, poorid ja naha tekstuuri ja muudab selle matemaatiliselt mõõdetavaks koodiks. See on piisavalt tugev, et suudab isegi vahet teha identsetel kaksikutel. Näotuvastussüsteemid ei ole veel piisavalt tugevad, et tuvastada inimest erinevate nurkade alt. Näotuvastuse muudab raskemaks ka näoilme, näiteks naeratamine võib inimese tuvastamise raskemaks teha. Näojooned muutuvad ajas ning süsteemi paremaks toimimiseks on vaja võrreldavate fotode baasi ka uuemaid pilte. Kuigi parimal näotuvastus algoritmil on vea protsent vaid 0.08%, on näotuvastustehnoloogial kindlasti palju arengut veel teha, eriti sooliste ja rassiliste iseärasustel vahet tegemisel.

Traditsioonilise näotuvastuse tehnoloogia saad ka ise Pythonis kerge vaevaga kirjutada. Kood võtab sisse pildi kus on teada kes on pildil ja pildi kus pole teada ja võrdleb neid. Traditsioonilise näotuvastuse tehnikat kasutades on sul kergelt võimalik teha oma näotuvastussüsteem kasutades Pythonit. Avalikult Githubis on saadaval dokumenteeritud teek mis teeb selle väga lihtsaks.[31] Inimese ära tundmiseks vajab teek esialgselt pilti millega võrrelda ning uut pilti. Toetatakse ka reaalajas näotuvastust. [32] [33]

Biomeetrilisest autentimisest on Eestis kindlasti tuntud firma Veriff poolt pakutav näotuvastus, mida võrreldakse identifitseerimisel teise faktorina kasutusel oleva rakendusse salvestatud dokumendifailiga. [34]

On juba leitud meetodeid biomeetrilise autentimise võltsimisteks, kasutades näiteks näotuvastusel internetist leitud fotosid või 3-dimensionaalseid maske [35]. Windows Hello puhul kasutatakse näo võltsimiseks ohvri näost tehtud infrapunapilti. Spetsiaalselt loodud USB-seadmega on võimalik neid pilte otse autentimissüsteemi süstida. Mingit tõendit küll ei ole, et seda meetodit oleks kunagi reaalselt ka kasutatud. Meetodi avastanud CyberArk Labs’i teadlaste meeskond leidis, et kui on piisavalt motiveeritud ründaja, võib see rünne täitsa aktuaalne olla [36].

Väidetavalt suutis ettevõte Bkav aastal 2017 Apple’i Face ID süsteemi ära petta kasutades maski. 2019 aastal häkiti väidetavalt Face ID kasutades must-valgelt prinditud pilti ja teipi. Need väited ei ole siiski raportites avastatud ebakõlade tõttu ametlikku kinnitust saanud. Samas Apple parandas Face ID võltsimisvastaseid mudeleid. Nõrkused avastati kõigil Face ID võimekusega seadmetel, mis ei kasutanud iOS 15 tarkvara.[37]

Küberturvalisusega tegelev ettevõte IOActive, Inc avaldas 8ndal veebruaril 2022 raporti labori katsetustest, seoses näotuvastuse nõrkustega nutitelefonides. Katsetusi tehti nii 2-mõõtmeliste piltidega kui ka 3-mõõtmeliste maskidega. Eksperimenteerimisel keskenduti kõigepealt sellele, et mõista, kuidas seadmete niiöelda kapoti all näotuvastuse algoritmid töötavad ning seejärel prooviti lahendusi, kuidas nendest mööda pääseda. Katsetel kasutati ainult „front-facing“ kaamerat ehk niiöelda „selfie“ kaamerat . Katsete jaoks oli loodud kontrollitud keskkond, kus vajadusel sai reguleerida valguse intensiivsust jms. Katses kasutati telefoni lahti lukustamiseks 5 erineva inimese pilte. Seadmed, mida uuringus kasutati olid järgmised: Samsung S10(+), OnePlus 7 Pro, Nokia 9 Pure View, Xiaomi Mi 9, Vivo V15 Pro. Kõikides seadmetes töötas Android operatsioonisüsteemi versioon 10. Siin kohal peab muidugi tõdema, et tegemist ei ole enam just kõige uuemate mudelitega ega ka kõige värskemate operatsioonisüsteemi järkudega (praeguseks on Android telefonidele juba saada OS versioon 12), kuid arvestada tuleb loomulikult ka sellega, et kõik inimesed ei kasuta ilm tingimata kõige moodsamaid „lipulaevasid“. Kahjuks on eksperimendis välja toodud ainult 2-mõõtmeliste piltidega tehtud katsetuste tulemused (3-mõõtmeliste maskide kasutamise tulemuslikkusest juttu ei ole). Tulemuste jaoks loodi kolm gruppi: roheline – ei suudetud lahti lukustada, oranž – suudeti mõni kord lahti lukustada, punane – suudeti regulaarselt lahti lukustada. Tulemused 2D piltidega olid järgnevad:

[38]

  • Samsung S10 suudeti lahti lukustada 5 inimese pildi seast 1 inimese pildiga regulaarselt (1 punane, ülejäänud rohelised).
  • One Plus 7 Pro suudeti lahti lukustada 2 inimese pildiga (2 punast, 3 rohelist).
  • Nokia 9 Pure View lukustati kergesti lahti viiest pildist neljaga (4 punast, 1 roheline).
  • Xiaomi Mi 9 suudeti lahti lukustada viiest pildist kahega (2 punast, 3 rohelist).
  • Vivo V15 Pro lukustati kerge vaevaga lahti ühe pildiga viiest (1 punane, 4 rohelist).

Nagu näha siis vahepealset varianti ei esinenud (oranž), ehk et ühegi telefoni ega ühegi pildiga ei esinenud niiöelda „50:50“ olukorda, kus vahepeal oleks saadud klahvilukk lahti lukustatud ja vahepeal mitte. Tulemused näitavad pigem, et kas ei suudetud üldse näotuvastust ära petta või suudeti edukalt. [39]

Vähemlevinud füüsilise biomeetria autentimismeetodid

Inimeste kõrvad on ainulaadsed, ning ka nendega on võimalik ennast autentida. “Ergo” on esimene rakendus Android peal, mis suudab kasutaja autentida selle järgi, kuidas ta asetab oma kõrva ja põse telefoni vastu. Kuna tegemist on uue tehnoloogiaga on see veel ebatäpne ja mitte nii mugav kasutada, kuid võimalik et tehnoloogia arenguga on see tulevikus sama levinud kui sõrmejäljega autentimine.[40]

Biomeetriline autentimine ei toimuma igavate kehaosade läbi, nagu nägu ja käed. Teadlased Tokyos on välja tulnud spetsiaalse autoistmega, mis suudab seal istuja 98%-lise tõenäosusega ära tunda. See on kasulik, kuna iste teeb kindlaks, et vaid sina ja sinu poolt lubatud isikud saavad sinu autoga sõita ning samuti saab isiku järgi paika panna peeglite asendid ning istme seadistused. [41]


Biomeetria üldised probleemid

Biomeetrilise autentimismeetodi puhul ei ole ohtu, et kasutaja midagi kogemata ära unustaks või valesti sisestaks, pigem on problemaatiline, kui näiteks sõrmejälgede info lekib ja seda ei ole analoogselt lekkinud salasõnaga kasutajal võimalik muuta.

Seetõttu on ülimalt oluline, et biomeetriliste andmete kasutamine ja säilitamine oleks väga karmilt seadustega reguleeritud. Ameerikas on olemas ka eraldi seadus selle kohta, mis algses versioonis võeti vastu 2008 aastal Biometric Information Privacy Act (BIPA). Seadus kohustab informeerima inimest, kui tema biomeetrilisi andmeid kogutakse, samuti kogumise eesmärgist. [42] Näiteks lekkisid 2019-ndal aastal 28 miljoni inimese biomeetrilised andmed, mille hulgas olid ja sõrmejäljed ja näotuvastus. [43] Selliste lekete välistamiseks soovitatakse biomeetrilisi andmeid võimalikult vähestes kohtades kasutada ning võimalusel asendada biomeetriline autentimine muude variantidega. Kui asendamine pole võimalik, siis tasub kindlasti uurida kui turvaliselt saadud andmeid hoitakse ja milline on andmete säilitamise aeg.

Võrreldes teiste autentimismeetoditega on hind üks faktor, mis takistab biomeetriliste autentimismeetodite kasutuselevõttu laialdasemalt. Biomeetriliseks autentimiseks vajaminev riistvara maksab päris palju ning riistvara on vaja iga tööjaama juurde, kus seda kasutatakse.[44] 2018 aastal Spiceworksi poolt läbi viidud küsitluse järgi arvas 67% küsitletud IT professionaalidest, et hind on suurim probleem. Kuigi üle poole vastanutest arvas, et biomeetriline autentimine on turvalisem kui tavaline kasutajanime/parooli kombinatsioon, ainult 23% arvas, et lähima 2-3 aasta jooksul vahetab biomeetriline autentimine kasutajanime/parooli välja. [45] Kuna küsitlus tehti aastal 2018, siis võime praeguseks öelda, et seda väljavahetamist pole tõesti siiamaani laialdaselt toimunud ning kasutajanimi/parool on ikka veel levinuim meetod autentimiseks.


Käitumuslik biomeetria

Häältuvastus

Häältuvastus on populaarne autentimismeetod nn käed-vabad süsteemides, näiteks autos, Google Home-s, Amazon Alexa-s. Kuna kasutades Google Home ja Amazon Alexat on võimalik teha tellimusi, on oluline kasutaja tuvastada ja kõige mugav viis selleks sellistel seadmetel on häältuvastus. See on hea autoriseerimismeetod ka kasutajatoesse helistades, kus on vaja väljastada personaalset informatsiooni nagu krediitkaardi number või salasõnad. [46]

Aastal 2015 näitasid Alabama ülikooli teadlased, et hääletuvastuse tehnoloogia pole enam täiesti turvaline. Kasutati odavat hääle muutmise tööriista. Oli ainult vaja mõnda näidist, kus ohver rääkis ja näidise põhjal suudeti suvalise inimese hääl ohvri hääleks muuta. Teooriat testides saadi ligipääs süsteemile, mis kasutas hääletuvastussüsteemi. [47]

Samas tehnoloogia arenguga areneb ka hääletuvastuse tehnoloogia, mis suudab paremini ära tunda salvestuse inimese häälest ning päriselt rääkiva inimese. Üks kõrgelt hinnatud ettevõte, mis just sellega tegeleb on ID R&D [48] [49]. Lisaks tegelevad nad ka näotuvastuse turvaliseks muutmisega.

Häältuvastuse eelisteks oleks mugavus ja kerge kasutatavus (paljudel seadmetel on mikrofonid) ning miinuseks et seda ei saa kasutada lärmakates kohtades.

Tuvastus teksti trükkimise abil

Trükkimise biomeetria jälgib kasutaja käitumist teksti sisestamisel, eeldusel, et trükkimise muster kasutajal ajas ei muutu. Jälgitakse 44 erinevat klahvi ja mustritest on jälgitud nii klahvide vajutamise- kui ka nende vabastamise kiirusi, samuti pause erinevate klahvide vahetamise vahel. Trükkimismuster ei saa kunagi olla 100% klappiv, pigem analüüsitakse sarnasuse suurust protsentides. [50]

Uuringud on näidanud, et trükkimise muster ja kiirus inimestel siiski aja jooksul muutub ja see põhjustab isiku tuvastamisel probleeme [51]. Probleem on sedavõrd tõsine, et on tõsiselt tõstatatud küsimus, kas trükkimise käitumuslik muster on üldse isikutuvastuseks sobiv. Ilmselt ei sobi see ainuke isikutuvastuse kihina, kuid lisaturvalisuse loomisel võiks kohat sibida teiseks või kolmandaks faktoriks, tingimusel, et seda mustrit saab aeg-ajalt uuendada vastavalt kasutaja trükkimismustrite muutusele. Leiti ka, et erinevused klaviatuuris ning inimese seisundi muutus, näiteks väsimus, higised käed või krampis lihas võivad trükkimise mustrile märgatavalt mõju avaldada. [52]

Positiivse aspektina ei nõua isikutuvastus trükkimise abil eraldi riistvara, sest reeglina on klaviatuur arvutikasutajatel olemas - seega pole meetodi kasutuselevõtt kulukas ja sobib universaalselt kõigile isikutele, kes on võimelised klaviatuuri kasutama. Teise positiivse aspektina pole selline tuvastus kasutajate jaoks invasiivne.


Keemiline biomeetria

Lõhna järgi inimese identifitseerimine on veel väga algusjärgus tehnoloogia, kuid nüüdseks on viidud eksimuste protsent vaid 10 peale. Tehnoloogia “nuusutab” inimese kätt, filtreerib lõhnaõlid, kreemid ja muud lõhnad välja ning identifitseerib inimese selle järgi. Seda uurimustööd viiakse läbi Madridis Universidad Politécnica de Madrid (UPM) ülikoolis ning uurimustöö läbiviijad on veendunud, et nende tehnoloogia asendab tulevikus lennujaamades kasutatava turvatehnoloogia. Lõhnatuvastustehnoloogiast on huvitatud ka Ameerika Ühendriikide sõjavägi, kuna lõhna järgi saab inimesi juba kaugelt tuvastada ja see on tehtav ilma inimese eelneva nõusolekuta.[53]


Biomeetria filmides

Filmides on biomeetriline autentimine suhteliselt populaarne, luues ühes küljest futuristlikku õhustikku ja teisest küljest pakub biomeetriline autentimine usutavaid selgitusi olukorrale. Kangelane ei saa ju ülisalajase serveriruumi ukse taga võtmekimpu taskust välja tõmmata ja veelgi veidram oleks, kui kangelane lahtisest uksest lihtsalt sisse marsiks. Vaadeldud 50s filmis jagunesid biomeetrilised autentimised: [54] [55] [56]

Silm 23,2%
Nägu 23,2%
Sõrm 15,9%
Peopesa 14,5%
Hääl 11,6%
DNA 7,2%
Elutegevus 4,3%


Tüüpilised kasutusjuhud

Saamaks aru, kui palju kasutatakse ja arendatakse biomeetrial põhinevaid autentimissüsteeme peab aduma, kui suur on selle turu suurus. 2020 aastal hinnati biomeetrilise autentimise tehnoloogiate turu suuruseks 34,95 miljardit dollarit, mis ennustatavalt kasvab 2030-ks aastaks 127,32 miljardi dollari peale. [57]

Õiguskaitse ja avalik julgeolek

Õiguskaitseorganite ja julgeoleku asutuste üheks peamiseks ülesandeks on leida vastus küsimusele, kes tegi või kavatses midagi teha ning tõendite kogumine. Isikute tuvastamiseks kasutatakse tänapäeval erinevaid ABIS (Automated Biometric Identification System) süsteeme, mille eesmärk on leida kiiresti kahtlusalune. [58]

Inimeste automaatne tuvastamine sisaldab päris suurt riivet ning seetõttu peaksid sellistes süsteemides olema väga tõhus järelevalvemehhanism. Võtame näiteks Hiina, mis kasutab avalikke kaameraid ja näotuvastust inimeste kontrollimiseks. Hiina on sisse seadnud trahvi-punktisüsteemi, kus erinevad rikkumised vähendavad automaatselt punktiskoori ning vastavalt punktiskoorile on inimestel erinevad õigused. [59]

Samas keelas näiteks USA California osariik aastal 2020 kolmeks aastaks näotuvastustarkvarade kasutamise õiguskaitseorganites. [60]

Analoogseid näiteid tervest Maailmast võiks palju tuua ning automaatsed tuvastussüsteemid on tõsine kiusatus autoritaarsetele riikidele oma rahva kontrollimiseks.

Oluline on ka mainida, et ka Eestis on selle teemaga tegeletud ning välja on töötatud automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus, mis jõustus 03.01.2022. [61]

Sõjaline

Biomeetriline autentimine muutub eriti aktuaalseks mittekonventsionaalse sõja korral, kus omasid ja vaenlasi ei ole võimalik enam eristada välimuse järgi. USA sõjavägi on arendamas portatiivseid seadmeid, millega on võimalik kontrollpunktides inimesi tuvastata. [62]

Kontroll piiridel

Esimene biomeetriline pass anti välja 1998 aastal Malaisias, 2008 [63] [64]. aastal andsid biomeetrilisi passe välja 60 riiki ning 2019. aastal juba üle 150 riigi.[65]

Paljud riigid on muutnud biomeetrilised passid kohustuslikuks reisidokumendiks, mis suurendab piiriületaja õigesti identifitseerimise võimalust. Samuti on biomeetriliste dokumentide võltsimine oluliselt keerulisem ning ressursimahukam, sest ainult pildi vahetamisest dokumendis enam ei piisa.[66] Positiivse poole pealt tuleb välja tuua, et biomeetrilised dokumendid võimaldavad automaatkontrolli ning seega ka kiiremat piiriületust. Samuti kasutavad paljud lennufirmad lendudele registreerimisel iseteenindust ning tuvastavad inimese näo järgi. [67]

Riigi teenuste osutamisel

Aadhaar projekt Indias on Maailma suurim biomeetriline autentimissüsteem, mis hõlmab 1,3 miljardit India elanikku. India residentidele on antud nn Aadhaar number, mis on 12-kohaline unikaalne number ja põhineb numbri omaniku biograafilistel ja biomeetrilistel andmetel. Biomeetriline osa saadakse foto, kümne sõrmejälje ja mõlema silma iirise skaneeritud andmete kombineerimisel. India andmetel on see projekt vähendanud korruptsiooni, pettusi ja avalike teenuste hinda üldiselt. [68]

Tervishoid

Meditsiinis on biomeetrilise autentimise peamiseks kasutuslooks inimeste tuvastamine selleks, et saada teada, kas neil on õigus mingit teenust kasutada või mitte. Näiteks Gabonis lahendati biomeetrilise autentimisega probleem, kus naaberriikide elanikud püüdsid kasutada Gaboni medistsiiniteenuseid. [69]

Eesti kontekstis oleks biomeetrilist autentimisest enim kasu siis, kui rakendada seda nende inimeste tuvastamisel, kes ei ole võimelised enda kohta mitte midagi mõistlikku ütlema. Näiteks mõne õnnetuse tagajärjel on inimese elupäästmiseks vaja kohe teada, kes ta selline on ning näha tema terviselugu. Samuti võib tekkida olukord, kus inimene on küll kontakne, aga ei ole võimeline ennast üheselt tuvastama. Eestis elab näiteks 46 Andres Tamm’ nimelist inimest ning vene algupäraga nimedel on kaime veelgi rohkem. [70]

Ligipääsud

Praktikas kasutatakse biomeetrilist autentimist enim telefonide avamisel. Algselt oli sõrmejälje või näotuvastusega telefoni avamine disainitud mugavusteenusena, aga tehnoloogia arenedes on sellest saanud üsna tõsiselt võetav turvameede.[71] Turvalisusse seisukohast, kui avalikus kohas avada telefon PIN koodi või mustriga, siis muutuvad need sisuliselt avalikuks ja peaks hiljem vahetama. Tegelikult ei vaheta enamik inimesi oma PINe ja mustreid mitte kunagi ning nende inimeste jaoks tõstab biomeetriline autentimine oluliselt turvalisust.

Samas on uste avamisel siiski odavam kasutada kaarte, sest süsteem tervikuna on hetkel veel oluliselt odavam ja töökindlam.[72]


Tulevikuvisioon

Eelmainitud meetoditega ei ole biomeetria võimalused kaugeltki ammendatud. Samas on biomeetria kasutamisel isiku tuvastamiseks ilme probleem – selle vähemalt osaline avalikkus. Lisaks sellele, et sõrmede ja näo olemasolu on inimesel liigagi ilmne, on need tavaolukorras ka igapäevaselt eksponeeritud. Meetod, mis kasutab näotuvastust ainukese faktorina, peaks olema piisavalt võltsimiskindel ja turvaline, et seda oleks mõtet edasi kasutada ka tulevikus kui tehnoloogia ilmselt veelgi edasi areneb ja biomeetria võltsimine muutub lihtsamaks.

NASA on välja töötanud südamelöökide mustril baseeruva isikutuvastuse, mis on patenteeritud ja millele litsentse hetkel ei pakuta, kuid tulevikus võib olukord selles osas muutuda. Mõõdetakse südamelihases liikuvaid elektrilaenguid ning identifitseerimine toimub läbi südamelöökide statistilise mustri, kusjuures mõõdetakse nii intervalle, amplituudide kui ka depolarisatsiooni ja repolarisatsiooni vektorite nurki. Erinevaid südamelöökide mõõdikuid on natuke alla kahesaja [73]. Südamelöökide mustrit on ilmselt ka palju raskem võltsida kui nägu või sõrmejälge, kuna südamelöögid pole staatilised.

Kui natuke müstilisema poole pealt teaduse avastusi uurida, on ilmselt võimalik ka kvantfüüsika abil isikutuvastust läbi viia. Väidetavalt on universumis mingid osakesed omavahel seotud ja isegi kui need seotud osakesed asuvad üksteisest väga kaugel, reageerivad need osakesed teiste, seotud osakestega toimuvate muutuste peale.[74] Miks mitte seda kasutada seda omadust isiku tuvastuses?

Tehnoloogilistest muudatustest biomeetrilises isikutuvastusest on juba alanud trend tuvastussüsteemide pilvelahendustest, mis hakkavad tasapisi asendama seadmepõhist tuvastust. Selle asemel, et salvestada kasutaja andmeid seadme kõvakettal, hoitakse neid pilves. Pilvelahenduse eelised:

  • Paralleelne protsessimine annab võimaluse mitmel inimesel samade andmetega töötamiseks
  • Võimaldab kasutajatele igalt poolt ligipääsu jagatud arvutiressurssidele nagu näiteks salvestusruum, võrgud, serverid, teenused jms.
  • Traditsioonilistest biomeetrilistest süsteemidest suuremad kiirused [75]


Kokkuvõte

Käesolev töö annab lühikese ülevaade biomeetria ajaloost, olevikust ja tulevikuvisioonist. Kokkuvõtteks võiks öelda, et biomeetriline isikutuvastus on lapsekingadest juba välja kasvanud ja kogeb noorukiea tormilisi arenguid. Tavalisemad isikutuvastuse meetoid on laialdaselt kasutusel, kuid teadaolevalt saab neid ka “häkkida” ning ainukese faktorina näiteks sõrmejälje tuvastus piisavalt turvaliseks nimetada ei saa. Paralleelselt arendatakse juurde järjest keerulisemaid isikutuvastuse meetodeid, mida peaks olema juba raskem lahti murda, kuid tehnoloogia arenedes jääb alati oht ka pahavara arenguks ning ei saa välistada, et biomeetriline autentimine hakkab ka tulevikus toimima ühena mitmest autentimisfaktoritest, lisades turvalisusele kihi.


Viited

  1. Erinevad autentimisviisid - Mõisted. https://sisu.ut.ee/autentimine/m%C3%B5isted
  2. What is Authentication? https://www.techtarget.com/searchsecurity/definition/authentication
  3. BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID https://digiriiul.sisekaitse.ee/bitstream/handle/123456789/817/2012_Kiprejeva%2CVeronika.pdf?sequence=1&isAllowed=y
  4. Biomeetria http://ph.emu.ee/~ktanel/VL_0413/VL_I_loeng1_s15.pdf
  5. Biomeetria tõestab isiku ainulaadsust https://www.rmp.ee/ettevotlus/andmekaitse/biomeetria-toestab-isiku-ainulaadsust
  6. Two-factor authentication: What you need to know (FAQ) https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/
  7. MFA Schema https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html
  8. Anthropometry https://biologydictionary.net/anthropometry/
  9. The History of Biometrics https://recfaces.com/articles/history-of-biometrics
  10. A brief history of biometrics. https://bioconnect.com/2021/12/08/a-brief-history-of-biometrics/
  11. Kuritegude jälgede kriminalistikaline uurimine https://digiriiul.sisekaitse.ee/handle/123456789/301?locale-attribute=et
  12. Why fingerprint sensors are not as secure as you think: Researchers create 'MasterPrints' that can unlock ANY phone. https://www.dailymail.co.uk/sciencetech/article-4400726/Fingerprint-sensors-fooled-new-Masterprints.html)
  13. How fingerprint scanners work: Optical, capacitive, and ultrasonic explained https://www.androidauthority.com/how-fingerprint-scanners-work-670934/
  14. What Are Finger Scanners and How Do They Work? https://www.lifewire.com/understanding-finger-scanners-4150464
  15. Authentication vs authorization https://www.pingidentity.com/en/resources/blog/posts/2021/authentication-vs-authorization.html
  16. Password strength https://bitwarden.com/password-strength/
  17. Roboform https://www.roboform.com/lp?cjevent=1ea8f3698c1911ec8062008b0a18050f&utm_source=cj&utm_medium=Natural+Intelligence+Ltd.&utm_content=100088378&utm_term=14065607&cj_sid=PASS_FQVoeTUsg4&affid=cnvst&frm=offer-top10
  18. NordPass https://nordpass.com/top10cybersecurity-special/?utm_medium=affiliate&utm_term&utm_content=57sbp6k2kr&utm_campaign=off627&utm_source=aff508&aff_free
  19. Keeper https://www.keepersecurity.com/affiliate-keeper-30OFFDeals.html?LSNSUBSITE=LSNSUBSITE
  20. LastPass https://www.lastpass.com/password-manager
  21. KeePass https://keepass.info/
  22. Understanding Rainbow table attack https://www.geeksforgeeks.org/understanding-rainbow-table-attack/#:~:text=A%20rainbow%20table%20is%20a%20database%20that%20is,out%20what%20plaintext%20password%20produces%20a%20particular%20hash
  23. Password Cracker tools https://www.softwaretestinghelp.com/password-cracker-tools/
  24. What is SSH Public Key authentication? https://www.ssh.com/academy/ssh/public-key-authentication
  25. ID-kaardiga autentimine https://sisu.ut.ee/autentimine/id-kaardiga-autentimine
  26. Verifinger SDK https://www.neurotechnology.com/verifinger.html
  27. Hacker fakes German minister's fingerprints using photos of her hands https://www.theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands
  28. Hacker Finds a Simple Way to Fool IRIS Biometric Security Systems https://thehackernews.com/2015/03/iris-biometric-security-bypass.html
  29. Samsung Galaxy S8 iris scanner fooled by German hackers. https://www.theguardian.com/technology/2017/may/23/samsung-galaxy-s8-iris-scanner-german-hackers-biometric-security
  30. Iris scanner can distinguish dead eyeballs from living ones https://www.technologyreview.com/2018/07/24/141323/iris-scanner-can-distinguish-dead-eyeballs-from-living-ones/
  31. Face recognition https://github.com/ageitgey/face_recognition
  32. What is facial recognition? How facial recognition works https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html
  33. PART 3: BIOMETRIC FACIAL RECOGNITION TECHNOLOGY https://www.security101.com/blog/part-3-biometric-facial-recognition
  34. Face Match https://www.veriff.com/product/face-match
  35. Biometric Authentication, the Good, the Bad, and the Ugly https://www.onelogin.com/learn/biometric-authentication
  36. Bypassing Windows Hello Without Masks or Plastic Surgery https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery
  37. Is Apple's Face ID Tougher to Bypass in iOS 15? https://www.makeuseof.com/face-id-bypass-ios-15/
  38. IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html
  39. IOActive Labs: Biometric Hacking: Face Authentication Systems https://labs.ioactive.com/2022/02/biometric-hacking-face-authentication.html
  40. Tested: An App That Authenticates You By The Shape Of Your Ear. https://www.popsci.com/article/technology/tested-app-authenticates-you-shape-your-ear/
  41. 7 Surprising Biometric Identification Methods https://www.popsci.com/seven-surprising-biometric-identification-methods/
  42. Past, Present and Future: What's Happening with Illinois' and Other Biometric Privacy Laws https://www.natlawreview.com/article/past-present-and-future-what-s-happening-illinois-and-other-biometric-privacy-laws
  43. Biometric data breach: Database exposes fingerprints and facial recognition data of 1 million people https://us.norton.com/internetsecurity-emerging-threats-biometric-data-breach-database-exposes-fingerprints-and-facial-recognition-data.html
  44. Biometric Authentication - an overview https://www.sciencedirect.com/topics/computer-science/biometric-authentication
  45. More Organizations Are Adopting Biometrics for Security—But Barriers Still Remain https://businessinsights.bitdefender.com/more-organizations-are-adopting-biometrics-for-security-but-barriers-still-remain
  46. Voice Authentication https://www.aware.com/voice-authentication/
  47. Voice recognition tech hacked with voice-morphing tool https://www.siliconrepublic.com/enterprise/voice-recognition-security-easily-hacked
  48. ID R&D offers AI driven voice authentication https://youtu.be/Sf87DhXULDk
  49. ID R&D koduleht https://www.idrnd.ai/
  50. FAQs – What is typing biometrics? https://blog.typingdna.com/what-is-typing-biometrics/
  51. Typing Biometrics: Impact of Human Learning on Performance Quality https://dl.acm.org/doi/10.1145/1891879.1891884
  52. Explainer: Keystroke recognition https://www.biometricupdate.com/201612/explainer-keystroke-recognition
  53. Forget fingerprints - detectives will soon SNIFF out criminals: Technology identifies people by the odour of their hand. https://www.dailymail.co.uk/sciencetech/article-2553477/Could-SMELL-replace-passport-Experts-claim-identify-people-purely-electronically-sniffing-them.html
  54. Biometrics in Movies: Sci-Fi Security https://www.technology.org/2017/04/29/biometrics-in-movies-sci-fi-security/
  55. BIOMETRIC LOCKS IN THE MOVIES. https://www.gokeyless.com/blog/fingerprint-locks-in-the-movies/
  56. Facial Recognition through Movies. https://www.sutori.com/en/story/facial-recognition-through-movies--Hy8zoFhkotNL7nDsMN1bXcHk
  57. Total biometrics market to reach $127B by 2030, report forecasts https://www.biometricupdate.com/202203/total-biometrics-market-to-reach-127b-by-2030-report-forecasts
  58. Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics
  59. China's 'social credit' system ranks citizens and punishes them with throttled internet speeds and flight bans if the Communist Party deems them untrustworthy https://www.businessinsider.com/china-social-credit-system-punishments-and-rewards-explained-2018-4
  60. California bans law enforcement from using facial recognition software for the next 3 years https://thenextweb.com/news/california-bans-law-enforcement-from-using-facial-recognition-software-for-the-next-3-years
  61. Automaatse biomeetrilise isikutuvastuse süsteemi andmekogu põhimäärus https://www.riigiteataja.ee/akt/131122021018?dbNotReadOnly=true&RIIGITEATAJA_AADRESS=https%3A%2F%2Fwww.riigiteataja.ee&RIIGITEATAJA_AADRESS_HALDUS=https%3A%2F%2Fwww.riigiteataja.ee
  62. Marines ask InCadence to build biometric system to discern friend from foe during unconventional warfare https://www.militaryaerospace.com/sensors/article/14176993/biometric-friend-from-foe-unconventional-warfare
  63. THE MALAYSIAN ELECTRONIC PASSPORT https://www.icao.int/Meetings/FAL12/Documents/Malaysia.pdf
  64. Over 60+ countries now issuing ePassports https://web.archive.org/web/20170406111611/http://findbiometrics.com/over-60-countries-now-issuing-epassports-2/
  65. The electronic passport in 2021 and beyond https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/passport/electronic-passport-trends
  66. Kiprejeva, V (2012), BIOMEETRIA JA BIOMEETRILISED REISIDOKUMENDID. https://digiriiul.sisekaitse.ee/handle/123456789/817
  67. Biometric Authentication https://www.onespan.com/topics/biometric-authentication
  68. Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics
  69. Biometrics: definition, use cases, latest news https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics
  70. Suur tabel: milliseid nimekaime on Eestis kõige rohkem? https://www.postimees.ee/4149241/suur-tabel-milliseid-nimekaime-on-eestis-koige-rohkem
  71. Biometric recognition and authentication systems https://www.ncsc.gov.uk/collection/biometrics/example-use-cases
  72. Biometric Devices: Cost, Types and Comparative Analysis https://www.bayometric.com/biometric-devices-cost/
  73. HeartBeatID (TOP2-186) patent https://technology.nasa.gov/patent/TOP2-186
  74. The Weird, But True, Evidence for 'Spooky Action' at Distance (Kavli Hangout) https://www.space.com/31562-weird-universe-revealed-in-quantum-entanglement-breakthrough.html
  75. Biometric Trends and Statistics to Keep an Eye on in 2022 https://imageware.io/biometric-trends-and-statistics/