Biometria a hétköznapokban

A jelszómentes biztonsági rendszer tökéletesen megfelelne a felhasználói igényeknek.

Kömlődi Ferenc
2012. 06. 11. 7:30
VéleményhírlevélJobban mondva - heti véleményhírlevél - ahol a hét kiemelt témáihoz fűzött személyes gondolatok összeérnek, részletek itt.

Könnyen lehet, hogy hamarosan már nem lesz szükség jelszóra, és a biometria se csak azt fogja jelenteni, mint a főként fiziológiai jellemzőkből kiinduló mai alkalmazásai, az ujjlenyomat-, kéz-, retina-, írisz-, arcalapú azonosítás. A DARPA-nál és más hight-tech műhelyekben már gőzerővel dolgoznak a megoldáson.

Képzeljük el, hogy a számítógép billentyűzetével begépeljük a felhasználónevet, aztán rögvest elkezdünk dolgozni, vagy megjelenik a Facebook – anélkül, hogy a rendszer kérte volna a jelszót. Kicsit talán futurisztikusnak tűnik, pedig könnyen lehet, hogy hamarosan valóra válik: nem lesz többé szükség jelszóra, és a biometria se csak azt fogja jelenteni, mint a főként fiziológiai jellemzőkből kiinduló mai alkalmazásai, az ujjlenyomat-, kéz-, retina-, írisz-, arcalapú azonosítás. A DARPA-nál és más hight-tech műhelyekben már gőzerővel dolgoznak a megoldáson (DARPA – Defense Advanced Research Projects Agency, azaz fejlett védelmi kutatási projektek ügynöksége). Az amerikai védelmi minisztérium legendás kutatási ügynöksége olyan szoftverek fejlesztését célzó vizsgálódásoknak első számú szponzora, amelyek a gépelési mód alapján döntik el, hogy tényleg azok vagyunk, akiknek mondjuk magunkat. A végeredmény elsődlegesen katonai használatra készül, viszont – mint a DARPA égisze alatt létrehozott legtöbb technológiai újítás, például az internet – előbb-utóbb a hétköznapokban is nyilvánvalóan el fog terjedni. Már csak azért is, mert egyre nagyobb az egészen pontos, ugyanakkor észrevétlenül működő azonosító és hitelesítő megoldások iránti igény.

Kognitív ujjlenyomat

A kiindulási pont felettébb egyszerű: az „erősként” definiált jelszavak (mondjuk, 4zTde8+wK6Yk2NR9w és hasonlók) felhasználóbarátnak minimálisan sem tekinthetők, semmiféle emberi elvárásnak nem felelnek meg, nem jegyezzük meg őket, könnyen hibázunk, összekeverjük a kis- és nagybetűket, kihagyunk egy karaktert és így tovább. Az ok egyszerű: ezek a hosszú és bonyolult jelszavak természetellenesek. Az ember egyáltalán nem „úgy lett huzalozva”, hogy megértse karakterek logika nélküli, random kapcsolódását. Mintázatokat használunk a jelszavak hatékony kezeléséhez, csakhogy ezek a jelszavakba formált mintázatok (például Béla789, születési évszám és kezdőbetűk kombinációja, állatnév és számok stb.) viszonylag könnyedén visszafejthetők.

A jelszómentes biztonsági rendszer viszont tökéletesen megfelelne a felhasználói igényeknek, agyunktól semmiféle plusztevékenységet nem követelne meg. Kevesebb lenne az akár súlyos következményekkel is járó hibázási lehetőség.

- Arcfelismerés: áldás vagy átok?

- Még nem jött el a jelszavak Mohácsa

- Katonai pénzből készül a biológiai elvű processzor

Richard Guidorizzi, a DARPA Aktív Hitelesítés programjának vezetője egy konferencián öt kézzel írt jelszón, a Jane123 némileg módosított változatain mutatta be, hogy mennyire könnyű feltörni azokat. A kutató elképzelése szerint az azonosításnak a háttérben, jelszó nélkül úgy kell megtörténnie, hogy közben a felhasználó megszakítás nélkül folytathassa tevékenységét: begépeli a nevet, és máris dolgozik. A kivitelezéshez semmiféle pluszhardverre, biometrikus érzékelőre nem lenne szükség – a rendszer kizárólag csak az adott személyre jellemző viselkedésbeli karakterjegyekre (a ma még kevésbé használt viselkedésalapú biometriára) támaszkodna helyettük. Guidorizzi kognitív ujjlenyomatnak nevezi ezeket a karakterjegyeket: a billentyűk leütési módja, a számítógéppel történő interakció az agy információfeldolgozását valamilyen szinten visszatükröző mintákat követ, és e minták nyomait mindig magunk után hagyjuk. Az efféle vizsgálódások előnye a fiziológiai jegyeket használó biometrikus azonosítással szemben, hogy azok nehezen vagy egyáltalán nem használhatók online.

Az Aktív Hitelesítés első fázisa az „ujjlenyomatokat ” azonosító technológiákra, és a későbbi hatékony hasznosulás előfeltételeként, gyakorlati teszteken keresztül történő folyamatos hitelesítésükre összpontosít.

A későbbi fázisokban, új hitelesítő platformot használva, a különböző lehetőségek integrációját vizsgálnák. Több modalitás összekombinálására törekednek, így próbálják kivitelezni a felhasználó folyamatos azonosítását és hitelesítését. A majdani rendszernek hatékonynak, robusztusnak és láthatatlannak kell lennie, azaz minden szempontból meg kell felelnie az ergonómia kritériumainak. A hitelesítő platform létrehozásához nyílt forráskódú alkalmazásprogramozási interfészeket (API-kat) szándékoznak használni – a jövőben csak így tudnak majd a rendszerbe integrálni a DARPA programjától független forrásokból származó (szabadon hozzáférhető) szoftvereket és hardvereket.

Mi olvasható ki egy billentyű leütéséből?

Különböző szakemberek többféle megközelítéssel próbálják megvalósítani, hogy kizárólag a számítógép-használat alapján legyen azonosítható az adott user. Roy Maxion, a Carnegie Mellon Egyetem (CMU) kutatója a billentyűzetleütések dinamikáját tanulmányozza, például azt, hogy a felhasználó mennyi ideig tartja az ujját egy meghatározott billentyűn (megnyomja, elengedi azt), milyen gyorsan vált egy másikra. Az ilyen jellegű ujjmozgásokért az agy motorikus irányítóképessége felel, nem előre kigondolt/megtervezett folyamat eredményei. Pontosan ezért lehetetlen fiziológiailag az úgynevezett billentyűzetleütés dinamikát (keystroke dynamics) sikeresen utánozni.

Maxion abból a kérdésből indult ki, hogy mi az ujjlenyomat, a fizikai világ törvényszéki vizsgálatainak egyik kulcselemének megfelelője az internetes térben. Amennyiben sikerül az ilyen jellegű azonosítás, mi kapcsolható össze az ujjlenyomat egyedi jellegét adó különböző alkotóelemeivel. Ha elfogadjuk, hogy egy személy a kézírása vagy a beszédstílusa alapján azonosítható, akkor gépelése, a billentyűzethasználat egyedi ritmusa, a leütések stb. egyénenként eltérő időzítése alapján is megtehetjük ugyanezt, egyedi felhasználói profilokat hozhatunk létre.

A szakember érdekes példával szemlélteti elméletét: a felhasználó átlagosan száz milliszekundumig tartja az ujját egy billentyűn. Képzeljük el, hogy egy csaló az átlagnál gyorsabb, a billentyűt száz milliszekundum helyett csak kilencvenig lenyomó usert próbál utánozni, azaz a mozdulatot tudatosan kell tíz milliszekundummal lerövidítenie. Az ilyen magas szintű kontroll teljes mértékben valótlannak hat, gyakorlatilag semmi esély nincs a hiteles kivitelezésre.

Több kísérlet bizonyította, hogy a felhasználó érzelmi állapota befolyásolja a gépelési ritmust. Ugyanakkor, ahogy a jól ismert zenedarabokat is képesek vagyunk bármilyen előadásban felismerni, a megfelelő szoftver is mindig, érzelmi állapotoktól, fáradtságtól, részegségtől stb. függetlenül azonosítani tudja az adott személy gépelési alapritmusát. Maxion azonban elismeri: az alapritmus fogalmát kísérleti úton még nem definiálták, mint ahogy a létezését sem bizonyították.

Charles C. Tappert, a Pace Egyetem tanára szintén a billentyűzetleütések dinamikáját tanulmányozza. Online tesztek kérdéseire válaszoló diákok gépelési stílusa alapján hitelesít személyazonosságokat. Csoportja a billentyűzetre kifejtett nyomás megkülönböztető mintázatait elemző szoftvert fejlesztett. Teszteredményeik biztatók: a szoftver az esetek 99,5 százalékában helyesen azonosította a kétszáznál több karaktert begépelő alanyokat. A helytelen elfogadást és a helytelen visszautasítást, az azonosító rendszerek két legáltalánosabb hibáját egyaránt elkerülték. Fejlesztéseik kettős célt, a biztonságosabb elektronikus kereskedelmet és az online identitáslopások meghiúsítását szolgálják. Tökéletes egyensúlyt teremtenek a magas szintű biztonsági követelmények és a számítógépek egyszerű használata között, magyarán azonosítási megoldásaik nem mennek a userek idegeire…

A DARPA azonban nem hosszasan bíbelődő, több ezer billentyűzetleütés adatait gondosan összegyűjtő és elemző, hanem gyorsan reagáló, a felhasználót várakozás nélkül, a másodperc törtrésze alatt azonosító/hitelesítő megoldást, rendszert szeretne. Tappert szerint az ő szoftverük pont ilyen: egy belső hálózatra behatoló személy mozgása annyi árulkodó szabálytalanságot mutat, hogy a rendszer azonnal észreveszi a rendellenességet.

Csalik

Az utóbbi években számítógép-biztonsággal és (adatbázis-alapú) behatolásdetektáló rendszerekkel foglalkozó Salvatore J. Stolfo, a Columbia Egyetem szakembere másként közelíti meg a problémát... Ha kíváncsi, hogyan próbálja meg csapdába csalni a hackereket a szakember, kattintson!

Ne maradjon le a Magyar Nemzet legjobb írásairól, olvassa őket minden nap!

Google News
A legfrissebb hírekért kövess minket az Magyar Nemzet Google News oldalán is!

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.