سرقت اثر انگشت، پایان امنیت بایومتریک (Biometric Security)

اخیراً تحقیقاتی انجام شده که در آن محققان توانسته اند به بیش از ۲۳ گیگابایت اطلاعات پایگاه داده هایی که رکوردهای اثر انگشت و تشخیص چهره کاربران را نگهداری می کردند دسترسی پیدا کنند که بزرگترین نفوذ به داده های بایومتریک تا به امروز می باشد. این محققان با همکاری شرکت امنیت سایبری VPN Mentor، توانستند به سیستم قفل بایومتریک Biostar 2 دسترسی پیدا کنند که دسترسی به سیستم انبارداری و ساختمانهای اداری را کنترل می کرد. این مکانیزم کنترلی که توسط شرکت Suprema طراحی شده است در ۵۷۰۰ سازمان در ۸۳ کشور مورد استفاده قرار می گیرد. به عنوان مثال می توان به سازمانهای دولتی، بانکها و پلیس کانادا اشاره نمود. این نفوذ، مشکل عمده سیستمهای امنیتی بایومتریک (Biometric Security) را نشان می دهد که به طور موثر از مشخصات بیولوژیکی افراد به عنوان رمز عبور استفاده می کنند. بر خلاف نام کاربری و رمز عبور، داده های بایومتریک در صورت سرقت امکان تغییر ندارند. با توجه به اینکه لو رفتن داده ها به بخشی اجتناب ناپذیر در دنیای رو به رشد دیجیتالی بدل شده است، این به این معناست که امنیت بایومتریک آینده طولانی نخواهد داشت، چون ممکن است روزی تقریبا داده های همه اشخاص در فضای مجازی منتشر شود؟ در قالب فعلی شاید، اما راهکارهایی وجود دارند که با استفاده از آنها می توانیم، این مکانیزم را ایمن تر کرده و نجات دهیم.

کلمات عبور سنتی چیزی است که شما می دانید، ویژگیهای بایومتریک چیزی است که شما هستید. از اثر انگشت، اسکن عنبیه چشم، الگوی صوتی، عکسهای صورت و گوش و داده های تشخیص چهره می توان به عنوان روشی برای بررسی این موضوع استفاده کرد که شخص همان کسی است که ادعا می کند یا خیر. سیستمهای احراز هویت به این شکل عمل می کنند که نسخه خام داده های بایومتریک را به صورت ایمن ذخیره سازی می کنند و وقتی کاربر می خواهد وارد سیستم شود، ویژگیهای او با داده های ذخیره شده مقایسه می گردد و در صورت تطابق اجازه ورود به سیستم صادر می گردد. زمانی این ویژگی فقط مختص فیلمهای تخیلی بود. سیستمهای احراز هویت بایومتریک در حال حاضر به صورت گسترده در سازمانها، پاسپورتها و حتی احراز هویت از طریق اثر انگشت در گوشیهای هوشمند قابل استفاده می باشند اما ویژگی منحصر به فرد سیستم بایومتریک همچنین از اشکالات این سیستم نیز می باشد. داده های بایومتریک ممکن است در شناسایی افراد دقت بالایی داشته باشد اما زمانی که به سرقت برود هیچ کاری برای ایمن کردن مجدد آن نمی توان انجام داد. البته اگر اثر انگشت شما به سرقت رفته باشد همیشه می توانید از انگشت دیگری استفاده کنید، اما تنها ۱۰ بار می توانید این کار را انجام دهید.

وقتی شخصی اطلاعات اثر انگشت شما را در اختیار داشته باشد، می تواند با استفاده از پرینتر ۳ بعدی یک نسخه از آن را تهیه کند که با استفاده از آن اسکنرهای بایومتریک را دور بزند. همچنین نمونه هایی از دور زدن سیستمهای اسکن صدا با استفاده از سیستمهای تغییر صدا، سیستمهای تشخیص چهره و یا اسکن قرنیه چشم با استفاده از عکسها یا پرینت سه بعدی صورت مشاهده شده است. این بدان معناست که حفاظت از داده های بایومتریک در برابر نشر داده یا حملات بسیار حائز اهمیت است. اما این امر بسیار دشوار است زمانی که ما مجبور هستیم این داده ها را امروزه در بسیاری از سرویس دهنده ها استفاده نمائیم.

گاهی به سختی هفته ای بدون اینکه خبری مبنی بر سرقت اطلاعات مشتریان یک شرکت منتشر گردد، می گذرد. به همین خاطر احتمالا حداقل یکبار باید رمز عبور خود را تغییر دهید. زمانی که اطلاعات بایومتریک افراد لو می رود، سیستم غیر قابل استفاده می شود، چون تعداد زیادی از کاربران نمی توانند به طور ایمن وارد سیستم گردند. در آخرین نفوذ به داده های بایومتریک، اثر انگشت، داده های تشخیص چهره، عکسهای صورت، نام کاربری و رمز عبور بیش از یک میلیون نفر در معرض خطر قرار گرفت. همچنین مشخص گردید که افراد خارجی می توانستند رکوردهای بایومتریک خود را در پایگاه داده جایگزین کنند و بررسیهای امنیتی را دور بزنند.

بالا بردن سطح امنیتی

برای تقویت امنیت بایومتریک (Biometric Security) چه کاری می توان انجام داد؟

یک راه ساده استفاده از رمزهای عبور می باشد. یک راهکار معمول ذخیره کردن پسوردها به صورت رمزنگاری شده یا Hash شده می باشد. این در واقع یک نسخه رمزگذاری یک طرفه می باشد که رمزهای عبور را به رشته ای از کاراکترها تبدیل می کند که تقریبا غیر قابل رمزگشایی می باشند. این بدان معناست که حتی اگر رمزهای عبور رمزگذاری شده فاش شوند، هکرها نمی توانند رمزهای عبور را بدست آورند. سیستمهای مدرن هرگز رمزهای عبور را در قالب متن ساده ذخیره نمی کنند. این روش را همچنین می توان برای داده های بایومتریک استفاده نمود، با استفاده از این روش ویژگیهای بایومتریک به صورت رمزگذاری شده ذخیره می گردند. در نفوذی که اخیرا به پایگاه داده هایی که ویژگیهای بایومتریک در آنها ذخیره می گردید، صورت گرفته بود، تمامی داده ها بصورت خام و بدون رمزنگاری ذخیره شده بودند. این بدان معناست که هکرها می توانستند به ویژگیهای بایومتریک خام کاربران به صورت مستقیم دسترسی پیدا کنند و از آنها برای ورود به سیستمهای حیاتی سازمان استفاده کنند.

راه دیگر برای ایمن کردن هر چه بیشتر سیستمهای بایومتریک استفاده از تکنولوژی Blockchain می باشد، تکنولوژی که در حال حاضر در رمز ارزها مانند Bitcoin مورد استفاده قرار می گیرد. با استفاده از تکنولوژی بلاکچین شما می توانید داده های مشتریان را در یک سیستم توزیع شده بر پایه Cryptography در کامپیوترهای مختلف در سراسر دنیا ذخیره کنید. این بدان معناست که فقط طرفهای مجاز می توانند به داده ها (یا بلوک های داده) دسترسی داشته باشند و هرگونه تلاش برای تغییر داده ها توسط کاربران دیگر در Blockchain، شناسایی می شود. همچنین امکان ایجاد دفترچه های توزیع شده خصوصی که در آن فقط برخی افراد امکان دسترسی دارند، وجود دارد.

با این حال ممکن است این روشها نیز برای حفظ امنیت سیستمهای بایومتریک (Biometric Security) برای همیشه کافی نباشد. محققین به تازگی مطرح کردند که می توان اسکنرهای اثر انگشت را با استفاده از هوش مصنوعی و ساخت بدلهای چاپی دور زد. ممکن است کامپیوترهای پیشرفته روزی بتوانند ویژگیهای دیگر بایومتریک را بازسازی کرده و به مجرمان امکان نفوذ به سیستمهای امنیتی بر پایه ویژگیهای بایومتریک را بدهند. در حال حاضر، سرویس دهنده های سیستمهای امنیتی بایومتریک اقدامات ساده ای برای ایمن نمودن داده های خود انجام می دهند، ما نیز باید از نقض هایی که نهایتا این سیستمها را منسوخ می کنند دوری کنیم.